一、介绍
Hackbar是一个Firefox浏览器的插件。
作用:用于进行网络渗透测试和安全评估。
有网址的载入于访问,联合查询,各种编码,数据加密,测试SQL注入,XSS漏洞和网站的安全性,帮助开发人员做代码的安全审计,检查代码,寻找安全漏洞的功能。
HackBar 插件的一些主要特点和功能:
1.自定义请求发送:HackBar 允许用户自定义 HTTP 请求,并可以通过插件直接发送这些请求。用户可以手动构造 GET、POST、PUT、DELETE 等类型的请求,并添加自定义的 HTTP 头部、参数等信息。
2.编码/解码工具: URL 编码、Base64 编码、MD5 加密等。用于在渗透测试中对数据进行编码或解码,以绕过一些安全机制或进行数据处理。
3.漏洞检测:帮助用户检测网站中常见的漏洞,例如 XSS、SQL 注入、CSRF 等。用户可以通过插件发送特定的测试请求,然后分析响应来确定目标网站是否存在漏洞。
4.Cookie 管理:允许用户管理浏览器中的 Cookie,包括添加、编辑、删除 Cookie 等操作。这对于进行身份验证、绕过登录限制等方面的渗透测试非常有用。
5.参数注入:HackBar 提供了一个参数注入工具,可以帮助用户在 URL 中注入自定义的参数。用户可以使用这个工具测试网站的安全性,尝试发现潜在的漏洞。
二、安装
打开火狐浏览器点击右上角的三条杠,点击扩展和主题
搜索输入 HackBar,选择 V2 版本,点进去添加。
三、使用方法
按F12打开开发者工具
Encryption
是加密,各种加密方法。
Encoding
是Base64、URL 、十六进制编码/解码(Encode/Decode)
使用方法分为两种,若未选择数据,则会弹出一个框框,让你输入待编码/解码的内容;若选择数据,则会对选中的数据执行相应的编码和解码。
SQL模块
是提供一些方便查询的语句。
(1)Char
MySQL CHAR(),传入参数,进行函数转换。
MySQL CHAR() 函数的语法:
CHAR(num1, [num2, ...])
参数num1, [num2, ...]整数,或者能转为整数的值。包含的 NULL 值将被 CHAR() 函数忽略。
返回值,CHAR() 函数返回一个字符串,其中的字符由每个整数参数对应的字符组成。
例:SELECT
CHAR(65, 66, 67),
CHAR(65, '66', '67'),
CHAR(65.4, '66.5', '67.6'),
CHAR(65, 66, NULL, 67)\G
(2)MySQL
CONVERT() 函数用于在不同字符集之间转换数据。所以当提到CONVERT USING Latin-1 时,实际上就是将某个字符串从当前字符集或指定字符集转换为 Latin-1 字符集。
(3)Union 模块
快速帮我们填写 "union select"
(4)Spaces to inline comments
为了绕过 SQL 注入中空格被过滤的情况。
比如,在输入框中输入 `select * from users;`然后单击该选项,则会变为如下的样子select/**/*/**/rom/"/users;
XSS 跨站脚本攻击模块
(1)String.fromCharCode:
将我们输入的值进行 Unicode 编码,并返回。
(2)HTML Characters:
将我们输入的值转换为 HTML 字符集,比如<,会变成<。
(3)XSS Alert:
生成一个简单的弹窗语法<script>alert(1)</script>
LFI 本地文件包含模块
(1) Basic 基础语法
基础语法中,都是一些常见的本地文件包含的 Payload,和一些常见的绕过 Payload。
(2)Using wrappers - PHP 伪协议
Using wrappers 中,封装的都是一些针对 PHP 伪协议的本地文件包含语句,如果碰到后端为 PHP 的站点,可以试一试。
XXE 外部实体注入模块
提供了一些现成的攻击 Payload。
Other附加模块
(1)Jsonify:
将输入的内容转换为 JSON 格式的字符串。
(2)Uppercase:
将选中内容中的小写字母全部转换为大写。
(3)Lowercase:
将选中内容中的大写字母全部转换为小写。
Load URL:
将当前浏览器的地址栏url复制到输入框中。
Split URL:
分割提交参数,并且一个参数占一行。
Execute:
是发送,点击 Execute 即可发送编辑好的 URL(按F5)
Post data:
以post的方式提交数据。
Add Header:
添加指定的请求头。
Clear All:
清除我自己添加的请求头(通过点击 Load URL 按钮加载的请求头并不会被清除掉)。
)
