Hackbar的安装与使用

莫名有雪2024-12-16 13:09

一、介绍

Hackbar是一个Firefox浏览器的插件。

作用:用于进行网络渗透测试和安全评估。

有网址的载入于访问,联合查询,各种编码,数据加密,测试SQL注入,XSS漏洞和网站的安全性,帮助开发人员做代码的安全审计,检查代码,寻找安全漏洞的功能。

HackBar 插件的一些主要特点和功能:

**1.自定义请求发送:**HackBar 允许用户自定义 HTTP 请求,并可以通过插件直接发送这些请求。用户可以手动构造 GET、POST、PUT、DELETE 等类型的请求,并添加自定义的 HTTP 头部、参数等信息。

2.编码/解码工具: URL 编码、Base64 编码、MD5 加密等。用于在渗透测试中对数据进行编码或解码,以绕过一些安全机制或进行数据处理。

**3.漏洞检测:**帮助用户检测网站中常见的漏洞,例如 XSS、SQL 注入、CSRF 等。用户可以通过插件发送特定的测试请求,然后分析响应来确定目标网站是否存在漏洞。

**4.Cookie 管理:**允许用户管理浏览器中的 Cookie,包括添加、编辑、删除 Cookie 等操作。这对于进行身份验证、绕过登录限制等方面的渗透测试非常有用。

**5.参数注入:**HackBar 提供了一个参数注入工具,可以帮助用户在 URL 中注入自定义的参数。用户可以使用这个工具测试网站的安全性,尝试发现潜在的漏洞。

二、安装

打开火狐浏览器点击右上角的三条杠,点击扩展和主题

搜索输入 HackBar,选择 V2 版本,点进去添加。

三、使用方法

按F12打开开发者工具

Encryption

是加密,各种加密方法。

Encoding

是Base64、URL 、十六进制编码/解码(Encode/Decode)

使用方法分为两种,若未选择数据,则会弹出一个框框,让你输入待编码/解码的内容;若选择数据,则会对选中的数据执行相应的编码和解码。

SQL模块

是提供一些方便查询的语句。

(1)Char

MySQL CHAR(),传入参数,进行函数转换。

MySQL CHAR() 函数的语法:

CHAR(num1, [num2, ...])

参数num1, [num2, ...]整数,或者能转为整数的值。包含的 NULL 值将被 CHAR() 函数忽略。

返回值,CHAR() 函数返回一个字符串,其中的字符由每个整数参数对应的字符组成。

例:SELECT

CHAR(65, 66, 67),

CHAR(65, '66', '67'),

CHAR(65.4, '66.5', '67.6'),

CHAR(65, 66, NULL, 67)\G

(2)MySQL

CONVERT() 函数用于在不同字符集之间转换数据。所以当提到CONVERT USING Latin-1 时,实际上就是将某个字符串从当前字符集或指定字符集转换为 Latin-1 字符集。

(3)Union 模块

快速帮我们填写 "union select"

(4)Spaces to inline comments

为了绕过 SQL 注入中空格被过滤的情况。

比如,在输入框中输入 `select * from users;`然后单击该选项,则会变为如下的样子select/**/*/**/rom/"/users;

XSS 跨站脚本攻击模块

(1)String.fromCharCode:

将我们输入的值进行 Unicode 编码,并返回。

(2)HTML Characters:

将我们输入的值转换为 HTML 字符集,比如<,会变成&#60;。

(3)XSS Alert:

生成一个简单的弹窗语法<script>alert(1)</script>

LFI 本地文件包含模块

(1) Basic 基础语法

基础语法中,都是一些常见的本地文件包含的 Payload,和一些常见的绕过 Payload。

(2)Using wrappers - PHP 伪协议

Using wrappers 中,封装的都是一些针对 PHP 伪协议的本地文件包含语句,如果碰到后端为 PHP 的站点,可以试一试。

XXE 外部实体注入模块

提供了一些现成的攻击 Payload。

Other附加模块

(1)Jsonify:

将输入的内容转换为 JSON 格式的字符串。

(2)Uppercase:

将选中内容中的小写字母全部转换为大写。

(3)Lowercase:

将选中内容中的大写字母全部转换为小写。

Load URL:

将当前浏览器的地址栏url复制到输入框中。

Split URL:

分割提交参数,并且一个参数占一行。

Execute:

是发送,点击 Execute 即可发送编辑好的 URL(按F5)

Post data:

以post的方式提交数据。

Add Header:

添加指定的请求头。

Clear All:

清除我自己添加的请求头(通过点击 Load URL 按钮加载的请求头并不会被清除掉)。

相关推荐
世界尽头与你9 小时前
(修复方案)kibana 未授权访问漏洞
安全·网络安全·渗透测试
独角鲸网络安全实验室10 小时前
WhisperPair漏洞突袭:谷歌Fast Pair协议失守,数亿蓝牙设备陷静默劫持危机
网络安全·数据安全·漏洞·蓝牙耳机·智能设备·fast pair·cve-2025-36911
lingggggaaaa12 小时前
安全工具篇&Go魔改二开&Fscan扫描&FRP代理&特征消除&新增扩展&打乱HASH
学习·安全·web安全·网络安全·golang·哈希算法
小李独爱秋14 小时前
计算机网络经典问题透视:无线个人区域网WPAN的主要特点是什么?
计算机网络·网络安全·信息与通信·信号处理·wpan
niaiheni18 小时前
Log4j 漏洞深度分析:CVE-2021-44228 原理与本质
web安全·网络安全·log4j
Whoami!19 小时前
⓫⁄₁₁ ⟦ OSCP ⬖ 研记 ⟧ Windows权限提升 ➱ 未加引号服务路径漏洞利用(上)
windows·网络安全·信息安全·未加引号服务路径
青岑CTF1 天前
攻防世界-Php_rce-胎教版wp
开发语言·安全·web安全·网络安全·php
啥都想学点1 天前
kali 基础介绍(Impact、Forensics)
安全·网络安全
极智-9962 天前
GitHub 热榜项目-日榜精选(2026-02-03)| AI智能体、终端工具、RAG技术等 | claude-mem、99、termux-app等
人工智能·网络安全·github·ai智能体·llm应用·rag技术·torrent工具
lingggggaaaa2 天前
安全工具篇&魔改二开&CheckSum8算法&Beacon密钥&Stager流量&生成机制
学习·算法·安全·web安全·网络安全·免杀对抗
热门推荐
01GitHub 镜像站点02一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示03Vue-skills的中文文档04Claude Code Skills 实用使用手册05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06UV安装并设置国内源07让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南08Linux下V2Ray安装配置指南09OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书10在Trae中使用Pencil MCP