谷歌浏览器插件 - 渗透测试篇

admin
admin
admin
138717
文章
114
评论
2020年11月7日09:06:50评论246 views字数 1993阅读6分38秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

所有话题标签:

#Web安全   #漏洞复现   #工具使用   #权限提升

#权限维持   #防护绕过   #内网安全   #实战案例

#其他笔记   #资源分享   #MSF

前言

上篇文章中我们分享了几款日常使用较多的谷歌浏览器插件,这篇文章中我们将继续为大家分享一些常用于渗透测试的谷歌浏览器插件,包括但不限于:信息搜集、编码加密、代理设置等,也希望各位师傅能补充一些自己常用的好插件,在此表示感谢!!!


(1) Shodan

这个插件可以自动探测当前网站所属的国家、城市,解析IP地址以及开放的服务和端口,包括但不限于FTP、DNS、SSH或者其他服务等,属被动信息搜集中的一种。
谷歌浏览器插件 - 渗透测试篇


(2) HackBar

这个插件可用于常见编码/解码、POST/Cookies数据提交、SQL/XSS/LFI/XXE漏洞测试、自定义Referer/User-Agent等,是一款不可多得的渗透测试人员必备插件,虽然现在作者已经收费了,但还是能够绕过其限制的。
谷歌浏览器插件 - 渗透测试篇

(3) d3coder

这个插件可用于各种类型的编码和解码,例如URI、Hex、Base64,Rot13或Unix时间戳等编码之间的相互转换
谷歌浏览器插件 - 渗透测试篇

(4) NoScript

这个插件可用于禁止浏览器加载和解析JS代码,也可以通过以下两种方式禁止执行JS,常见应用场景有:禁用JS后台越权、禁用JS白名单上传等。

  • Firefox:about:config->javascript.enabled

  • Chorme:chrome://settings/content/javascript

谷歌浏览器插件 - 渗透测试篇


(5) Wappalyzer

这个插件可用于指纹识别,能够检测出当前网站使用的Web框架和CMS、CDN、统计、中间件、编程语言以及JavaScript框架和库等等相关信息。
谷歌浏览器插件 - 渗透测试篇

(6) FOFA Pro View

这个插件比Shodan搜集到的信息更全,能够检测出当前网站的托管位置(国家/地区/城市)、组织、ASN、端口、协议和相关资产等信息。

  • 项目地址:https : //github.com/fofapro/fofa_view

谷歌浏览器插件 - 渗透测试篇

(7) EditThisCookie

这个插件可以帮助我们轻松管理谷歌浏览器上的各种Cookies,支持添加,删除,编辑,搜索,锁定、屏蔽、保护和拦截Cookies!
谷歌浏览器插件 - 渗透测试篇

(8) HTTP Header Live

这个插件可用于捕获网页中加载的全部网页流量数据包,并且支持编辑和重发,就是UI差了点,大部分的同类插件都只能查看,不能编辑和重放。
谷歌浏览器插件 - 渗透测试篇

(9) Proxy SwitchyOmega

这个插件可以帮助我们快速管理和切换多个代理设置,支持的代理协议有:HTTP/HTTPS、Socks4/Socks5,这也是一款渗透测试人员(抓包、上“墙”)必备插件,谷歌上网助手插件也具备这样的代理设置功能。
谷歌浏览器插件 - 渗透测试篇

(10) User-Agent Switcher

这个插件可用来模拟指定User-Agent去访问网站,有的开发人员在编写代码过程中会设置仅允许移动端User-Agent访问,一些做黑帽SEO的也经常使用这种方式来限制PC端访问。这款插件在Chrome网上应用商店中已经下架了,有需要的可以找我。

谷歌浏览器插件 - 渗透测试篇


(11) Set Character Encoding

这个插件可用来修改当前浏览器的编码,当浏览器编码与网页编码不一致时就会出现乱码的情况,最后吐槽一下这个新版谷歌浏览器的编码设置是真不好找。
谷歌浏览器插件 - 渗透测试篇

(12) IP, DNS & Security Tools

这个插件是直接调用https://hackertarget.com官网接口来进行查询的,如果长时间不出查询结果时可能就得上“墙”了,可查询的信息包括有:IP、路由、DNS、Whios、指纹、HTTP头、同服等。
谷歌浏览器插件 - 渗透测试篇

昨天@Simple表哥给推荐了一款anti-honeypot插件,可以用来检测WEB蜜罐并中断请求,能够识别并中断长亭D-sensor和墨安幻阵的部分溯源API。

  • 项目地址:https://github.com/Ar3h/anti-honeypot




借这次知识星球的官方活动推下我的个人星球,里边没有干货文章,也没有各种0day/Exp,只有自己的临时笔记和优质资源分享,考虑好后再决定是否加入!!!

 星球活动:

  1. 20张30元“潇湘信安”优惠券,与知识星球官方活动一起“食用”更佳!(潇湘信安活动

  2. 新用户和续费用户均可享受手续费最高10%补贴,额度有限,先到先得!(知识星球活动


 活动时间:
2020 年 11 月 6 日 0 点-14 日 24 点(9 天)

谷歌浏览器插件 - 渗透测试篇


谷歌浏览器插件 - 渗透测试篇
谷歌浏览器插件 - 渗透测试篇  如果对你有所帮助,点个分享、赞、在看呗!谷歌浏览器插件 - 渗透测试篇

本文始发于微信公众号(潇湘信安):谷歌浏览器插件 - 渗透测试篇

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年11月7日09:06:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谷歌浏览器插件 - 渗透测试篇https://cn-sec.com/archives/180167.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息