• Web框架中间件插件&BurpSuite&浏览器&被动&主动探针[武装浏览器]

    在这里插入图片描述

    好东西

    浏览器插件

    Penetration Testing Kit

    这个工具他集成了中间件,等版本信息,漏洞信息,url,标识头等信息,WAF/CDN识别,密匙等信息,多种信息的功能上集合的插件

    URL

    https://microsoftedge.microsoft.com/addons/detail/penetration-testing-kit/knjnghhnhcpcglfdjppffbpfndeebkdm

    • 1

    在这里插入图片描述

    Wappalyzer

    Wappalyzer 是一款强大的网站技术栈嗅探工具。可以快速识别一个网站用到的前后端技术框架、运行容器、脚本库等。是开发者用于学习先进的网站架构的不二之选。他还提供跨平台实用程序,可发现网站上使用的技术。 它检测内容管理系统,电子商务平台,Web框架,服务器软件,分析工具等。

    在这里插入图片描述

    Hack-Tools

    HackTools是一个便于您进行Web应用程序渗透测试的Web浏览器插件,它包括备忘单以及测试过程中使用的所有工具,例如XSS有效负载,反向shell等。
    使用该扩展程序,您不再需要在其他网站或本地存储空间中搜索payloads,只需单击一下即可访问大多数工具。
    可使用弹出菜单或F12在浏览器的Devtools部分的整个选项卡中访问HackTools。

    在这里插入图片描述

    HackTools插件当前功能
    • 动态反向Shell生成器(PHP,Bash,Ruby,Python,Perl,Netcat)
    • Shell Spawning(TTY Shell Spawning)
    • XSS有效负载
    • 基本SQLi负载
    • 本地文件包含有效负载(LFI)
    • Base64编码器/解码器
    • 散列生产器(MD5,SHA1,SHA256,SHA512,SM3)
    • 有用的Linux命令(端口转发,SUID)
    • RSS Feed(漏洞利用数据库,Cisco安全公告,CXSECURITY)
    • CVE搜索引擎
    • 多种数据渗透和从远程计算机下载的方法

    URL

    https://chrome.google.com/webstore/detail/hack-tools/cmbndhnoonmghfofefkcccljbkdpamhi?hl=zh-CN

    • 1

    在这里插入图片描述

    FindSomething

    该工具用于快速在网页的html源码或js代码中提取一些有趣的信息,包括可能请求的资源、接口的url,可能请求的ip和域名,泄漏的证件号、手机号、邮箱等信息。

    URL

    https://chrome.google.com/webstore/detail/findsomething/kfhniponecokdefffkpagipffdefeldb/related?hl=zh-CN

    • 1

    在这里插入图片描述

    Security Tools

    一款集成了快速访问IP,DNS和网络工具,端口扫描工具。检查 DNS、Whois、ASN、Traceroute、Ping 等。技术操作员的工具。

    URL

    https://chrome.google.com/webstore/detail/ip-dns-security-tools-hac/phjkepckmcnjohilmbjlcoblenhgpjmo?hl=zh-CN

    • 1

    在这里插入图片描述

    二维码(生成及识别)

    一款识别二维码的工具,当遇到扫码下载,获取当页面有二维码的时候,该工具会对二维码中的信息进行提取

    URL

    https://microsoftedge.microsoft.com/addons/detail/%E4%BA%8C%E7%BB%B4%E7%A0%81%EF%BC%88%E7%94%9F%E6%88%90%E5%8F%8A%E8%AF%86%E5%88%AB%EF%BC%89/majobenfcengbipnapomhopjknaiffph?hl=zh-CN

    • 1

    在这里插入图片描述

    ScanAnnotation

    扫描当前资源注释

    通过注释可以发现一些利用的内容,有的程序员喜欢写上这个是什么功能,你就可以猜出后台或者隐藏的功能,有的还会贴上后台地址啥,配置文件内网域名各种吧。ctf也可以辅助一下哦!

    URL

    https://chrome.google.com/webstore/detail/scanannotation/gejiegnodfccfhagbeaopeffcdbcgfef/related?hl=zh-CN

    • 1

    在这里插入图片描述

    Burp好东西

    Fiora

    这是一个Burp上漏洞扫描的一个强大的插件集成了三千多个漏洞POC

    安装教程

    URL

    https://github.com/bit4woo/Fiora

    • 1

    下载URL

    https://github.com/bit4woo/Fiora/releases

    • 1

    使用教程

    https://blog.csdn.net/qq_46717339/article/details/122320931

    • 1

    扫描漏洞的时候抓一个包

    选择这个

    在这里插入图片描述

    在这里插入图片描述

    根据情况选择URL或者HOST

  • 相关阅读:
    Mysql——存储引擎
    【LeetCode刷题-滑动窗口】-- 795.区间子数组个数
    基于redis实现【最热搜索】和【最近搜索】功能
    高数 |【2019数一真题】部分错题及经典题自用思路整理
    Libuv源码解析 - uv_loop整个初始化模块
    unitree
    安卓高级编程之实现类似三星系统的设置界面,并用lucene建立搜索系统
    SSM整合案例分析(详解)
    yolov5-tracking-xxxsort yolov5融合六种跟踪算法(三)--目标跟踪
    华清远见上海中心22071班--11.28作业
  • 原文地址:https://blog.csdn.net/weixin_54882883/article/details/126530066