Hackbar 2.3.1插件许可证限制绕过

Hackbar 2.3.1插件许可证限制绕过
2020-08-04 15:04:32 Author: www.secpulse.com(查看原文) 阅读量:453 收藏

今天在本地复现某漏洞时要用到Hackbar插件才发现谷歌浏览器将我原来用的Hackbar 2.1.3自动升级到了2.3.1，又得重新绕过它的许可证限制，所以就想着写这么一篇记录文章，希望能帮助到一些刚踏入安全行业的的新人朋友。

0x01 Hackbar是什么东东？

Hackbar是一款用于安全测试的浏览器插件，可在Firefox和Chrome浏览器中使用，目前提供的功能有：常见编码和解码、POST/Cookies数据提交、SQL/XSS/LFI/XXE漏洞测试等。不过作者在2.1.3版本后也开始收费了，https://hackbar.herokuapp.com。

0x02 绕过Firefox Hackbar许可证限制

@江南小虫虫大佬已经通过修改“Hackbar源码+自签名”的方式成功绕过火狐浏览器HackBar许可证限制，目前已测试2.2.9、2.3.1，详情可阅读作者原文。

https://fengwenhua.top/index.php/archives/36/
https://fengwenhua.top/index.php/archives/43/
https://github.com/fengwenhua/hackbar_crack

图片7.png

0x03 绕过Chrome Hackbar许可证限制

谷歌浏览器地址栏输入chrome://extensions，选择Hackbar插件进入详细信息页面，开启右上角开发者模式，找到ID一栏并复制，然后通过Everything搜索或者直接用以下路径即可找到Hackbar插件源文件存放位置。

%userprofile%AppDataLocalGoogleChromeUser DataDefaultExtensions + "Extensions ID"%userprofile%AppDataLocalGoogleChromeUser DataDefaultExtensionsdjmoeoifnlhjolebkehmpaocfnipknbh

编辑Hackbar插件目录下的hackbar-panel.js文件，搜索chrome.storage.local.get字符串并将以下代码用/**/给注释掉，这时可以看到已经成功绕过谷歌Hackbar许可证限制，并且所有功能都可用。

chrome.storage.local.get(['license'], function (result) { const license = result.license; if (license) { //check internet fetch("https://google.com") .then(function (response) { // check licese fetch(license_server + "/" + license) .then(function (response) { return response.json(); }) .then(function (data) { const pong = data.pong; if (pong === false) { disable_hackbar(data.message); } }).catch(error => { disable_hackbar(); }); }) .then(function (data) { }).catch(error => { }); } else { disable_hackbar(); } });

本文作者：贝塔安全实验室

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/136669.html

文章来源: https://www.secpulse.com/archives/136669.html
如有侵权请联系:admin#unsafe.sh