热搜词
发表于 2022-6-8 18:23:14 | 显示全部楼层 |阅读模式
什么是Hackbar?
Hackbar是一个Firefox的插件,它的功能类似于地址栏,但是它里面的数据不受服务器的相应触发的重定向等其它变化的影响.
安装hackbar:
在火狐的附加组件中搜索“hackbar”,将它添加到火狐浏览器中, 重启后Firefox后安装完成,按F9键打开我们就会看到在地址栏下面会出现一个大框框就是hackbar了

框框很大碍事怎么办?

简单啊 F9 试试

首先先介绍横向第一排的下拉框:

INT、 HEX、OCT、Alphabet、AlNum分别代表了整数、十六进制、八进制、字母表、所有。

假设你的输入框中有a这个字符,然后你将下拉框调整为Alphabet,再点击右边的“+”,接下来你就会发现字母a变成了字母b!

整数类型的话也是一样,必须调整为INT或者AlNum,它会帮助你自动增长。

Load URL:将当前浏览器的地址栏url复制到输入框中。

Split URL:按照&来分割提交参数,并且一个参数占一行。

Execute:提交请求。

SQL:主要用于SQL注入辅助,支持MySQL、MSSQL、Oracle的字符简单转换,也能够根据输入的数字直接生成联合注入的语句、并且也可以替换空格为注释符。

XSS:用于将字符转换成ASCII码、HTML实体符号,附带生成一个测试XSS漏洞的alert弹窗代码。

Encryption:用于加密字符,支持MD5、SHA1、SHA-256、ROT13

Encoding:用于编码字符, 支持URL编码、Base64编码、十六进制编码。

Other:分别是Addslashes(将特殊字符使用“\”转义)、Stripslashes(去除转义)、Strip spaces(去除空格)、Reverse(字符串反转)。

Usefull strings:一些常量,包括(元周率、菲波那切数列、内存溢出...)

Enable Post data:这里勾选上后,会有一个输入框,使用来提交POST数据的。

Enable Referrer:HTTP请求中的上一个页面的来源地址 。(一般用于测试CSRF防御机制)



网址的载入与访问:

hackbar的一个特点就是在地址栏下面加了一个大框框,这样的话对于一些较长得url可以更加方便的查看了,load url是将地址栏中的网络复制到hackbar中,这样的话我们就可以进行一些测试,在hackbar中回车是换行的意思所以我们要点击execute来访问hackbar中的网址。

联合查询:

在sql注入中有一个联合查询,比如字段数是11要是手工的话我们打出and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11 这样做不是太麻烦了吗?我们通过hackbar的sql选项里面的union select statement在其中输入字段数,hackbar会自动的帮助我们输入那一大串文字,是不是方便了许多呢

各种编码:

我们可以对url进行各种编码操作,我们可以在endoding选项下进行url/16进制/base64进行编码解码,可以在xss选项下进行html实体编码,在sql选项下进行空格编码。

数据加密:

在encryption选项中我们可以进行md5,sha1,sha256,rot13加密,单击里面的选项,在弹出的对话框中输入要加密的数据,确认后会在hackbar中显示

enable Referrer

Referrer是伪装来源地址的选项;

2、在其对应的填写框录入要伪装的地址即可;

3、执行hack操作即可模拟该Referrer。



这里是一些快捷键

- Load url ( Alt + A )

- Split url ( Alt + S )

- Execute ( Alt + X, Ctrl + Enter )

- INT -1 ( Alt - )

- INT +1 ( Alt + )

- HEX -1 ( Ctrl Alt - )

- HEX +1 ( Ctrl + Alt + )

- MD5 Hash ( Alt + M )

- MySQL CHAR() ( Alt + Y )

- MS SQL Server CHAR() ( Alt + Q )

另外,有些功能是冗余的,不会不熟的。。不要紧





有网址的载入于访问****,联合查询**,各种编码,数据加密功能.
这个Hackbar可以帮助你在测试SQL注入**,XSS漏洞和网站的安全性****,主要是帮助开发人员做代码的安全审计**,检查代码,寻找安全漏洞
————————————————
02.png

SQL:提供三种数据库的sql查询语句,以及一些方便联合查询的语句
XSS:提供xss攻击语句
string.fromcharcode():将根据UNICODE 值来输出xss语句
html charactor : 将XSS语句转化为HTML字符实体(以&开头)
alert(xss) statement : 构建一条xss测试语句,弹出一个框内容为xss,相当于alert(‘xss’);
Encryption:对所选字符进行加密,提供了MD5,SHA-1,SHA-256,ROT13等加密方式
Encoding:对所选字符进行编码解码,提供了Base64 Encode,Base64 Decode,URLencode,URLdecode,
HEX encoding, HEX decoding等方式
Other:
addslashes:在每个双引号前加反斜杠
stripslashes:除去所选字符中的反斜杠
strip space:除去所选字符中的空格
reverse:将所选字符倒序排列
usefull strings:提供了一些特殊的数值如圆周率PI,斐波那契数列等,其中buffer overflow 可以输入一定长度的字符造成缓存溢出攻击





全部评论0
回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-12-25 15:31 , Processed in 0.161367 second(s), 25 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team