Firefox是一个出自Mozilla组织的流行的web浏览器.Firefox的流行并不仅仅是因为它是一个好的浏览器,而是因为它能够支持插件进而加强它自身的功能.Mozilla有一个插件站点,在那里面有成千上万的,非常有用的,不同种类的插件.一些插件对于渗透测试人员和安全分析人员来说是相当有用的.这些渗透测试插件帮助我们执行不同类型的攻击,并能直接从浏览器中更改请求头部.对于渗透测试中涉及到的相关工作,使用插件方式可以减少我们对独立工具的使用. 在这篇简明的文章中,我们列举了一些流行的和有趣的F…

猫宁~~~ firefox插件hacktools地址: https://addons.mozilla.org/zh-CN/firefox/addon/hacktools/ HackTools由Ludovic Coulon和Riadh BoUCHAHOUA创建. 这是他们插件制作的初衷: 我们是两个对计算机安全非常感兴趣的学生,这个想法是在我们的CTF培训期间出现的,我们注意到我们经常使用相同的工具(绘制一个shell,用php反向shell,Base64编码等等),这就是当我们想到将大多数工具和…

工欲善必先利其器,firefox一直是各位渗透师必备的利器,小编这里推荐34款firefox渗透测试辅助插件,其中包含渗透测试.信息收集.代理.加密解密等功能. 1:Firebug Firefox的 五星级强力推荐插件之一,不许要多解释 2:User Agent Switcher改变客户端的User Agent的一款插件 3:Hackbar攻城师必备工具,提供了SQL注入和XSS攻击,能够快速对字符串进行各种编码. 4:HttpFox监测和分析浏览器与web服务器之间的HTTP流量 5:Live…

前天看S哥用Firefox的hackbar进行手动注入进行渗透,觉得直接运用浏览器的插件进行渗透测试有很多优点,既可以直接在前端进行注入等操作,也可以省却了寻找各种工具的麻烦.前端还是最直接的!于是这两天开始整理集合各种Firefox和chrome的渗透插件进行学习. Firefox 不解释.Firefox一直是渗透测试的利器,比天朝那些百度浏览器和360浏览器之类的不知道强到哪去. 1.Firebug Firebug一直是很多程序猿和黑客选择Firefox的重要因素,大名鼎鼎,相信只要有过开发…

Firefox的目标之一就是尽可能地使web开发者的生活更简单高效,并通过提供工具和具有很强扩展性的浏览器使人们创造出神奇的东西.使web开发者使用Firefox的时候,浏览器可以提供大量开发工具和选项.本文将这些工具做了简单整理. Firebug 迄今为止,最知名的web浏览器的web开发工具就是Firebug扩充套件.毫无疑问,在很长的一段时间,它把怎么进行开发和调试作为自己的门槛.Firebug是一个有很多强大的功能的重要工具,包括很多扩展. Firefox为web开发提供的扩展 多年来,…

RESTClient是Mozilla Firefox一个用于测试http请求插件.在火狐附加组件里面查询并安装,非常小巧,界面非常简单,使用非常的方便,看下面这张图你就全明白了,希望对新手有帮助! 1.打开火狐扩展搜索RESTClient进行安装并重启浏览器. 2.重启后可以在Mozilla Firefox地址栏右侧看到RESTClient图标,点击图标进入使用.可以配置Request:POST.GET请求URL.Content-Type.Body.点击send执行完毕返回并显示Response…

一．配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: l  在Windows和Linux上安装VirtualBox l  创建一个Kali Linux虚拟机 l  更新和升级Kali Linux l  为渗透测试配置web浏览器(即在Firefox浏览器下安装一些常用的插件) l  创建一个属于自己的靶机 l  配置网络使虚拟机正常通信 l  了解靶机上易受攻击的web应用程序 介绍 在第一章中,我们将介绍如何准备我们的Kali Linux安装,以便能够遵循书中所有的方法,…

下载jython,在Burpsuite的扩展中配置jython路径: Burp模糊测试: #!/usr/bin/python #coding=utf-8 # 导入三个类,其中IBurpExtender类是编写扩展工具必须的类,后两个是创建Intruder载荷生成器导入的类 from burp import IBurpExtender from burp import IIntruderPayloadGeneratorFactory from burp import IIntruderPayloa…

浏览器扩展开发貌似时下很冷门啊,但是不少企业还是有类似的应用,360的抢票插件啊,笔者最近在做的网页翻译扩展之类的.笔者在开发的过程中,遇到了不少坑,说是坑,说白了就是各个厂商支持的API不统一导致的. 经过总结,发现有三大阵营:   Chrome系 Chrome 各种友好,你想要的API它基本都有,谁叫人是谷歌呢 360 国产浏览器中比较NB的,有极速和兼容2中模式,如果你开发完了chrome的扩展,直接copy过去,基本不用大改 Baidu qq浏览器,不予评价,论copy能力,马寨主手下的…

今天的话题,我们来聊下扩展方法,自己也真心感叹自己的文笔,那叫一个惨啊,回顾写的文章,看着看着也忘记当时是怀着什么心态写的,哈哈,现代人真心是太随性了,可能也是太冷漠了,接着写的吧,总是会有帮助,也会有收获的. 扩展方法是从C#3开始出现在我们的眼前,它即有静态方法的优点,也使我们的代码更具可读性,可以像实例方法一样调用静态方法.在扩展方法没有出现前,我们在代码中常常出现静态的工具类(当然,即使现在我们来会使用静态工具类,那都是前人的智慧结晶),如一个字符串帮助类.时间转换工具类.想像一下,当我…

1:Firebug Firefox的 五星级强力推荐插件之一,不许要多解释 2:User Agent Switcher 改变客户端的User Agent的一款插件 3:Hackbar 攻城师们的必备工具,提供了SQL注入和XSS攻击,能够快速对字符串进行各种编码. 4:HttpFox 监测和分析浏览器与web服务器之间的HTTP流量 5:Live HTTP Headers 即时查看一个网站的HTTP头 6:Tamper Data 查看和修改HTTP/HTTPS头和POST参数 7:ShowIP…

1:Firebug Firefox的 五星级强力推荐插件之一,不许要多解释 2:User Agent Switcher 改变客户端的User Agent的一款插件 3:Hackbar 攻城师必备工具,提供了SQL注入和XSS攻击,能够快速对字符串进行各种编码. 4:HttpFox 监测和分析浏览器与web服务器之间的HTTP流量 5:Live HTTP Headers 即时查看一个网站的HTTP头 6:Tamper Data 查看和修改HTTP/HTTPS头和POST参数 7:ShowIP 在状…

…

1. 创建nginx ds # 写入配置 $ cat > nginx-ds.yml <<EOF apiVersion: v1 kind: Service metadata: name: nginx-ds labels: app: nginx-ds spec: type: NodePort selector: app: nginx-ds ports: - name: http port: 80 targetPort: 80 --- apiVersion: apps/v1 kind: Dae…

轻量级Web渗透测试工具jSQL jSQL是Kali集成的一款轻量级的Web渗透测试工具.最初该工具主要实施SQL注入,后来增加更多的功能,扩展形成一个综合性的Web渗透测试工具.Kali提供的版本较老,并且无法自动更新.用户需要手动从代码托管网站https://github.com/ron190/jsql-injection下载最新版的v0.79,替换本地的/user/jsql/jsql-injection.jar文件. 在新版本中,jSQL不仅提供更为强大的数据库注入功能,还支持管理页面暴力…

目前很多插件不支持 Firefox 3.5 哦1. Add N Edit Cookies 查看和修改本地的Cookie,Cookie欺骗必备. 下载:http://code.google.com/p/editcookie/downloads/list 2. User Agent Switcher 修改浏览器的User Agent,可以用来XSS. 下载:https://addons.mozilla.org/zh-CN/firefox/addon/59 3. RefControl 修改Refere…

info:Djangourl:https://www.oschina.net/p/djangodetail: Django 是 Python 编程语言驱动的一个开源模型-视图-控制器(MVC)风格的 Web 应用程序框架.使用 Django,我们在几分钟之内就可以创建高品质.易维护.数据库驱动的应用程序. Django 框架的核心组件有: 用于创建模型的对象关系映射 为最终用户设计的完美... info:OpenERPurl:https://www.oschina.net/p/openerpde…

info:更多Django信息url:https://www.oschina.net/p/djangodetail: Django 是 Python 编程语言驱动的一个开源模型-视图-控制器(MVC)风格的 Web 应用程序框架.使用 Django,我们在几分钟之内就可以创建高品质.易维护.数据库驱动的应用程序. Django 框架的核心组件有: 用于创建模型的对象关系映射 为最终用户设计的完美... info:更多OpenERP信息url:https://www.oschina.net/p/o…

法律声明: 工具仅供安全研究或授权渗透,非法用途后果自负. 工具: K8飞刀Final作者: K8哥哥博客: https://www.cnblogs.com/k8gege简介: 一款多功能网络安全渗透测试工具(Hacker Swiss Army Knife)                 1.漏洞利用:   已集成20个主流WEB.CMS程序,累计115个EXP(如Drupal.Joomla.Wordpress.Vbulletin.Xampp.Zimbra.ThinkPHP.Magento.D…

在linux日常运维中,我们平时会用到很多常规的操作命令. 下面对常用命令进行梳理: 命令行日常系快捷键(不分大小写)CTRL + A 移动光标到行首CTRL + E 移动光标到行末CTRL + U 剪切光标前的内容CTRL + K 剪切光标至行末的内容CTRL + Y 粘贴CTRL + S 锁住当前终端CTRL + Q 解锁CRTL + T 将光标所在当前字符移到前一个字符的前面CRTL + W 删除光标前面的内容Shift + Insert 向终端内粘贴文本ESC + . 显示上一条命令的最…

1.描述sendmail原理及通讯机制 sendmail程序接受到待发邮件后,通过关键字@判断邮件的格式是否符合要求,匹配成功后提取邮件后缀域名信息并查询DNS数据库相关MX(邮件专用)记录,若有匹配信息多于一条,选择优先级更高的主机IP进行投递,如果没有查询到相关域名的MX记录则尝试与其根域名(163.com)25端口通讯并投递邮件,成功连接则投递信件,失败则将邮件打包退还发件者. 2.A,B,C三类的私有IP地址范围 A:10.0.0.0 ~ 10.255.255.255 B:172..0.…

5. Web vulnerability scanners (网页漏洞扫描器 20个) Burp Suite是攻击Web应用程序的集成平台. 它包含各种工具,它们之间有许多接口,旨在方便和加快攻击应用程序的过程. 所有这些工具为处理和显示HTTP消息,持久性,身份验证,代理,日志记录,警报和可扩展性共享相同框架. 有一个有限制的免费版本,还有Burp Suite Professional(每位用户每年299美元). Nikto是一个开源(GPL)Web服务器扫描程序,可针对多个项目对Web服务器…

在linux日常运维中,我们平时会用到很多常规的操作命令. 查看服务器的外网ip [root@redis-new01 ~]# curl ifconfig.me [root@redis-new01 ~]# curl ifconfig.me/all  添加主机名 centos6修改主机名 [root@localhost ~]# hostname kevin-web01 [root@localhost ~]# vim /etc/sysconfig/network HOSTNAME= kevin-web…

第1章 魔鬼训练营--初识Metasploit 20135301 1.1 什么是渗透测试 1.1.1 渗透测试的起源与定义 如果大家对军事感兴趣,会知道各国军队每年都会组织一些军事演习来锻炼军队的攻防战术与作战能力.在信息科技的发源地--美国的军事演习中,将美军称为"蓝军",将假想敌称为"红军",而这种军事演习的方式也在20世纪90年代时,由美国军方与国家安全局引入到对信息网络与信息安全基础设施的实际攻防测试过程中.由一群受过职业训练的安全专家作为"红队&…

0x00 前言 在上个月我深入演讲了无约束委派之后,本文将讨论一种不同类型的Kerberos委派:基于资源的约束委派.本文的内容基于Elad Shamir的Kerberos研究,并结合我自己的NTLM研究,提出了一种新的攻击方法,如果您在同一网段中,可以在没有任何凭证的情况下在Active Directory中的任何Windows计算机上将代码执行提升为SYSTEM权限.这是不安全的Active Directory默认滥用的另一个例子,而不是任何新的利用 0x01 攻击TL; DR 如果攻击者在…

网址: https://www.gitbook.com/book/t0data/burpsuite/details 引子 刚接触web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了Burp Suite,除了它功能强大之外,还有就是好用,易于上手.于是就从网上下载了一个破解版的来用,记得那时候好像是1.2版本,功能也没有现在这么强大.在使用的过程中,慢慢发现,网上系统全量的介绍BurpSuite的书籍太少了,大多是零星.片段的讲解,不成体系.后来慢慢地出现了不少介绍BurpS…

目录   0x00  Web Developer(网页开发者) 0x01 Firebug Lite for Google Chrome (Firebug精简版) 0x02 d3coder (decoder,解码器)0x03 Site Spider(网站爬虫)0x04 Form Fuzzer (表单模糊测试[1])0x05 Session Manager (会话管理器)0x06 Request Maker (HTTP请求标识工具)0x07 Proxy SwitchySharp0x08 Cookie…

1. Arachni Arachni是一款基于Ruby框架搭建的高性能安全扫描程序,适用于现代Web应用程序.可用于Mac.Windows及Linux系统的可移植二进制文件. Arachni不仅能对基本的静态或CMS网站进行扫描,还能够做到对以下平台指纹信息((硬盘序列号和网卡物理地址))的识别.且同时支持主动检查和被动检查. Windows.Solaris.Linux.BSD.Unix Nginx.Apache.Tomcat.IIS.Jetty Java.Ruby.Python.ASP.PHP…

BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 BlackArch Linux是针对渗透测试人员和安全研究人员的基于Arch Linux的渗透测试分发版.BlackArch Linux预装有上千种专用工具以用于渗透测试和计算机取证分析.BlackArch Linux与现有的Arch安装兼容.您可以单独或成组安装工具.https://blackar…

1. Aircrack-ng Aircrack-ng是用来破解WEP/WAP/WPA 2无线密码最佳的黑客工具之一! 它通过接收网络的数据包来工作,并通过恢复的密码进行分析.它还拥有一个控制台接口.除此之外,Aircrack-ng还利用标准的FMS(Fluhrer.Mantin和Shamir)攻击,以及一些优化(如KORK攻击和PTW攻击)来加速攻击. Aircrack-ng 2. Hydra 九头蛇使用暴力攻击的方式,几乎可以破解任何远程身份验证服务.它支持50多种协议,包括ftp.https…