# Next.js-Exploit-Tool

**Repository Path**: zyjsuper/Next.js-Exploit-Tool

## Basic Information

- **Project Name**: Next.js-Exploit-Tool
- **Description**: No description available
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: main
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2025-12-17
- **Last Updated**: 2025-12-17

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

#  Next.js-Exploit-Tool

> Next.js-Exploit-Tool 图形化综合利用工具。

![Language](https://img.shields.io/badge/language-Go-00ADD8.svg) ![Platform](https://img.shields.io/badge/platform-Windows%20%7C%20macOS-lightgrey.svg) ![Version](https://img.shields.io/badge/version-1.3.0-blue.svg)



## 简介

一款针对 **CVE-2025-55182** 的独立安全评估工具，基于 Go 开发，提供图形化界面（GUI），用于快速完成漏洞检测与验证。

------



## 更新日志 

#### v1.3.0

- ##### 新增 Godzilla (哥斯拉) 内存马支持

  - ##### 实现了基于 Node.js 的 Godzilla 内存马注入功能，**本 Payload 需配合北辰师傅的项目 [GodzillaNodeJsPayload](https://github.com/BeichenDream/GodzillaNodeJsPayload) 使用。**

  - **致谢 (Credits)**：特别感谢 北辰师傅开源的 **[GodzillaNodeJsPayload](https://github.com/BeichenDream/GodzillaNodeJsPayload )** 项目。

- #####  新增网络代理支持

  - 在侧边栏新增了 **系统设置 (Settings)** 页面，支持配置 HTTP/HTTPS 代理。

- ##### 修复已知问题

  - 优化目标 URL 解析逻辑。

  - 修复程序闪退问题。

  - 修复部分目标 AntSword (蚁剑) 内存马连接失败。

    <img src="./images/v1.3.0.png" alt="Scan" style="zoom: 45%;" />

#### v1.2.0

🙌 **致谢**

- **文件管理模块 (File Manager)**：核心实现思路参考并致谢 **pyroxenites** 的开源项目。
  - 🔗 [https://github.com/pyroxenites/Nextjs_RCE_Exploit_Tool](https://github.com/pyroxenites/Nextjs_RCE_Exploit_Tool)
- **内存马与导出功能 (MemShell & Export)**：感谢 **T00ls 论坛** 师傅们的宝贵建议与反馈。

------

🔥**核心功能更新**

- **新增 Next.js 内存马注入**
  - **Payload 类型**：新增 MemShell 攻击模式，支持向 Next.js 进程注入驻留型内存马。
  
  - **连接支持**：注入成功后支持使用 **AntSword (蚁剑)** 进行连接（类型：CMDLINUX）。
  
  - **自动验证**：注入后自动尝试连接以验证存活状态。
  
  - **自定义配置**：支持自定义挂载路径 (Path) 和连接密码 (Password)，提供随机路径/密码生成快捷键。
  
- **文件管理**
  - **可视化浏览**：新增图形化文件管理器。
  - **全功能操作：**
    - **浏览 (Browse)**：支持目录层级跳转、显示文件大小与类型图标。
    - **读取 (Read)**：支持查看文本文件内容。
    - **编辑/写入 (Edit/Write)**：支持编辑文件或创建新文件。
    - **删除 (Delete)**：支持删除文件或递归删除文件夹。
- **扫描结果导出**
  - 在批量扫描终端（Terminal）顶部增加了 **Export** 按钮。



#### v1.1.0

- 重构 Payload 逻辑，增加 `try-catch` 异常捕获，**防止执行错误命令导致目标服务崩溃**。

- 针对 RCE、LFI、Write 模式提供动态快捷标签，一键填入常用 Payload。

- 点击扫描日志漏洞条目，自动跳转至利用页面并填好 Target 和 Endpoint。

- 重新设计“关于”页面，日志增加颜色区分。



## 界面预览

> <img src="./images/Scan.png" alt="Scan" style="zoom: 45%;" />
>
> 
>
> <img src="./images/RCE_WithOutput.png" alt="RCE_WithOutput" style="zoom:45%;" />
>
> 
>
> <img src="./images/MemShell.png" alt="MemShell" style="zoom:45%;" />
>
> <img src="./images/FsBrowse.png" alt="FsBrowse" style="zoom:45%;" />
>
> <img src="./images/FsRead.png" alt="FsRead" style="zoom:45%;" />
>
> <img src="./images/FsWrite.png" alt="FsWrite" style="zoom:45%;" />



## 免责声明

> **请在使用本工具前仔细阅读以下条款：**

1. **授权使用**：本工具仅供安全研究、学术交流及获得合法授权的渗透测试使用。
2. **禁止非法攻击**：严禁使用本工具对未授权的目标系统进行扫描、攻击或破坏。
3. **责任自负**：利用本工具造成的任何直接或间接后果（包括但不限于系统故障、数据泄露、法律纠纷）均由使用者自行承担，工具作者不承担任何连带责任。
4. **最终解释权**：下载或使用本工具即视为您已同意上述所有条款。