插件分享 | ModHeader

admin 2024年10月31日17:09:34评论48 views字数 1047阅读3分29秒阅读模式

插件分享 | ModHeader
0x01 插件介绍

    分享一个插件,插件名:ModHeader ,可以在浏览器插件中直接下载,也可进入主页获取插件包。常用浏览器插件商店中均可直接搜索下载,如:Google、火狐、Edge

主页:https://modheader.com/

插件分享 | ModHeader

    这插件与Cookie编辑插件类似,但不同点在于,Cookie管理插件只可编辑数据包Cookie中内容。而此插件,可以编辑、增加数据包头中任意参数与值:

插件分享 | ModHeader

插件分享 | ModHeader

插件分享 | ModHeader
0x02 使用场景
场景一:绕过微信UA校验
一般情况下有两种形式:  1、校验UA,需要登录(此时需要在微信打开目标,调用微信验证登录后,抓包获取Cookie或Token进行添加);  2、校验UA,无需登录。

    下面我使用一个小程序仅作为演示,当我尝试在浏览器直接打开小程序地址时,提示需要在微信中打开链接:

插件分享 | ModHeader

    接下来,我在插件中添加配置:

User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 NetType/WIFI MicroMessenger/7.0.20.1781(0x6700143B) WindowsWechat(0x63090a1b) XWEB/11275 Flue

插件分享 | ModHeader

    浏览器再次访问小程序地址,已经没有提示需要在微信打开:

插件分享 | ModHeader

    但重定向至微信地址,且无内容返回:

插件分享 | ModHeader

    因为此公众号打开便要求先调用微信登录,那么我们需要在微信打开小程序登录后,抓取数据包,测试其小程序通过哪些内容来校验登录状态,然后获取这些参数与值:

插件分享 | ModHeader

    此小程序仅通过Cookie校验登录状态,所以只需要增加Cookie内容即可。如所测试目标是通过Token或其他参数来校验登录状态,我们根据实际情况获取添加即可。

场景二:锁定登录状态

    当通过未授权访问,或者某些接口获取到token等内容,但无法得到账号密码时。可以通过此插件添加参数值,锁定登录状态:

插件分享 | ModHeader

    此时,直接访问获取到的后台地址,由于需要校验登录状态,会重定向至登录页:

插件分享 | ModHeader

    接下来,使用插件添加Token与值:

插件分享 | ModHeader

    重新访问后台地址,水灵灵的进来了:

插件分享 | ModHeader

插件分享 | ModHeader
0x03 有话要说

    我这里只是简单介绍两种常见的利用场景,这个插件的使用场景还有很多,大家可以根据实际情况举一反三,深度利用。

原文始发于微信公众号(犀利猪安全):插件分享 | 这是一个有一点强的浏览器插件,和你一样强

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月31日17:09:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   插件分享 | ModHeaderhttp://cn-sec.com/archives/3339070.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息