网络安全——FireFox浏览器渗透测试插件

一、FireFox的典型插件(下载地址：Firefox 附加组件（zh-CN）)

二、插件的通用安装方法

在kali虚拟机中打开Firefox浏览器

1、打开Add-on

 2、在搜索栏中搜索要下载的插件

 3、下载

例如，我下载Hackbar V2 

 会弹窗出来

 

 下载成功后，在浏览器界面按F12，或者找到Web developer 中的 Web console

 然后最右边会有一个Hackbar

 Hackbar还有另外一个常用的版本（Hackbar Quantum），下载完成后会在右上角有个图标

其他插件的下载方法也是一样的

三、Hackbar的使用

1、Hackbar是一个简单的渗透测试工具，能用于测试简单的SQL注入，XSS、本地文件包含、XEE等漏洞

2、Hackbar的基本功能

（1）、load：加载、split：切分、Execute：执行 URL

(2)、对选定的字符串进行加密

 （3）、对选定的字符串进行编/解码

 （4）、提供三种数据库的查询语句

 （5）、提供XSS攻击payload

 （6）、提供本地文件包含（LFI）攻击payload

 （7）、提供XXE攻击payload

 （8）、传递POST表单

 3、利用Hackbar进行SQL注入

（1）、利用sqli-labs靶机的第一关

 (2)、load URL

 （3）、在URL后面加上？id=1并执行，观察结果

 （4）、可以按split URL 进行划分

 （5）、把id=1,改成id=2，可以看到另外一个用户名

---

 接下来我们拿sqli-labs第11关来练习

post功能的使用

勾选post data ，然后输入uname=admin&passwd=admin，然后点击execute

 

---

编码功能的使用

利用sqli-labs的第二关

 

 利用编码功能对=进行编码解码，=编码成%3D，点击execute，结果不变

 

---

---

 四、其他插件的使用

1、FoxyProxy插件的使用

FoxyProxy主要是配合Burpsuite进行抓包，不用每次都在浏览器设置代理，提高效率

 下载成功后，在右上角会有如下图的图标 

 利用FoxyProxy配合Burpsuite进行抓包（靶机为pikachu的暴力破解关卡）

 （1）、点击右上角FoxyProxy的图标

 （2）、添加代理主机IP

添加代理IP和端口号，端口号因人而异，我的主机设置的是8080端口

 

 添加完是这样子

注:这里要选择Burpsuite(8080)

（3）、打开Burpsuite进行抓包

---

2、User-Agent Switcher的使用

该插件用于改变HTTP头部中的User Agent，利用它可以实现隐藏（伪装）客户端浏览器的信息

下载完右上角会出现一个半个地球的图标

 

（1）、先使用User-Agent Switcher前的包

（2）、使用User-Agent Swicher，我使用安卓系统

 再进行访问抓包看看结果

 这样子就改变了我们的浏览器信息

---

 3、HTTP Header Live

该工具支持即时查看网站的HTTP头

 

---

4、Wappalyzer的使用

这个工具用于分析目标网站所采用的平台架构、网站环境、服务器配置环境、Javascript框架、编程语言等参数

 

---

5、Flagfox的使用

Flagfox是一个有趣的插件，安装到浏览器后会显示一个国旗图标来告知Web服务器的位置，同时也包含whois,ping等功能

 

 

---

这篇文章就写到这里了！