1、firefox安装插件
2、firebug
3、Cookie editor
4、Tamper data
5、user agent switcher
6、hackbar
7、httpfox抓包工具
8、live http headers
9、tamper data
10、poster
本教程概述
讲解知名firefox插件的使用。
用到的工具
Firfox、firebug、tamperdata、 Cookie editor
标签
Firefox插件、firebug、tamper data、 Cookie editor
简介
工欲善必先利其器,firefox一直是各位渗透师必备的利器,这里推荐几款firefox渗透测试辅助插件,其中包含渗透测试、信息收集、代理、加密解密等功能。
1、firefox安装插件
打开firefox浏览器 工具—>附加组件
进入如下界面
搜索框可以搜索插件,搜索到后点击安装完成后重启firefox即可,以下插件的安装不做演示。
2、firebug
Firebug 主要是调试网页用的插件。
安装完firebug后,在单机套件里用firefox浏览器打开:http://ok3w1.yuncheng.com/ 然后右键,弹出菜单。
选择“用firebug查看元素”
出现firebug的调试窗口
Firebug共6个主菜单:控制台,HTML,CSS,脚本,DOM,网络,Cookies。
(1)元素HTML的查看
点击firebug窗口右上角的箭头,然后选择网页内任意一个元素,如网站首页,这事这个元素会出现一本边框,此时firebug的html窗口蓝色框内就是箭头所选择的元素的源码。
(2)控制台
点击控制台菜单
然后点击启用
这个主要是用来显示一些网页错误和警告,还可以在当前网页的环境下执行js代码。我们在下边的输入栏里输入:alert(document.cookie) 点击回车,则弹框显示当前网站的cookie
(3)CSS
选择CSS菜单,则显示当前页面内元素各元素计算出来的CSS
body元素的背景图片是 ../images/body_bg.jpg
(4)脚本
选择脚本菜单,然后点击启用。
点击重新载入源码,或者刷新当前网页,这里可以设置断点调试js代码
(5)DOM
DOM是当前网页的DOM树
(6)网络
点击网络,点击启用,然后刷新网页(直接安F5或者点击地址栏里的重新载入这个页面)
显示了当前窗口的所有网络请求,点击第一个网络请求。
头信息是服务器和浏览器之间通信的头信息
响应则是服务器响应回来的数据
Html则是相应回来数据的html解释后的结果
缓存是这个页面的缓存情况
Cookie是这个网络请求cookie信息
(6)Cookies
点击cookies菜单,选择启用,则显示当前页面的cookie
3、 Cookie editor
Cookies editor 是用来编辑cookie的。
在单机套件的firefox里打开http://ok3w1.yuncheng.com/
选择工具菜单,点击Cookie Editor
弹出cookie editor 窗口,左边是网站右边是cookie名字
任意选择一个网站
点击编辑(edit)
编辑完了之后保存即可,另外还可以添加(add),删除(delete)cookie。
4、Tamper data
Tamper data 是用来修改网页请求所发送的数据的插件。
在单机套件的firefox里打开http://ok3w1.yuncheng.com/
选择工具菜单,点击Tamper Data
在Tamper Data窗口里点击Start Tamper,开始拦截所有网络请求
刷新当前网页
点击Tamper,这里的数据http头都可以修改
修改完成点击确定就把修改完数据的请求发送给网站服务器了。
5、User Agent Switcher
User Agent Switcher 作为火狐最受欢迎的扩展之一,为火狐增加一个菜单和工具栏按钮,让您能快速地切换浏览器的User Agent(用户代理、UA),实现火狐的华丽大变身。不论是伪装成其他平台/品牌的浏览器,还是伪装成其他版本的火狐,都没有问题。
工程师使用User Agent Switcher 修改浏览器的User Agent,可以用来XSS。
6、Hackbar
渗透工程师必备工具,提供了SQL注入和XSS攻击,能够快速对字符串进行各种编码。
在火狐的附加组件中搜索“hackbar”,将它添加到火狐浏览器中, 重启后Firefox后安装完成,按F9键打开我们就会看到在地址栏下面会出现一个大框框就是hackbar了。
hackbar的一个特点就是在地址栏下面加了一个大框框,这样的话对于一些较长得url可以更加方便的查看了,load url是将地址栏中的网络复制到hackbar中,这样的话我们就可以进行一些测试,在hackbar中回车是换行的意思所以我们要点击execute来访问hackbar中的网址。
各种编码:
我们可以对url进行各种编码操作,我们可以在endoding选项下进行url/16进制/base64进行编码解码,可以在xss选项下进行html实体编码,在sql选项下进行空格编码。
数据加密:
在encryption选项中我们可以进行md5、sha1、sha256、rot13加密,单击里面的选项,在弹出的对话框中输入要加密的数据,确认后会在hackbar中显示。
7、HttpFox抓包工具
HttpFox抓包工具用于监测和分析浏览器与web服务器之间的HTTP流量。
HttpFox 监控和分析浏览器和网络服务器之间收发的所有HTTP流量。它的目的是为Firefox浏览器带来像 HttpWatch 或 IEInspector 这样已知的功能工具。
HttpFox 能够对浏览器与 Web 服务器之间传输的 HTTP 流量进行监视和分析,目前主要提
供下列信息:
- 请求及响应头信息
- 发送及接收的Cookies
- 查询字符串参数
- POST参数
- 响应正文
8、live http headers
Live HTTP Headers 记录本地的Get和Post数据,并可修改数据后重新提交,即时查看一个网站的HTTP头
Live HTTP Headers是FireFox下的一个插件,可以用来实时监测发起的http请求和响应,也可以修改请求参数之后重新发起请求。在firefox中不得不装的两个插件,一个是firebug,另一个就是live http headers了,后者也是能查看http请求,虽然这功能firebug也有,但firebug只能查看,不能提交。
想要详细查看 HTTP 头信息,可以在 Firefox 中安装 LiveHTTPHeaders 插件,安装完成之后按 Ctrl+Shift+L 就可以在 Sidebar 中看到了。
9、tamper data
Firefox 浏览器的 Tamper Data 扩展, 可以在日志中记录 Web 浏览器发出的每个请求,并显示每个请求所用的下载时间。使用这个扩展的方法是,选择 Tools > Tamper Data 来打开 Ongoing requests 窗口。装载要考察的页面,然后就会看到浏览器发出的每个请求的状态和装载每个元素所用的时间。
查看和修改HTTP/HTTPS头和POST参数:
1)可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数;
2)可以用来跟踪 HTTP 请求和响应;
3)可以对 WEB 站点进行某些安全测试,从而为调试 WEB 配置带来了极大的便利,是网站维护人员不可多得的实用工具。
10、Poster
Poster是用来Post和Get数据,发送与Web服务器交互的HTTP请求,并查看输出结果。如果你想调试服务器,发出HTTP请求,Poster就是最佳工具。操作简单,先设定一个内容类型,数分钟内,你将拥有需要检视HTTP请求结果的所有信息。