看到那么多苦逼的跨站师在问Cookie利用工具,不忍心,还是把自己写的Chrome扩展开源出来吧,功能极简,仿造我之前文章《我的渗透利器》里提到的Original Cookie Injector for Greasemonkey。
效果
在Chrome下按alt+c快捷键打开如下图:
然后把你盗来的Cookies,直接贴进文本框里,上面的域名输入框会自动取你当前所在的页面的域名,可以自己随便改,小技巧tip:改为根域能达到意想不到的效果:)
这个扩展会把你的Cookies都变为本地持久Cookies。
点击“Inject Cookies”即可。
源码:https://github.com/evilcos/cookiehacker,以及我打包好的扩展(后缀是crx)。
安装方式
打开你的Chrome扩展程序页:chrome://extensions/,将crx拖进去即可,有人不放心,怕我的扩展不安全,没事,你自己把源码打包也行,打包也很简单,也是在chrome://extensions/里操作,点击“载入正在开发的扩展程序”,选择源码目录,安装后,点击“打包扩展程序”,看提示自己打包即可,打包后的crx就可以传播了。
最后,还是在chrome://extensions/页面,右下角有个“配置命令”,点击,给CookieHacker配置个alt+c快捷方式吧……:)
喜欢的请来个赞。
赞一个~
收藏了!!!
Edit This Cookie 扩展,功能更加丰富
是,我喜欢极简,满足我绝大多数场景需求即可
Added to my collection
不错,喜欢比较简洁
恩,简洁就是爽
简洁实用,这个扩展会把你的cookie变为持久cookie~
赞~
很棒的插件,十分感谢!
有个小问题还往指教——当我利用该工具注入cookie到uat.exhubs.com (spring security框架, 测试帐号密码: user01/user01)时发现必须将其当前同名cookie “JSESSIONID”删掉后才能注入成功。而且我感到疑惑的是新注入的cookie的Domain是”.uat.exhubs.com”,而不是”uat.exhubs.com”。
然后我在源代码的基础上增加了删除同名cookie的操作,问题就解决了,以下为修改后的代码:
chrome.cookies.remove({
‘url’: url,
‘name’: k
}, function(){
chrome.cookies.set({
‘url’: url,
‘name’: k,
‘value’: v,
‘path’: ‘/’,
‘domain’: $(‘domain’).value,
‘expirationDate’: e,
});
});
太赞了,感谢博主无私分享 希望能再多分享一些实用的工具
it great!!!
好东西值得学习。谢谢博主
赞一个!!!做个友链吧!
很赞,简洁,我喜欢。
简单有效,赞
很不错,fork了一个
Nice article and extension, Keep going :)
Btw, how to contact you?
额,现在chrome已经不允许使用非商店扩展,结果我在搜商店的时候,发现这个已经发布了,不知道是不是博主发布的。
赞一个
专门注册一个用户名来赞你的,真的很棒!加油~
不知道是否安全耶?
通过chrome web store安装的
哈哈。pingback这是啥玩意,我转发的跑这上面来了,嘿嘿!
域名是ip地址的,cookie是插入不成功的
请问如何做呢?我这边cookie无法注入
https://cookiehacker.com/我已经把插件更新了