https://www.cnblogs.com/wayne-tao/p/11027650.html
hackbar是web渗透时的经典工具,但是当我开始学习网络安全的时候,发现hackbar已经开始收费了。本篇抛砖引玉介绍几个使用方法,针对火狐浏览器的。建议与https://www.cnblogs.com/wayne-tao/tag/DVWA/一起学习。
一、Max hackbar
虽然hackbar不能免费用了,但是有不少人做了类似的插件,有些跟hackbar几乎一样,完全可以拿来当替代品。比如:max hackbar
二、旧版本
使用方法:具体方法在链接里有,我想说的是位置,建议放到Firefox本来插件的位置,然后还要取消自动更新。
win用户插件位置C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\n2ns2mxz.default\extensions
三、修改js文件
此方法适用于chrome,我没实验过 HackBar又对我下手了(更新到20190604) - 简书 Chrome的可以自己尝试
按常用的F12键打开web调试那个栏,可以看见最右边多了一个hackbar,点进去,就会看见如下界面
(1)加载网址:将网址加载进框,便于修改
(2)切分网址:自动切分,快速找出需要改的地方
(3)执行:相当于F5
在Low等级下,输入2提交,然后在hackbar里load,就会加载如图,之后可以在id=2之后加入注入代码,同在网页输入框输入效果一样。
DVWA切换medium等级,下拉选择,此时load发现,没有变化,考虑post注入。
如图:从hackbar切换到网络,点击submit时发现变化,然后点击查看表单【这一步很关键,关乎post的内容】
可以看到,表单内容为:
id:1 Submit:Submit
也就是我们post的时候必须有这些内容,而其中id就是我们可以修改的注入点。
回到hackbar,在post框里输入: id=3&Submit=Submit ,点击Execute执行,看到如下界面,操作成功,之后的注入过程,参见开篇提到的那篇文章。
至此,hackbar的基本用法基本说完了,以后在学习过程中发现新问题会继续更新。
