网络安全——FireFox浏览器渗透测试插件

一、FireFox的典型插件(下载地址：Firefox 附加组件（zh-CN）)

二、插件的通用安装方法

在kali虚拟机中打开Firefox浏览器

1、打开Add-on

2、在搜索栏中搜索要下载的插件

3、下载

例如，我下载Hackbar V2

会弹窗出来

下载成功后，在浏览器界面按F12，或者找到Web developer 中的 Web console

然后最右边会有一个Hackbar

Hackbar还有另外一个常用的版本（Hackbar Quantum），下载完成后会在右上角有个图标

其他插件的下载方法也是一样的

三、Hackbar的使用

1、Hackbar是一个简单的渗透测试工具，能用于测试简单的SQL注入，XSS、本地文件包含、XEE等漏洞

2、Hackbar的基本功能

（1）、load：加载、split：切分、Execute：执行 URL

(2)、对选定的字符串进行加密

（3）、对选定的字符串进行编/解码

（4）、提供三种数据库的查询语句

（5）、提供XSS攻击payload

（6）、提供本地文件包含（LFI）攻击payload

（7）、提供XXE攻击payload

（8）、传递POST表单

3、利用Hackbar进行SQL注入

（1）、利用sqli-labs靶机的第一关

(2)、load URL

（3）、在URL后面加上？id=1并执行，观察结果

（4）、可以按split URL 进行划分

（5）、把id=1,改成id=2，可以看到另外一个用户名

接下来我们拿sqli-labs第11关来练习

post功能的使用

勾选post data ，然后输入uname=admin&passwd=admin，然后点击execute

编码功能的使用

利用sqli-labs的第二关

利用编码功能对=进行编码解码，=编码成%3D，点击execute，结果不变

四、其他插件的使用

1、FoxyProxy插件的使用

FoxyProxy主要是配合Burpsuite进行抓包，不用每次都在浏览器设置代理，提高效率

下载成功后，在右上角会有如下图的图标

利用FoxyProxy配合Burpsuite进行抓包（靶机为pikachu的暴力破解关卡）

（1）、点击右上角FoxyProxy的图标

（2）、添加代理主机IP

添加代理IP和端口号，端口号因人而异，我的主机设置的是8080端口

添加完是这样子

注:这里要选择Burpsuite(8080)

（3）、打开Burpsuite进行抓包

2、User-Agent Switcher的使用

该插件用于改变HTTP头部中的User Agent，利用它可以实现隐藏（伪装）客户端浏览器的信息

下载完右上角会出现一个半个地球的图标

（1）、先使用User-Agent Switcher前的包

（2）、使用User-Agent Swicher，我使用安卓系统

再进行访问抓包看看结果

这样子就改变了我们的浏览器信息

3、HTTP Header Live

该工具支持即时查看网站的HTTP头

4、Wappalyzer的使用

这个工具用于分析目标网站所采用的平台架构、网站环境、服务器配置环境、Javascript框架、编程语言等参数

5、Flagfox的使用

Flagfox是一个有趣的插件，安装到浏览器后会显示一个国旗图标来告知Web服务器的位置，同时也包含whois,ping等功能

这篇文章就写到这里了！