Hackbar的安装与使用

莫名有雪2024-12-16 13:09

一、介绍

Hackbar是一个Firefox浏览器的插件。

作用:用于进行网络渗透测试和安全评估。

有网址的载入于访问,联合查询,各种编码,数据加密,测试SQL注入,XSS漏洞和网站的安全性,帮助开发人员做代码的安全审计,检查代码,寻找安全漏洞的功能。

HackBar 插件的一些主要特点和功能:

**1.自定义请求发送:**HackBar 允许用户自定义 HTTP 请求,并可以通过插件直接发送这些请求。用户可以手动构造 GET、POST、PUT、DELETE 等类型的请求,并添加自定义的 HTTP 头部、参数等信息。

2.编码/解码工具: URL 编码、Base64 编码、MD5 加密等。用于在渗透测试中对数据进行编码或解码,以绕过一些安全机制或进行数据处理。

**3.漏洞检测:**帮助用户检测网站中常见的漏洞,例如 XSS、SQL 注入、CSRF 等。用户可以通过插件发送特定的测试请求,然后分析响应来确定目标网站是否存在漏洞。

**4.Cookie 管理:**允许用户管理浏览器中的 Cookie,包括添加、编辑、删除 Cookie 等操作。这对于进行身份验证、绕过登录限制等方面的渗透测试非常有用。

**5.参数注入:**HackBar 提供了一个参数注入工具,可以帮助用户在 URL 中注入自定义的参数。用户可以使用这个工具测试网站的安全性,尝试发现潜在的漏洞。

二、安装

打开火狐浏览器点击右上角的三条杠,点击扩展和主题

搜索输入 HackBar,选择 V2 版本,点进去添加。

三、使用方法

按F12打开开发者工具

Encryption

是加密,各种加密方法。

Encoding

是Base64、URL 、十六进制编码/解码(Encode/Decode)

使用方法分为两种,若未选择数据,则会弹出一个框框,让你输入待编码/解码的内容;若选择数据,则会对选中的数据执行相应的编码和解码。

SQL模块

是提供一些方便查询的语句。

(1)Char

MySQL CHAR(),传入参数,进行函数转换。

MySQL CHAR() 函数的语法:

CHAR(num1, [num2, ...])

参数num1, [num2, ...]整数,或者能转为整数的值。包含的 NULL 值将被 CHAR() 函数忽略。

返回值,CHAR() 函数返回一个字符串,其中的字符由每个整数参数对应的字符组成。

例:SELECT

CHAR(65, 66, 67),

CHAR(65, '66', '67'),

CHAR(65.4, '66.5', '67.6'),

CHAR(65, 66, NULL, 67)\G

(2)MySQL

CONVERT() 函数用于在不同字符集之间转换数据。所以当提到CONVERT USING Latin-1 时,实际上就是将某个字符串从当前字符集或指定字符集转换为 Latin-1 字符集。

(3)Union 模块

快速帮我们填写 "union select"

(4)Spaces to inline comments

为了绕过 SQL 注入中空格被过滤的情况。

比如,在输入框中输入 `select * from users;`然后单击该选项,则会变为如下的样子select/**/*/**/rom/"/users;

XSS 跨站脚本攻击模块

(1)String.fromCharCode:

将我们输入的值进行 Unicode 编码,并返回。

(2)HTML Characters:

将我们输入的值转换为 HTML 字符集,比如<,会变成&#60;。

(3)XSS Alert:

生成一个简单的弹窗语法<script>alert(1)</script>

LFI 本地文件包含模块

(1) Basic 基础语法

基础语法中,都是一些常见的本地文件包含的 Payload,和一些常见的绕过 Payload。

(2)Using wrappers - PHP 伪协议

Using wrappers 中,封装的都是一些针对 PHP 伪协议的本地文件包含语句,如果碰到后端为 PHP 的站点,可以试一试。

XXE 外部实体注入模块

提供了一些现成的攻击 Payload。

Other附加模块

(1)Jsonify:

将输入的内容转换为 JSON 格式的字符串。

(2)Uppercase:

将选中内容中的小写字母全部转换为大写。

(3)Lowercase:

将选中内容中的大写字母全部转换为小写。

Load URL:

将当前浏览器的地址栏url复制到输入框中。

Split URL:

分割提交参数,并且一个参数占一行。

Execute:

是发送,点击 Execute 即可发送编辑好的 URL(按F5)

Post data:

以post的方式提交数据。

Add Header:

添加指定的请求头。

Clear All:

清除我自己添加的请求头(通过点击 Load URL 按钮加载的请求头并不会被清除掉)。

相关推荐
云空1 小时前
《DeepSeek 网页/API 性能异常(DeepSeek Web/API Degraded Performance):网络安全日志》
运维·人工智能·web安全·网络安全·开源·网络攻击模型·安全威胁分析
doubt。1 小时前
8.攻防世界Web_php_wrong_nginx_config
网络·安全·web安全·网络安全
aaaweiaaaaaa5 小时前
php的使用及 phpstorm环境部署
android·web安全·网络安全·php·storm
泪不是Web妳而流9 小时前
BurpSuite抓包与HTTP基础
网络·经验分享·网络协议·安全·http·网络安全·学习方法
doubt。10 小时前
3.攻防世界Web_php_unserialize
网络·安全·web安全·网络安全·php·代码复审
doubt。14 小时前
1.攻防世界easyphp
网络·安全·web安全·网络安全·php·代码复审
浩浩测试一下21 小时前
渗透测试之WAF组合条件绕过方式手法详解以及SQL注入参数污染绕过
安全·web安全·网络安全·系统安全·可信计算技术·安全架构
codkingo1 天前
CSRF 跨站请求伪造漏洞
web安全·http·网络安全·csrf
doubt。1 天前
【BUUCTF】[羊城杯 2020]Blackcat1
网络·安全·web安全·网络安全·php
仇辉攻防1 天前
【AI】DeepSeek 概念/影响/使用/部署
人工智能·网络安全·ai·语言模型·chatgpt·ddos
热门推荐
01DeepSeek r1本地安装全指南02【deepseek】deepseek-r1本地部署-第一步:下载LM Studio03将DeepSeek接入Word,打造AI办公助手04使用Ollama 在Ubuntu运行deepseek大模型:以DeepSeek-coder为例05新鲜速递:DeepSeek-R1开源大模型本地部署实战—Ollama + MaxKB 搭建RAG检索增强生成应用06Dell服务器升级ubuntu 22.04失败解决07DeepSeek学术写作测评第一弹:论文润色,中译英效果如何?08如何解压7z文件?8种方法(Win/Mac/手机/网页端)09半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)10DeepSeek 云端部署,释放无限 AI 潜力!