小米范工具系列之十一:小米范渗透测试浏览器

小米范渗透测试浏览器是一款以chrome内核为基础,添加了一些渗透常用功能的浏览器。

工具需使用java 1.8以上版本运行。

主要功能包括:

1、自动修改http头(Host、 Referer、Cookie、User-Agent);

2、POST提交。

3、请求拦截、修改(此拦截并非使用代理的方式,不存在https安装证书的问题,但是有些地方也没有代理拦截那么方便)。

4、代理快速切换。

5、网页URL提取。

6、端口扫描。

7、目录扫描。

8、basic认证破解。

9、表单认真破解(模拟浏览器操作、可绕过前端js加密、但速度慢、用于少量口令破解)。

10、域名反查(调用爱站)。

11、二级域名查询(调用netcraft)。

12、FUZZ,可自定义规则,在参数后面、URL后面、URL根路径、URL问号后面插入payload、或自定义HTTP头,支持POST(在抓包重放表格选择右键即可)。

13、右键发送到sqlmap(自动识别https/http),需要安装sqlmap,支持sqlmap -r/-u参数,支持POST(在抓包重放表格选择右键即可)。

14、抓包/修改重放。

15、网页源码格式化/编辑并以dom的方式保存至当前网页。

16、1.5版本增加url批量存活检测功能,针对存活的URL可以使用内置浏览器打开进行测试。

参数说明:

User-Agent头可以选择内置的也可以自己输入,输入后按回车即可。

代理切换,可以选择内置的也可以自己输入,格式192.168.1.1:8080,输入后按回车即可。

用户名密码字典及fuzz字典均放在dict目录下,可自行修改。

浏览器缓存放在AppData文件夹。

最新版本下载地址:http://pan.baidu.com/s/1c1NDSVe 文件名 XmfBrowser

FUZZ规则根据自己的需求自行添加,规则格式如下:(前缀:payload),示例如下

不同的前缀表示payload插入的位置:

另外针对不适用的规则会快速跳过,比如FUZZ一个没有参数的请求,则afterparameters类的规则会快速跳过。

 

最新版本下载地址:http://www.cnblogs.com/SEC-fsq/p/5736675.html 文件名 XmfBrowser

 

posted @ 2016-07-22 22:58  范世强  阅读(6162)  评论(12编辑  收藏  举报