分享一个插件,插件名:ModHeader ,可以在浏览器插件中直接下载,也可进入主页获取插件包。常用浏览器插件商店中均可直接搜索下载,如:Google、火狐、Edge。
主页:https://modheader.com/
这插件与Cookie编辑插件类似,但不同点在于,Cookie管理插件只可编辑数据包Cookie中内容。而此插件,可以编辑、增加数据包头中任意参数与值:
一般情况下有两种形式:
1、校验UA,需要登录(此时需要在微信打开目标,调用微信验证登录后,抓包获取Cookie或Token进行添加);
2、校验UA,无需登录。
下面我使用一个小程序仅作为演示,当我尝试在浏览器直接打开小程序地址时,提示需要在微信中打开链接:
接下来,我在插件中添加配置:
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 NetType/WIFI MicroMessenger/7.0.20.1781(0x6700143B) WindowsWechat(0x63090a1b) XWEB/11275 Flue
浏览器再次访问小程序地址,已经没有提示需要在微信打开:
但重定向至微信地址,且无内容返回:
因为此公众号打开便要求先调用微信登录,那么我们需要在微信打开小程序登录后,抓取数据包,测试其小程序通过哪些内容来校验登录状态,然后获取这些参数与值:
此小程序仅通过Cookie校验登录状态,所以只需要增加Cookie内容即可。如所测试目标是通过Token或其他参数来校验登录状态,我们根据实际情况获取添加即可。
场景二:锁定登录状态
当通过未授权访问,或者某些接口获取到token等内容,但无法得到账号密码时。可以通过此插件添加参数值,锁定登录状态:
此时,直接访问获取到的后台地址,由于需要校验登录状态,会重定向至登录页:
接下来,使用插件添加Token与值:
重新访问后台地址,水灵灵的进来了:
我这里只是简单介绍两种常见的利用场景,这个插件的使用场景还有很多,大家可以根据实际情况举一反三,深度利用。
原文始发于微信公众号(犀利猪安全):插件分享 | 这是一个有一点强的浏览器插件,和你一样强
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论