Cheatsheets & Payloads

Reverse Shells Offensive
Generatoren und lokale Referenz für alle Sprachen und Protokolle.
revshells.com PayloadsAllTheThings
SQL Injection
Techniken: UNION, Error-based, Boolean-Blind, Time-based. Payloads & Filter-Bypass.
PortSwigger Cheatsheet PayloadsAllTheThings
XSS
Cross-Site Scripting: Reflected, Stored, DOM-based. Context-aware Payloads & WAF-Bypass.
PortSwigger Cheatsheet PayloadsAllTheThings
LFI / RFI
Local & Remote File Inclusion, Path Traversal, PHP Wrapper-Tricks.
PayloadsAllTheThings PortSwigger
SSTI
Server-Side Template Injection: Jinja2, Twig, FreeMarker, Pebble — Detection & RCE-Chains.
PayloadsAllTheThings PortSwigger
XXE Injection
XML External Entity: File Read, SSRF, Blind XXE via Out-of-Band. Encoded Payloads.
PayloadsAllTheThings PortSwigger
SSRF
Server-Side Request Forgery: Cloud Metadata, Redirect-Bypass, Blind SSRF Detection.
PayloadsAllTheThings PortSwigger
Command Injection
OS Command Injection: Operator-Chains, Blind, Time-based & OOB-Detection.
PayloadsAllTheThings PortSwigger
File Upload Bypass
MIME-Type & Extension Bypass, Polyglots, .htaccess Tricks, Webshell Upload.
PayloadsAllTheThings PortSwigger
AI / LLM Prompt Injection neu
Prompt Injection, Jailbreaking, Indirect Injection, Model Extraction, RAG Poisoning. OWASP LLM Top 10 + MITRE ATLAS.
OWASP LLM Top 10 PortSwigger AI Labs MITRE ATLAS NetSPI — Exploit GenAI MyLLMBank
Hash Cracking
Online-Lookup + Offline-Cracking mit Hashcat & John. Rainbow Tables, Rule-based.
CrackStation Hashes.com Hashcat Wiki
GTFOBins
Unix-Binaries für sudo/SUID/Capability-Exploitation → Shell, File Read/Write.
gtfobins.github.io
LOLBAS Windows
Living Off the Land Binaries & Scripts — Windows-native Tools für Pentest.
lolbas-project.github.io
PayloadsAllTheThings
Die umfassendste Payload-Sammlung — alle Web-Injection-Typen, Enum, Bypass.
GitHub Web-Version
NoSQL Injection
MongoDB Operator Injection, Auth Bypass ($ne/$gt/$regex), Blind NoSQLi.
PayloadsAllTheThings PortSwigger

Tools — nach Pentest-Phase

🔍 Recon & Enumeration
nmap masscan amass subfinder httpx nuclei theHarvester Shodan Censys ffuf gobuster feroxbuster DNSDumpster
🌐 Web Application
Burp Suite OWASP ZAP sqlmap nikto WPScan
🔑 Password & Auth
hashcat john hydra medusa CrackStation
💀 Post-Exploitation
Metasploit Impacket Mimikatz Rubeus BloodHound PowerView Evil-WinRM pspy
🔄 Pivoting & Tunneling
chisel ligolo-ng sshuttle
🎯 C2 Frameworks
Sliver Havoc Cobalt Strike

Active Directory — Angriffe & Tools

Kerberoasting AD
Service Tickets für SPNs anfordern → offline cracken. Kein Admin nötig. Ziel: Service Account Passwörter.
HackTricks T1558.003
AS-REP Roasting
Accounts ohne Kerberos Pre-Auth → AS-REP Hash offline cracken. Mit kerbrute oder Impacket.
HackTricks T1558.004
Pass-the-Hash
NTLM-Hash direkt für Authentifizierung verwenden — kein Klartextpasswort nötig. Via CME, Impacket, Mimikatz.
The Hacker Recipes T1550.002
Pass-the-Ticket
Kerberos TGT/TGS-Tickets exportieren und in neue Session importieren. Rubeus / Mimikatz.
The Hacker Recipes T1550.003
DCSync
DC-Replikation simulieren → alle Hashes dumpen inkl. KRBTGT. Benötigt Replikations-Rechte. Mimikatz / Impacket.
The Hacker Recipes T1003.006
Golden Ticket
TGT fälschen mit KRBTGT-Hash → unbegrenzte Domänen-Persistenz. Mimikatz / Impacket ticketer.
The Hacker Recipes T1558.001
BloodHound / SharpHound
AD-Struktur als Graph — Angriffspfade zu DA visualisieren. SharpHound für Datensammlung.
Docs GitHub
CrackMapExec / NetExec
Swiss Army Knife für Netzwerk-Pentests: SMB, LDAP, RDP, WinRM — Enum, Spray, Exec.
NetExec (CME-Nachfolger) Wiki
kerbrute
Kerberos-basiertes Username-Enumeration und Password-Spraying — kein Lockout-Risiko bei Enum.
GitHub
ldapdomaindump
AD-Daten via LDAP dumpen: User, Gruppen, Computer, Policies — HTML/JSON/CSV Output.
GitHub
WADComs Referenz
Interaktives AD/Windows-Cheatsheet — Tool + Kontext auswählen → fertiger Befehl.
wadcoms.github.io
The Hacker Recipes
Umfassende AD-Angriffs-Methodologie — Kerberos, NTLM, Delegation, Certificate Services.
thehacker.recipes/ad

Cloud Hacking — AWS · Azure · GCP

Pacu AWS
AWS Exploitation Framework — Module für Enum, PrivEsc, Persistenz, Exfil in AWS-Umgebungen.
GitHub RhinoSec Blog
ScoutSuite
Multi-Cloud Security Auditing: AWS, Azure, GCP, Alibaba. Findet Fehlkonfigurationen automatisch.
GitHub
Prowler AWS
AWS Security Best Practices & Compliance Checks — CIS, GDPR, HIPAA, SOC2, ISO27001.
GitHub Docs
ROADtools Azure
Azure AD Enumeration via Graph API — Tenant-Struktur, User, Apps, Service Principals sichtbar machen.
GitHub
AzureHound Azure
BloodHound für Azure AD — Angriffspfade in Azure-Umgebungen visualisieren.
GitHub
Cloud Hacking Ressourcen
HackTricks Cloud + flaws.cloud (AWS Trainings-Lab) + CloudSecDocs Referenz.
HackTricks Cloud flaws.cloud CloudSecDocs

Mobile — Android & iOS

MobSF All-in-One
Mobile Security Framework — automatisierte statische & dynamische Analyse für Android/iOS APKs und IPAs.
GitHub Docs
Frida
Dynamic Instrumentation Toolkit — Funktionen hooken, SSL Pinning umgehen, App-Verhalten zur Laufzeit manipulieren.
frida.re GitHub
Objection
Runtime Mobile Exploration (Frida-basiert) — SSL Pinning Bypass, Root Detection umgehen, Memory Dump. Keine Jailbreak nötig.
GitHub
APKTool & jadx
APK dekompilieren → Smali-Code (APKTool) oder Java-Code (jadx). Hardcoded Secrets, API-Endpoints, Logik analysieren.
apktool.org jadx GitHub
Drozer Android
Android Security Testing Framework — Attack Surface Analyse, Content Provider Exploits, IPC-Schwachstellen.
GitHub
OWASP Mobile (MAS)
OWASP Mobile Top 10 + MAS Testing Guide (MASTG) + MASVS — vollständige Mobile Security Referenz.
Mobile Top 10 MASTG MASVS

Physical & Social Engineering

Flipper Zero Physical
Multi-Tool für Physical Pentests: Sub-GHz, NFC, RFID, IR, BadUSB, GPIO. Dokumentation + Community-Firmware.
docs.flipper.net Unleashed Firmware
USB Keystroke Injection
Rubber Ducky / O.MG Cable / BadUSB — automatisierte Tastatureingaben beim Einstecken. Payload-Bibliothek von Hak5.
Hak5 Payloads Rubber Ducky
SET — Social Engineering Toolkit
Phishing, Credential Harvesting, Spear-Phishing, Website Klonen, Payload-Delivery. Metasploit-Integration.
GitHub social-engineer.org
GoPhish
Open-Source Phishing-Framework — Kampagnen-Management, Landing Pages, E-Mail-Tracking, Reporting.
getgophish.com GitHub
Evilginx2
Man-in-the-Middle Phishing Framework — Session Cookies stehlen, MFA/2FA bypassen. Modular via Phishlets.
GitHub Blogpost
Physical Security Bypass
Lock Picking, Bypass-Werkzeuge, Badge-Cloning. TOOOL & LockPickingLawyer als Lernressourcen.
TOOOL LockPickingLawyer MITRE T1588

WiFi Hacking — Wireless Pentesting

Aircrack-ng + hcxtools Wireless
WPA2 Handshake & PMKID Capture, Cracking mit Hashcat. hcxdumptool für clientloses PMKID-Angriff — kein Deauth nötig.
Aircrack-ng Docs hcxdumptool hcxtools Hashcat WPA2 Wiki
WiFi Pineapple Mark VII Hak5
Rogue AP, Evil Twin, PineAP Engine, Recon & Capture. Offizielle Docs + Community-Module (Kismet, nmap, tcpdump).
Offizielle Docs Community Module Hak5 Shop
airgeddon
All-in-One Bash-Framework für WiFi-Audits: Evil Twin, Captive Portal, WPA/WPA2-Cracking, DoS/Deauth, WPS-Angriffe.
GitHub Wiki MITRE T1465

Web Auth — JWT · 2FA/MFA · OAuth

JWT Hacking Auth
none-Algorithm, alg:RS256→HS256 Confusion, Weak Secret Bruteforce, jwk/jku Header Injection. jwt_tool für alle Angriffe.
PortSwigger JWT Labs jwt_tool (ticarpi) jwt_tool Wiki jwt.io Debugger HackTricks JWT
2FA / MFA Bypass Auth
OTP Bruteforce, Response Manipulation, MFA Fatigue (Push Bombing), Phishing-Proxy (Evilginx2), Direct Endpoint Access.
PortSwigger MFA Labs Evilginx2 Modlishka MITRE T1621
OAuth 2.0 Angriffe Auth
redirect_uri Bypass, fehlender state-Parameter, Token Leakage via Open Redirect, Implicit Flow Abuse, PKCE Downgrade.
PortSwigger OAuth Labs PayloadsAllTheThings oauth2-pentest MITRE T1550.001

MITRE ATT&CK — Taktiken

TA0001 · Initial Access
attack.mitre.org
TA0002 · Execution
attack.mitre.org
TA0003 · Persistence
attack.mitre.org
TA0004 · Privilege Escalation
attack.mitre.org
TA0005 · Defense Evasion
attack.mitre.org
TA0006 · Credential Access
attack.mitre.org
TA0007 · Discovery
attack.mitre.org
TA0008 · Lateral Movement
attack.mitre.org
TA0009 · Collection
attack.mitre.org
TA0010 · Exfiltration
attack.mitre.org
TA0011 · C2
attack.mitre.org
TA0040 · Impact
attack.mitre.org

Detection & Monitoring

Sigma Rules Detection
Plattform-agnostische Detection-Regeln für SIEM-Systeme. Konvertierbar zu Splunk, Elastic, QRadar.
GitHub Sigma Converter
YARA
Pattern-Matching für Malware-Klassifikation. Regex + Binary-Pattern in Rules.
Docs Awesome YARA
Sysmon Config
SwiftOnSecurity Sysmon-Konfiguration — Best-Practice Logging für Windows-Endpoints.
GitHub
Elastic Detection Rules
Offizielle Elastic SIEM Detection Rules — ATT&CK-gemappt, aktiv gepflegt.
GitHub
Splunk Security Content
Splunk Threat Research — Detections, Playbooks, Hunting Queries.
research.splunk.com
MITRE D3FEND
Defensiv-Gegenstück zu ATT&CK — Countermeasures zu Angriffstechniken gemappt.
d3fend.mitre.org

Forensics & Incident Response

Volatility 3
Memory Forensics Framework — RAM-Dumps analysieren, Prozesse, Netzwerk, Malware.
GitHub Docs
KAPE
Kroll Artifact Parser & Extractor — schnelle Windows-Artifact-Collection für IR.
kroll.com
Eric Zimmerman Tools
Kollektion von Windows Forensic Tools: MFT-Analyse, Registry, Prefetch, Timeline.
ericzimmerman.github.io
Velociraptor
Endpoint Visibility & DFIR — Remote-Forensics, Live-Hunting, Artifact-Collection.
Docs GitHub
TheHive
Open-Source IR-Plattform: Case Management, Observables, Cortex-Integration.
thehive-project.org
Autopsy
Open-Source Disk-Forensics: Disk Images analysieren, Timeline, Keyword-Search.
autopsy.com

Threat Intelligence

MISP
Malware Information Sharing Platform — IoC-Sharing, Correlation, STIX/TAXII.
misp-project.org
AlienVault OTX
Open Threat Exchange — IoC-Feeds, Pulses, Community Threat Intel (kostenlos).
otx.alienvault.com
CISA KEV
Known Exploited Vulnerabilities — aktiv ausgenutzte CVEs laut CISA. Patch-Priorität.
cisa.gov
OpenCTI
Open Cyber Threat Intelligence Platform — Strukturierte TI, ATT&CK-Integration.
opencti.io GitHub

Network Analysis

Wireshark NetworkMiner Zeek Suricata Snort

Windows Event IDs — Detection Cheatsheet

Authentifizierung & Logon Auth
Kritische Event IDs für Login-Monitoring und Brute-Force-Detection.
4624 — Erfolgreicher Logon (Type 3=Network, 10=RemoteInteractive) 4625 — Fehlgeschlagener Logon → Brute-Force-Indikator 4648 — Logon mit expliziten Credentials (Pass-the-Hash!) 4672 — Sonderrechte zugewiesen (Admin-Logon) 4634 — Logoff
Kerberos AD-Angriffe
Event IDs für Kerberoasting, AS-REP Roasting und Ticket-Missbrauch.
4768 — Kerberos TGT angefordert 4769 — Kerberos Service Ticket angefordert → Kerberoasting! 4771 — Kerberos Pre-Auth fehlgeschlagen → AS-REP Roasting 4776 — NTLM-Authentifizierung → Pass-the-Hash Indikator 4662 — Objekt-Op. mit Replik.-Rechten → DCSync Indikator!
Process & Execution Detection
Prozess-Erstellung und PowerShell-Logging — Basis für fast jede Detection-Rule.
4688 — Prozess erstellt (+ Commandline wenn konfiguriert) 4104 — PS Script Block Logging → verdächtige PS-Befehle 4103 — PS Module Logging 7045 — Neuer Service installiert → Persistence! 4697 — Service im System installiert
Account & Group Management
User- und Gruppen-Änderungen — Persistence, PrivEsc, Insider Threat.
4720 — User-Account erstellt 4726 — User-Account gelöscht 4728 — User zu globaler Sicherheitsgruppe hinzugefügt 4732 — User zu lokaler Administratorengruppe hinzugefügt! 4756 — User zu universeller Sicherheitsgruppe hinzugefügt
Vollständige Referenz: Ultimate Windows Security Encyclopedia · Sysmon DFIR · MITRE DS0002

SIEM-Queries — Splunk SPL & KQL

Brute Force Detection Splunk SPL
Viele fehlgeschlagene Logins von derselben Quelle in kurzem Zeitraum.
index=windows EventCode=4625 | stats count by src_ip, user | where count > 10 | sort -count SPL Referenz
Brute Force Detection KQL / Sentinel
Failed Sign-Ins aus Azure AD — für Microsoft Sentinel / Defender.
SigninLogs | where ResultType != "0" | summarize FailCount=count() by UserPrincipalName, IPAddress | where FailCount > 10 | order by FailCount desc KQL Referenz
Pass-the-Hash / Lateral Movement SPL
Netzwerk-Logons (Typ 3) mit NTLM — häufiges PTH-Muster.
index=windows EventCode=4624 LogonType=3 AuthenticationPackageName=NTLM | stats count by src_ip, dest, user | where count > 3 T1550.002
Verdächtiges PowerShell SPL
Script Block Logging (4104) — encodierte Befehle, Download-Cradles, AMSI-Bypass.
index=windows EventCode=4104 | search ScriptBlockText IN ("*-EncodedCommand*","*IEX*", "*DownloadString*","*bypass*") | table _time, host, user, ScriptBlockText T1059.001
LSASS Credential Dumping KQL
Prozesse die auf lsass.exe zugreifen — Mimikatz, ProcDump, Task Manager Dump.
DeviceProcessEvents | where FileName == "lsass.exe" or InitiatingProcessFileName has "lsass" | where ActionType == "ProcessAccessed" | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine T1003.001
SIEM Query-Ressourcen
Kuratierte Bibliotheken für Detection-Queries — Sigma, Elastic, Splunk, Sentinel.
Sigma Rules Splunk Research Elastic Rules Sentinel Detections

MITRE-Familie

FrameworkZweckLink
ATT&CKAngriffstaktiken & Techniken (Enterprise, Mobile, ICS)attack.mitre.org
D3FENDDefensive Countermeasures zu ATT&CK-Technikend3fend.mitre.org
CARCyber Analytics Repository — Detection Analyticscar.mitre.org
ATLASAI/ML Attack Tactics — Adversarial MLatlas.mitre.org

OWASP

ProjektBeschreibungLink
Top 10 (2021)Web Application Security Risikenowasp.org/Top10
Testing Guide (WSTG)Web Security Testing Methodik — vollständigWSTG
API Security Top 10REST/GraphQL API-Schwachstellenowasp.org
LLM Top 10KI & LLM-spezifische Sicherheitsrisikenowasp.org
Mobile Top 10Mobile Application Securityowasp.org

Weitere Standards & Frameworks

FrameworkBeschreibungLink
PTESPenetration Testing Execution Standard — vollständige Methodikpentest-standard.org
NIST CSFCybersecurity Framework — Identify/Protect/Detect/Respond/Recovernist.gov
CIS Controls v818 priorisierte Security Controls — Implementierungsgruppencisecurity.org
CVSS v3.1 CalculatorVulnerability Scoring — Base, Temporal, EnvironmentalNVD Calculator

Häufige Tool-Dokumentationen

Nmap
nmap.org/docs.html
Metasploit
docs.metasploit.com
Burp Suite
portswigger.net
Wireshark
wireshark.org/docs
Hashcat
hashcat.net/wiki
Impacket
impacket.readthedocs.io
ffuf
GitHub Wiki
BloodHound
bloodhound.readthedocs.io
Volatility 3
readthedocs.io
Sigma
GitHub Wiki

🔥 Aktuelle CVEs (Critical)

NVD · VPS-Cache wird geladen…
Lade CVEs…

⚠️ CISA KEV (aktiv ausgenutzt)

CISA · Known Exploited wird geladen…
Lade KEV…

📰 Security News

THN · Krebs · SANS · BleepComp wird geladen…
Lade News…

💣 Recent Exploits

Exploit-DB · RSS wird geladen…
Lade Exploits…

🌍 Threat Maps & Intelligence

🗺 Checkpoint ThreatCloud
Live Cyber Attack Map
🗺 Kaspersky Cyberthreat
Globale Angriffs-Visualisierung
🗺 Cloudflare Radar
Internet Traffic & Security Trends
🗺 Talos Intelligence
IP/Domain Reputation & Threat Map
🔍 AlienVault OTX
Open Threat Exchange · IoC Pulses
⚠️ CISA KEV
Known Exploited Vulnerabilities
💣 Exploit-DB
Public Exploits & PoCs
🐙 GitHub Advisory DB
Open Source Vulnerability Advisories

Lernplattformen

TryHackMe Empfohlen
Guided Learning Paths & Rooms. Ideal für strukturiertes Lernen. Browser-basierte VMs.
tryhackme.com Learning Paths
HackTheBox
Machines, Challenges, Pro Labs. Anspruchsvoller als THM, sehr praxisnah.
hackthebox.com HTB Academy
PortSwigger Web Academy kostenlos
Bestes kostenloses Web-Security-Training. Labs zu allen Web-Schwachstellen. Von Burp-Machern.
portswigger.net/web-security
TCM Security Academy
Praktische Pentest-Kurse von Heath Adams. PNPT-Vorbereitung, sehr hands-on.
academy.tcm-sec.com
IppSec · HTB Writeup-Suche
Durchsuche alle IppSec-Videos nach Tool oder Technik. Ideal zum Nachschlagen von HTB-Techniken.
ippsec.rocks
PentesterLab
Web Security & Code Review Labs. Zertifikate für einzelne Themengebiete.
pentesterlab.com
Blue Team Labs Online
SOC Analyst Training, Forensics, Incident Response — rein defensiver Fokus.
blueteamlabs.online

🤖 AI Security — Hands-on Labs & Challenges

Gandalf Challenge
Bringe Gandalf dazu, sein Passwort zu verraten — jede Runde mit besseren Guardrails. Bestes Einsteiger-Lab für Prompt Injection.
gandalf.lakera.ai
Prompt Airlines Challenge
CTF-artige Prompt Injection Challenges in einem Airline-Szenario. Verschiedene Schwierigkeitsstufen.
promptairlines.com
Doublespeak Challenge
Interaktive Prompt Injection Challenges — verschiedene LLM-Szenarien zum Testen von Jailbreak-Techniken.
doublespeak.chat
AI Goat Vulnerable App
Deliberately vulnerable AI/LLM-Anwendung zum Üben — das DVWA für KI-Sicherheit. Prompt Injection, Modell-Extraktion, Data Poisoning.
GitHub
AI Hacking for Beginners
Strukturierter Einstiegskurs in AI/LLM Security — von Grundlagen bis zu praktischen Angriffen auf generative KI-Systeme.
GitHub
MyLLMBank
Sammlung von LLM-Ressourcen, Modellen und Tools für Security Research und Red Teaming gegen KI-Systeme.
myllmbank.com

Zertifizierungen

ZertifikatAnbieterSchwerpunktLevel
OSCPOffensive SecurityPentest, Exploitation, Buffer OverflowFortgeschritten
PNPTTCM SecurityPractical Network Pentest (praxisnah)Mittel
eJPTeLearnSecurityEinstieg Penetration TestingEinsteiger
CEHEC-CouncilBroad Security, Multiple Choice-lastigMittel
BTL1Security Blue TeamSOC Analyst, Forensics, IREinsteiger/Mittel
CompTIA Security+CompTIABreite Basis, DoD 8570 approvedEinsteiger
nav ← Index ⊕ OSINT ⊕ SIGINT