渗透测试人员使用Chrome时的神兵利器

0x01 前言

对于大多数人来说,实际的渗透过程中,火狐浏览器用的比较多,我本人的话绝大多数情况下都是使用Chrome,因为我觉得干净、整洁、实用.其实吧,以上三个特点都是我瞎说的,我用Chrome就是因为它的Miku主题比火狐的好看,不服来看!

再送你们一张我的Miku壁纸!在WallPaper里面有这个主题。

ps:wing不是萌妹控,Miku帅!

 

0x02 常用渗透插件介绍

1.Wappalyzer

这是一个用于信息收集的插件,可以帮助我们节省很多时间,可以显示出目标站点的服务器环境,所使用的框架,系统,以及脚本语言等等,这里以我的博客为例:

怎么样?是不是还阔以?
emmmm,这个火狐也有的。

下载地址:https://chrome.google.com/webstore/detail/wappalyzer/gppongmhjkpfnbhagpmjfkannfbllamg?hl=zh-CN

 

2.Proxy SwitchyOmega

这个是代理神器,FQ、抓包必备。类似于火狐的FoxyProxy
使用方法也很简单,建立自己的情景模式即可。

下载链接:https://chrome.google.com/webstore/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif?hl=zh-CN

 

3.User-Agent Switcher for Chrome

这是切换UA的插件,在开发或者渗透测试的过程中是经常遇到的,比如有的鱼站或者某些站点只识别对应的浏览器和设备,这个插件就可以帮助我们达到伪装的效果。

下载链接:https://chrome.google.com/webstore/detail/user-agent-switcher-for-c/djflhoibgkdhkhhcedjiklpkjnoahfmg

 

4.shodan

shodan大家都知道,他有不但api还有自己浏览器插件。

通过这个插件,我们可以很快捷的看到目标站点的ip、开放端口、位置信息等等。节省了我们很多时间。虽然不一定十分准确,但是也给了我们渗透测试人员一定的帮助。
下载链接:https://chrome.google.com/webstore/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleap

 

5.Xpath Helper

在平时开发爬虫或者写py的过程中,使用xpath有时候比使用正则更加方便的达到效果。这个插件就是帮助我们调试的。

下载链接:https://chrome.google.com/webstore/detail/xpath-helper/hgimnogjllphhhkhlmebbmlgjoejdpjl

 

6.SelectorGadget

一个强势生成Xpath的插件,双击即可使用。

下载地址:https://chrome.google.com/webstore/detail/selectorgadget/mhjhnkcfbdhnjickkkdbjoemdmbfginb

 

7.WebDeveloper

针对web开发者的插件,好处就是调试方便。

功能很多哒,可以自己去体验!
下载地址:http://chrispederick.com/work/web-developer/

8.d3coder

看着洋气的名字就知道这是编码解码用的。
功能如下:

Timestamp decodingrot13 en-/decodingbase64 encodingbase64 decodingCRC32 hashingMD5 hashingSHA1 hashingbin2hexbin2txtHTML 
entity encodingHTML entity decodingHTML special chars encodingHTML special chars decodingURI encodingURI decodingQuoted 
printable decodingQuoted printable encodingEscapeshellargBase64 decodeBase64 encodeUnserializeL33T-en/decodeReverse

鼠标右键即可看到,完成后弹窗显示。

下载地址:https://chrome.google.com/webstore/detail/d3coder/gncnbkghencmkfgeepfaonmegemakcol

 

9.Firebug Lite

和firebug差不多,但是我觉得F12够我用了,而且界面贼丑。
下载地址:https://chrome.google.com/webstore/detail/firebug-lite-for-google-c/bmagokdooijbeehmkpknfglimnifench

 

10.Form Fuzzer

表单测试插件,用于将预定义的字符填充到不同的表单字段中。它也可以选择复选框,单选按钮和选择表单中的项目。它有一个配置菜单,您可以管理扩展的所有设置。这对测试表单非常有帮助。

https://chrome.google.com/webstore/detail/form-fuzzer/cbpplldpcdcfejdaldmnfhlodoadjhii

下载地址:https://chrome.google.com/webstore/detail/classic-cache-killer/kkmknnnjliniefekpicbaaobdnjjikfp

 

11.Session Manager

是一个功能强大的Chrome扩展,让用户保存,更新,恢复和删除标签集。您可以创建一组具有相同兴趣的选项卡,然后单击一次即可还原这些页面。如果您每天打开几个特定页面,并创建这些页面的组,然后单击打开。
下载地址:https://chrome.google.com/webstore/detail/session-manager/mghenlmbmjcpehccoangkdpagbcbkdpc

 

12.Request Maker

是一个核心的渗透测试工具。它用于创建和捕获请求,篡改URL。它可以捕获通过表单或XMLHttpRequests进行的请求。你可以看到这个工具的功能类似于Burp。

下载地址:https://chrome.google.com/webstore/detail/request-maker/kajfghlhfkcocafkcjlajldicbikpgnp

 

13.Cookie Editor

是一个不错的Chrome扩展程序,可让用户编辑Cookie。这个工具在劫持脆弱的测试会话的时候非常有用。它可以让用户删除,编辑,添加/或搜索cookie。它还可以让用户在json中保护,阻止或导出cookie。只要你想,你就可以玩。

还是很好用的哦!
下载地址:https://chrome.google.com/webstore/detail/edit-this-cookie/fngmhnnpilhplaeedifhccceomclgfbg

 

14.Cache Killer

在加载页面之前自动清理浏览器缓存。只需单击鼠标即可轻松启用或禁用。绕过浏览器缓存并查看确切的网站是很有用的,以防万一。这对Web开发人员还是阔以滴!
下载地址:https://chrome.google.com/webstore/detail/cache-killer/jpfbieopdmepaolggioebjmedmclkbap

 

15.XSS Rays

它有助于找到网站中的XSS漏洞。它发现一个网站如何过滤代码。它也检查注入和检查对象。即使表单无法编辑,您也可以非破坏性地轻松提取,查看和编辑表单。所以很多渗透测试人员都使用这个扩展作为专用的XSS测试工具。

下载地址:https://chrome.google.com/webstore/detail/kkopfbcgaebdaklghbnfmjeeonmabidj

 

16.websecurify

websecurify是一个功能强大的跨平台网络安全测试工具。它可用于各种桌面,移动平台和浏览器。这是直接从浏览器运行的第一个网络安全工具。它能够查找XSS,XSRF,CSRF,SQL注入,文件上传,URL重定向以及其他各种安全漏洞。它有一个内置的爬虫扫描和抓取页面。然后它会尝试查找页面上的漏洞。这不是一个完全自动的工具。它列出了URL上可能存在的漏洞。您需要手动确认漏洞。扫描时,它将从WebSecurify服务器中提取所有功能,因此您不必担心数据库更新。漏洞引擎将随时更新。

下载地址:https://chrome.google.com/webstore/detail/websecurify/gbecpbaknodhccppnfndfmjifmonefdm

 

17.HPP Finder

该工具可以轻松检测和利用可能容易受到HTTP参数污染攻击的HTML表单或URL
下载地址:https://chrome.google.com/webstore/detail/hpp-finder/nogojgcobcolombicplhimbbakkcmhio/related

 

18.IP Address and Domain Information

是一个信息收集的扩展,可以帮助你找到每个IP地址(IPv4和IPv6)的地理位置,DNS,whois,路由,搜索结果,托管,域邻居,DNSBL,BGP和ASN信息。

 

19.Nimbus Capture

这是一个强大的网页截图工具。废话不多说看图。

满足你对网页截屏的一切骚幻想,就我而言,最喜欢的就是滚动截图,喵喵喵。

 

20.AdBlock

图个吉利,再加一个插件介绍,这是一个nb的广告拦截插件。你看腾讯视频有广告算我输!
下载地址:https://chrome.google.com/webstore/detail/adblock/gighmmpiobklfepjocnamgkkbiglidom

 

0x03 emmm

这些神奇的插件可以帮助我们节省很多时间,工具配合人工,才是最完美的。
对我而言,带给了我很多快乐,当然,还是远远不及她的万分之一容颜。

 

文章摘自微信公众号: pentester

作者:小wing

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。