小米范滲透測試瀏覽器是一款以chrome內核為基礎,添加了一些滲透常用功能的瀏覽器。
工具需使用java 1.8以上版本運行。
主要功能包括:
1、自動修改http頭(Host、 Referer、Cookie、User-Agent);
2、POST提交。
3、請求攔截、修改(此攔截並非使用代理的方式,不存在https安裝證書的問題,但是有些地方也沒有代理攔截那么方便)。
4、代理快速切換。
5、網頁URL提取。
6、端口掃描。
7、目錄掃描。
8、basic認證破解。
9、表單認真破解(模擬瀏覽器操作、可繞過前端js加密、但速度慢、用於少量口令破解)。
10、域名反查(調用愛站)。
11、二級域名查詢(調用netcraft)。
12、FUZZ,可自定義規則,在參數后面、URL后面、URL根路徑、URL問號后面插入payload、或自定義HTTP頭,支持POST(在抓包重放表格選擇右鍵即可)。
13、右鍵發送到sqlmap(自動識別https/http),需要安裝sqlmap,支持sqlmap -r/-u參數,支持POST(在抓包重放表格選擇右鍵即可)。
14、抓包/修改重放。
15、網頁源碼格式化/編輯並以dom的方式保存至當前網頁。
16、1.5版本增加url批量存活檢測功能,針對存活的URL可以使用內置瀏覽器打開進行測試。
參數說明:
User-Agent頭可以選擇內置的也可以自己輸入,輸入后按回車即可。
代理切換,可以選擇內置的也可以自己輸入,格式192.168.1.1:8080,輸入后按回車即可。
用戶名密碼字典及fuzz字典均放在dict目錄下,可自行修改。
瀏覽器緩存放在AppData文件夾。
最新版本下載地址:http://pan.baidu.com/s/1c1NDSVe 文件名 XmfBrowser
FUZZ規則根據自己的需求自行添加,規則格式如下:(前綴:payload),示例如下
不同的前綴表示payload插入的位置:
另外針對不適用的規則會快速跳過,比如FUZZ一個沒有參數的請求,則afterparameters類的規則會快速跳過。
最新版本下載地址:http://www.cnblogs.com/SEC-fsq/p/5736675.html 文件名 XmfBrowser