网络安全——FireFox浏览器渗透测试插件

Posted 賺钱娶甜甜

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全——FireFox浏览器渗透测试插件相关的知识,希望对你有一定的参考价值。

一、FireFox的典型插件(下载地址:Firefox 附加组件(zh-CN))

二、插件的通用安装方法

在kali虚拟机中打开Firefox浏览器

1、打开Add-on

 2、在搜索栏中搜索要下载的插件

 3、下载

例如,我下载Hackbar V2 

 会弹窗出来

 

 下载成功后,在浏览器界面按F12,或者找到Web developer 中的 Web console

 然后最右边会有一个Hackbar

 Hackbar还有另外一个常用的版本(Hackbar Quantum),下载完成后会在右上角有个图标

其他插件的下载方法也是一样的

三、Hackbar的使用

1、Hackbar是一个简单的渗透测试工具,能用于测试简单的SQL注入,XSS、本地文件包含、XEE等漏洞

2、Hackbar的基本功能

(1)、load:加载、split:切分、Execute:执行 URL

(2)、对选定的字符串进行加密

 (3)、对选定的字符串进行编/解码

 (4)、提供三种数据库的查询语句

 (5)、提供XSS攻击payload

 (6)、提供本地文件包含(LFI)攻击payload

 (7)、提供XXE攻击payload

 (8)、传递POST表单

 3、利用Hackbar进行SQL注入

(1)、利用sqli-labs靶机的第一关

 (2)、load URL

 (3)、在URL后面加上?id=1并执行,观察结果

 (4)、可以按split URL 进行划分

 (5)、把id=1,改成id=2,可以看到另外一个用户名


 接下来我们拿sqli-labs第11关来练习

post功能的使用

勾选post data ,然后输入uname=admin&passwd=admin,然后点击execute

 


编码功能的使用

利用sqli-labs的第二关

 

 利用编码功能对=进行编码解码,=编码成%3D,点击execute,结果不变

 



 四、其他插件的使用

1、FoxyProxy插件的使用

FoxyProxy主要是配合Burpsuite进行抓包,不用每次都在浏览器设置代理,提高效率

 下载成功后,在右上角会有如下图的图标 

 利用FoxyProxy配合Burpsuite进行抓包(靶机为pikachu的暴力破解关卡)

 (1)、点击右上角FoxyProxy的图标

 (2)、添加代理主机IP

添加代理IP和端口号,端口号因人而异,我的主机设置的是8080端口

 

 添加完是这样子

注:这里要选择Burpsuite(8080)

(3)、打开Burpsuite进行抓包


2、User-Agent Switcher的使用

该插件用于改变HTTP头部中的User Agent,利用它可以实现隐藏(伪装)客户端浏览器的信息

下载完右上角会出现一个半个地球的图标

 

(1)、先使用User-Agent Switcher前的包

(2)、使用User-Agent Swicher,我使用安卓系统

 再进行访问抓包看看结果

 这样子就改变了我们的浏览器信息


 3、HTTP Header Live

该工具支持即时查看网站的HTTP头

 


4、Wappalyzer的使用

这个工具用于分析目标网站所采用的平台架构、网站环境、服务器配置环境、Javascript框架、编程语言等参数

 


5、Flagfox的使用

Flagfox是一个有趣的插件,安装到浏览器后会显示一个国旗图标来告知Web服务器的位置,同时也包含whois,ping等功能

 

 


这篇文章就写到这里了!

将Firefox打造成渗透测试利器 | Firefox Security Toolkit

Firefox Security Toolkit可以把火狐浏览器转换成一个渗透测试套件,你信不?

实现方法

它会下载重要的扩展,并将之安装在浏览器上。通过在信息安全社区的调查,选择了一些有用的扩展,写了这款Firefox Security Toolkit工具。同时,它也可以下载Burp Suite证书和user-agent列表,用于User-Agent Switcher插件。通过一次点击,实现一个web应用测试浏览器。

与OWASP Mantra、Hcon STF的不同之处

OWASP Mantra和Hcon STF不会定期更新,而且要想开发和维护需要做很多工作。而对于Firefox Security Toolkit,我只会在需要的时候修复一些问题和bug,不需要其它额外的维护。用到的扩展是从Mozilla的Addons Store中下载的最新版本,给渗透测试人员提供最好的用户体验。

适用人群

Web应用渗透测试人员,信息安全研究者,以及其他对web应用安全感兴趣的人。

兼容性

这个项目目前支持Linux/Unix环境。

用法

bash ./firefox_security_toolkit.sh

视频演示


可用的插件:

    Cookie Export/Import

    Cookie Manager

    Copy as Plain Text

    Crypto Fox

    CSRF-Finder

    Disable WebRTC

    FireBug

    Fireforce

    FlagFox

    Foxy Proxy

    HackBar

    Live HTTP Headers

    Multi Fox

    PassiveRecon

    Right-Click XSS

    Tamper Data

    User Agent Switcher

    Wappalyzer

    Web Developer

附加功能:

下载Burp Suite证书

下载user-agent列表,供User-Agent Switcher使用


*文章来源: github,FB小编felix编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


以上是关于网络安全——FireFox浏览器渗透测试插件的主要内容,如果未能解决你的问题,请参考以下文章

34款FIREFOX渗透测试插件

HttpFox

打造自己的渗透测试框架—溯光

令人惊叹的 CSS 漏洞攻击,Firefox 和 Chrome 中枪

红队最喜欢的18 种优秀的网络安全渗透工具

自动填充已定义的随机文本 - Firefox 插件