安裝hackbar:
在火狐的附加組件中搜索“hackbar”,將它添加到火狐瀏覽器中, 重啟后Firefox后安裝完成,按F9鍵打開我們就會看到在地址欄下面會出現一個大框框就是hackbar了
框框很大礙事怎么辦?
簡單啊 F9 試試
首先先介紹橫向第一排的下拉框:
INT、 HEX、OCT、Alphabet、AlNum分別代表了整數、十六進制、八進制、字母表、所有。
假設你的輸入框中有a這個字符,然后你將下拉框調整為Alphabet,再點擊右邊的“+”,接下來你就會發現字母a變成了字母b!
整數類型的話也是一樣,必須調整為INT或者AlNum,它會幫助你自動增長。
Load URL:將當前瀏覽器的地址欄url復制到輸入框中。
Split URL:按照&來分割提交參數,並且一個參數占一行。
Execute:提交請求。
SQL:主要用於SQL注入輔助,支持MySQL、MSSQL、Oracle的字符簡單轉換,也能夠根據輸入的數字直接生成聯合注入的語句、並且也可以替換空格為注釋符。
XSS:用於將字符轉換成ASCII碼、HTML實體符號,附帶生成一個測試XSS漏洞的alert彈窗代碼。
Encryption:用於加密字符,支持MD5、SHA1、SHA-256、ROT13
Encoding:用於編碼字符, 支持URL編碼、Base64編碼、十六進制編碼。
Other:分別是Addslashes(將特殊字符使用“\”轉義)、Stripslashes(去除轉義)、Strip spaces(去除空格)、Reverse(字符串反轉)。
Usefull strings:一些常量,包括(元周率、菲波那切數列、內存溢出...)
Enable Post data:這里勾選上后,會有一個輸入框,使用來提交POST數據的。
Enable Referrer:HTTP請求中的上一個頁面的來源地址 。(一般用於測試CSRF防御機制)
網址的載入與訪問:
hackbar的一個特點就是在地址欄下面加了一個大框框,這樣的話對於一些較長得url可以更加方便的查看了,load url是將地址欄中的網絡復制到hackbar中,這樣的話我們就可以進行一些測試,在hackbar中回車是換行的意思所以我們要點擊execute來訪問hackbar中的網址。
聯合查詢:
在sql注入中有一個聯合查詢,比如字段數是11要是手工的話我們打出and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11 這樣做不是太麻煩了嗎?我們通過hackbar的sql選項里面的union select statement在其中輸入字段數,hackbar會自動的幫助我們輸入那一大串文字,是不是方便了許多呢
各種編碼:
我們可以對url進行各種編碼操作,我們可以在endoding選項下進行url/16進制/base64進行編碼解碼,可以在xss選項下進行html實體編碼,在sql選項下進行空格編碼。
數據加密:
在encryption選項中我們可以進行md5,sha1,sha256,rot13加密,單擊里面的選項,在彈出的對話框中輸入要加密的數據,確認后會在hackbar中顯示
enable Referrer
Referrer是偽裝來源地址的選項;
2、在其對應的填寫框錄入要偽裝的地址即可;
3、執行hack操作即可模擬該Referrer。
這里是一些快捷鍵
- Load url ( Alt + A )
- Split url ( Alt + S )
- Execute ( Alt + X, Ctrl + Enter )
- INT -1 ( Alt - )
- INT +1 ( Alt + )
- HEX -1 ( Ctrl Alt - )
- HEX +1 ( Ctrl + Alt + )
- MD5 Hash ( Alt + M )
- MySQL CHAR() ( Alt + Y )
- MS SQL Server CHAR() ( Alt + Q )
另外,有些功能是冗余的,不會不熟的。。不要緊
作者:極客資源君
鏈接:https://www.jianshu.com/p/02dcc7348436
來源:簡書
簡書著作權歸作者所有,任何形式的轉載都請聯系作者獲得授權並注明出處。