HackBar">HackBar

HackBar

怎么打开？

打开“开发者工具”（按F12或Ctrl+Shift+I）
切换到“HackBar”选项卡
3.享受它

特征

支持的方法

GET
POST
- application/x-www-form-urlencoded
- multipart/form-data
- application/json
更多信息，请访问 https://github.com/0140454/hackbar/blob/master/README.md

自动测试
常用路径（包括来自 dirsearch 的词汇表）

SQLi
转储所有数据库名称（MySQL、PostgreSQL）
从数据库中转储表（MySQL、PostgreSQL）
从数据库中转储列（MySQL、PostgreSQL）
联合选择语句（MySQL、PostgreSQL）
基于错误的注入语句（MySQL、PostgreSQL）
一次性转储有效载荷 (MySQL)
- 参考：https://github.com/swisskyrepo/PayloadsAllTheThings
转储当前查询负载（MySQL）
- 参考：https://github.com/swisskyrepo/PayloadsAllTheThings
内联评论空间

跨站脚本
Html 编码/解码
String.fromCharCode 编码/解码

LFI
PHP 包装器 - Base64

SSTI
Jinja2 SSTI
- Flask RCE 参考：https://twitter.com/realgam3/status/1184747565415358469
Java SSTI

编码
URL编码/解码
Base64编码/解码
十六进制编码/解码
Unicode编码/解码

Hashing
MD5
SHA1
SHA256
SHA512
快捷键
| 描述 | 默认 | MAC | | —- | —- | —- | | 加载 | Alt + A | Ctrl + A | | 切分 | Alt + S | Ctrl + S | | 执行 | Alt + X | Ctrl + X |

加载

默认值：Alt + A
Mac：Ctrl + A

切分
默认值：Alt + S
Mac：Ctrl + S

执行
默认值：Alt + X
Mac：Ctrl + X
支持的enctype
multipart/form-data
改变后编码方式字段至multipart/form-data，可以把payload放入Body字段，如下所示： ```http ———WebKitFormBoundarydbJBATDXCC6CL0lZ Content-Disposition: form-data; name=”user”

user ———WebKitFormBoundarydbJBATDXCC6CL0lZ Content-Disposition: form-data; name=”file”; filename=”shell.php” Content-Type: application/x-httpd-php

<?php passthru($_GET[‘c’]); ?> ———WebKitFormBoundarydbJBATDXCC6CL0lZ—

我们将把第一行作为边界，重新构造一个表单元素来发送您的请求。因此，发送的边界将与您键入的边界不同。
<a name="xzcMn"></a>
### application/json
改变后**编码方式**字段至application/json，可以把payload放入`Body`字段，如下所示：
```json
{
  "username": "admin",
  "password": "admin"
}

为了发布JSON数据，我们将在您的JSON中插入一个虚拟字段或对象，如下所示：

{"username":"admin","password":"admin","4dxnzjzd5mi":"="}

有关更多详情，请访问”用HTML表单发布JSON“。

第三方库

Vue.js
Vuetify.js
crypto-js

🛠工具库🛠

浏览器插件 - HackBar：SQL注入以及XSS测试

HackBar

怎么打开？

特征

支持的方法

自动测试

SQLi

跨站脚本

LFI

SSTI

编码

Hashing

快捷键

加载

切分

执行

支持的enctype

multipart/form-data

第三方库