Hackbar的安装与使用

一、介绍

Hackbar是一个Firefox浏览器的插件。

作用:用于进行网络渗透测试和安全评估。

有网址的载入于访问,联合查询,各种编码,数据加密,测试SQL注入,XSS漏洞和网站的安全性,帮助开发人员做代码的安全审计,检查代码,寻找安全漏洞的功能。

HackBar 插件的一些主要特点和功能:

**1.自定义请求发送:**HackBar 允许用户自定义 HTTP 请求,并可以通过插件直接发送这些请求。用户可以手动构造 GET、POST、PUT、DELETE 等类型的请求,并添加自定义的 HTTP 头部、参数等信息。

2.编码/解码工具: URL 编码、Base64 编码、MD5 加密等。用于在渗透测试中对数据进行编码或解码,以绕过一些安全机制或进行数据处理。

**3.漏洞检测:**帮助用户检测网站中常见的漏洞,例如 XSS、SQL 注入、CSRF 等。用户可以通过插件发送特定的测试请求,然后分析响应来确定目标网站是否存在漏洞。

**4.Cookie 管理:**允许用户管理浏览器中的 Cookie,包括添加、编辑、删除 Cookie 等操作。这对于进行身份验证、绕过登录限制等方面的渗透测试非常有用。

**5.参数注入:**HackBar 提供了一个参数注入工具,可以帮助用户在 URL 中注入自定义的参数。用户可以使用这个工具测试网站的安全性,尝试发现潜在的漏洞。

二、安装

打开火狐浏览器点击右上角的三条杠,点击扩展和主题

搜索输入 HackBar,选择 V2 版本,点进去添加。

三、使用方法

按F12打开开发者工具

Encryption

是加密,各种加密方法。

Encoding

是Base64、URL 、十六进制编码/解码(Encode/Decode)

使用方法分为两种,若未选择数据,则会弹出一个框框,让你输入待编码/解码的内容;若选择数据,则会对选中的数据执行相应的编码和解码。

SQL模块

是提供一些方便查询的语句。

(1)Char

MySQL CHAR(),传入参数,进行函数转换。

MySQL CHAR() 函数的语法:

CHAR(num1, num2, ...)

参数num1, num2, ...整数,或者能转为整数的值。包含的 NULL 值将被 CHAR() 函数忽略。

返回值,CHAR() 函数返回一个字符串,其中的字符由每个整数参数对应的字符组成。

例:SELECT

CHAR(65, 66, 67),

CHAR(65, '66', '67'),

CHAR(65.4, '66.5', '67.6'),

CHAR(65, 66, NULL, 67)\G

(2)MySQL

CONVERT() 函数用于在不同字符集之间转换数据。所以当提到CONVERT USING Latin-1 时,实际上就是将某个字符串从当前字符集或指定字符集转换为 Latin-1 字符集。

(3)Union 模块

快速帮我们填写 "union select"

(4)Spaces to inline comments

为了绕过 SQL 注入中空格被过滤的情况。

比如,在输入框中输入 `select * from users;`然后单击该选项,则会变为如下的样子select/**/*/**/rom/"/users;

XSS 跨站脚本攻击模块

(1)String.fromCharCode:

将我们输入的值进行 Unicode 编码,并返回。

(2)HTML Characters:

将我们输入的值转换为 HTML 字符集,比如<,会变成&#60;。

(3)XSS Alert:

生成一个简单的弹窗语法<script>alert(1)</script>

LFI 本地文件包含模块

(1) Basic 基础语法

基础语法中,都是一些常见的本地文件包含的 Payload,和一些常见的绕过 Payload。

(2)Using wrappers - PHP 伪协议

Using wrappers 中,封装的都是一些针对 PHP 伪协议的本地文件包含语句,如果碰到后端为 PHP 的站点,可以试一试。

XXE 外部实体注入模块

提供了一些现成的攻击 Payload。

Other附加模块

(1)Jsonify:

将输入的内容转换为 JSON 格式的字符串。

(2)Uppercase:

将选中内容中的小写字母全部转换为大写。

(3)Lowercase:

将选中内容中的大写字母全部转换为小写。

Load URL:

将当前浏览器的地址栏url复制到输入框中。

Split URL:

分割提交参数,并且一个参数占一行。

Execute:

是发送,点击 Execute 即可发送编辑好的 URL(按F5)

Post data:

以post的方式提交数据。

Add Header:

添加指定的请求头。

Clear All:

清除我自己添加的请求头(通过点击 Load URL 按钮加载的请求头并不会被清除掉)。

相关推荐
HackTwoHub6 小时前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
ccino .8 小时前
Hackerone-地址栏xss
网络安全·xss
数据知道9 小时前
网络安全工具箱:100+ 工具分类速查与选型建议
安全·web安全·网络安全
txg66610 小时前
路径级持久化模糊测试:XSSky 如何精准击破 XSS 漏洞
深度学习·安全·web安全·网络安全·xss
红信鸽11 小时前
2026 年 AI 钓鱼攻击现状与防御深度解析
网络安全
数据知道14 小时前
安全实验室搭建指南:一台电脑搭出完整靶场环境
安全·网络安全·电脑
LYFlied1 天前
EVMbench解读:AI Agent如何检测、修复并利用智能合约漏洞
人工智能·网络安全·openai·智能合约·ai agent·evm·智能合约区块链
Hiyajo pray1 天前
属性sdn隐私保护分析
网络安全
Hiyajo pray1 天前
属性sdn的隐私保护策略(1)
网络安全
HackTwoHub1 天前
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构