首页 » 软件工具 » 绿色软件 » 浏览内容

谷歌浏览器Chrome插件-梧桐雨工具箱

868 0 发表评论

一直以来,我都使用在谷歌浏览器Chrome,前面也说过了我为什么会在如此多的浏览器中选择这么一款。

如果有意思的朋友可以去看下如何选择适合自己的浏览器什么浏览器好?》也可以直接去下载《谷歌浏览器(Google Chrome)绿色免安装版+便携版

我很希望能在使用Chrome的基础上,能进行一些渗透测试,以及跨站测试,虽然工具网上都有,但是每次用到的时候都需要访问特定的url,或者打开某个软件,让我觉得步骤颇多。

虽然火狐浏览器能够为我们达到这一效果,但是火狐浏览器太过臃肿,速度较慢,因此,我就诞生了基于Chrome的扩展,即梧桐雨工具箱。

主要界面如下:


主要还是介绍下它的功能,以及可能用到的场景。
先来说说浏览器相关的模块:
包含了添加cookie,删除cookie,清空历史记录以及清空所有数据等一系列的功能,下面给大家介绍下这些功能。
1,先说说添加cookie部分。

在一些跨到后台的情况下,可以考虑通过添加cookie的方式登录后台;不需要再安装其他组件。
一键获取当前cookie 则能很好的查看目前浏览器存在哪些cookie。

2,删除cookie功能不多说,一般调试越权的时候可以用到。当然,如果你是Chrome浏览器的老用户,你会发现F12下的Resources面板,能更迅速的删除。

不管是清空历史记录,还是清空所有数据,Chrome自身携带的删除方式得三步以上,而插件只需要两步便能完成。

点开清空->确认,就可以清除了。


3,url编码和解码都是围绕url进行的,不少过滤也是围绕关键字进行。url编码一方面能很好的与浏览器结合。另外,在特定场景下,是可以绕过某些过滤的。

4,js转义功能,目前暂时只提供了unicode解码、编码以及base16的编码和解码。至于用到的场景,我在这里举个”栗子”。
在xss测试中,有些时候可能会遇到输出点在<script></script>之间,若过滤了一些特殊字符,则通过对一些js代码进行编码,是可以绕过过滤的,

特别是正则表达式写的不太严谨的情况下。则更容易绕过。

5,html编码和解码。与js编码类似,特定条件下是可以触发跨站的。
例如:<img src=1 onerror=”alert(1)”>,正常情况下会弹出alert(1)。
但是,如果过滤了alert(),或者黑名单的方式,排除了onerror怎么办?这个时候可以尝试html编码绕过,wooyun已经有不少类似的例子,例如:4399储存型xss,过滤器绕过(修补后绕过)

6、调用外部js生成,这个功能对于跨站来说,必不可少。每当你想引用外部js的时候,你就必须考虑不同的情况。譬如:输出在<script></script>之间,我们可以考虑通过document.write()调用,或者通过eval()调用。当输出点在<img onerror>的时候,我们还可以考虑onerror调用。

7,浏览器相关的最后一个String.fromCharCode(),在转换字符能用到,譬如我们需要转换hello,world的时候,直接输入之后进行转换,便能得到结果:

在一些黑名单的过滤中,往往这种也可以绕过过滤。

在常用工具当中,大部分还是基于渗透测试使用的,譬如端口扫描,则是可以通过img.src的方式去探测端口的开放状态,路径扫描可以通过匹配的字典去探测,whois信息以及旁站查询也是如此。

短网址转换功能或许能让你在不打开别的网址转换站的情况下一键帮你缩短你所需要的url。

梧桐工具箱下载地址:链接: http://pan.baidu.com/s/1qWJjxj2 密码: o05j

目前工具不是很完善,但是如果有更新后我会在第一时间在本文更新。

标签:

评论 共 0 条 (RSS 2.0) 发表 评论

  1. 暂无评论,快来抢沙发!

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥伙伴们喜欢本站赏个好评呗

关注微信

有偿服务

博客统计

  • 日志总数:478 篇
  • 评论数目:1480 条
  • 标签总数:40 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:25 个
  • 建站日期:2011-02-13
  • 运行天数:2126 天
  • 最后更新:2016-12-9

订阅博客