Penetration Testing Kit浏览器渗透测试插件

Penetration Testing Kit浏览器渗透测试插件

渗透测试套件的功能:

PTK仪表盘允许您分析客户端/服务器端技术并检查任何第三方库以获取现有的CVE,例如已知的漏洞。同时,它使您可以在浏览应用程序时快速访问有关所有框架和请求的信息。

您是渗透测试人员,红队的成员还是应用程序安全从业人员?需要有关应用程序的安全性见解?
尝试使用PTK-一种使您的浏览器更智能的扩展。
基于WappalyzerNPM模块,PTK(Penetration Testing Kit)提供了有关技术堆栈,安全标头,网页链接抓取和域的有见地的信息。
详细的流量日志使用户可以在R-Builder中重复请求,或向R-Attacker发送攻击,并对任何特定请求执行XSS,SQL或OS Command注入
宏和流量记录,引导身份验证以绕过MFA / Captcha,Swagger编辑器,以及更多有助于日常应用程序安全工作的功能。  

一个简单的步骤即可查看有关应用程序的详细信息,无需经过JavaScript验证即可执行修改后的HTTP请求的功能,以及使用HAR文件输出进行序列记录的功能

如何使用

  • 打开一个新标签页-允许PTK开始跟踪新标签页
  • 输入URL并浏览应用程序,例如单击链接,发送表单等
  • 浏览完成后,单击PTK图标并检查可访问的信息。
  • 导出唯一域或URL的列表
  • 将任何特定的请求发送到R-BuilderR-Attacker

且看视频演示

R-Builder介绍

使用请求构建器,您可以在原始视图(例如Burp Suite或任何其他代理工具)中创建或修改HTTP/S请求。


观看视频,了解如何利用SQL注入

宏和流量记录

为了使QA或AppSec/InfoSec流程自动化,工程团队需要记录序列或身份验证步骤。获得相同记录的已记录代理日志(HAR格式)甚至更好。


详细攻击视频示例

R Attacker -如何执行SQL注入,XSS和命令注入

网页速度慢,可以自行下载原视频查看

视频下载地址:

①雨苁网盘:w.ddosi.workers.dev/video/
②迅雷网盘:https://pan.xunlei.com/s 提取码:i4sw

安装方法

访问插件安装页面点击安装即可

Firefox插件
微软插件
Chrome网上应用店

工具截图

以福利吧为例

识别出中间件信息如下

WordPress
MySQL
PHP
WordPress Super Cache
Bootstrap3.2.0
Tengine
jQuery1.9.1
Hammer.js
Font Awesome
Cloudflare
Baidu Analytics (百度统计)

识别出的ip如下

156.239.156.51
2409:8c62:e10:5f:3::3fe
183.240.115.212
117.180.229.69
185.85.13.155
112.45.121.49
2409:8c7e:0:6:3::3fd
2409:8c7e:0:6:3::3fe
117.180.227.233
117.180.227.191

浏览器到服务器之间信息流

发送到R-Builder

点击这个发送到R-Builder

发送到R-Attacker进行漏洞扫描

点击detail即可查看详细信息