今天在本地复现某漏洞时要用到Hackbar插件才发现谷歌浏览器将我原来用的Hackbar 2.1.3自动升级到了2.3.1,又得重新绕过它的许可证限制,所以就想着写这么一篇记录文章,希望能帮助到一些刚踏入安全行业的的新人朋友。
Hackbar是一款用于安全测试的浏览器插件,可在Firefox和Chrome浏览器中使用,目前提供的功能有:常见编码和解码、POST/Cookies数据提交、SQL/XSS/LFI/XXE漏洞测试等。不过作者在2.1.3版本后也开始收费了,https://hackbar.herokuapp.com。
@江南小虫虫大佬已经通过修改“Hackbar源码+自签名”的方式成功绕过火狐浏览器HackBar许可证限制,目前已测试2.2.9、2.3.1,详情可阅读作者原文。
谷歌浏览器地址栏输入chrome://extensions,选择Hackbar插件进入详细信息页面,开启右上角开发者模式,找到ID一栏并复制,然后通过Everything搜索或者直接用以下路径即可找到Hackbar插件源文件存放位置。
%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\ + "Extensions ID"
%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\djmoeoifnlhjolebkehmpaocfnipknbh
编辑Hackbar插件目录下的hackbar-panel.js文件,搜索chrome.storage.local.get字符串并将以下代码用/**/给注释掉,这时可以看到已经成功绕过谷歌Hackbar许可证限制,并且所有功能都可用。
chrome.storage.local.get(['license'], function (result) {
const license = result.license;
if (license) {
//check internet
fetch("https://google.com")
.then(function (response) {
// check licese
fetch(license_server + "/" + license)
.then(function (response) {
return response.json();
})
.then(function (data) {
const pong = data.pong;
if (pong === false) {
disable_hackbar(data.message);
}
}).catch(error => {
disable_hackbar();
});
})
.then(function (data) {
}).catch(error => {
});
} else {
disable_hackbar();
}
});