Cookie利用神器:CookieHacker

看到那么多苦逼的跨站师在问Cookie利用工具,不忍心,还是把自己写的Chrome扩展开源出来吧,功能极简,仿造我之前文章《我的渗透利器》里提到的Original Cookie Injector for Greasemonkey。

效果

在Chrome下按alt+c快捷键打开如下图:

123

然后把你盗来的Cookies,直接贴进文本框里,上面的域名输入框会自动取你当前所在的页面的域名,可以自己随便改,小技巧tip:改为根域能达到意想不到的效果:)

这个扩展会把你的Cookies都变为本地持久Cookies。

点击“Inject Cookies”即可。

源码:https://github.com/evilcos/cookiehacker,以及我打包好的扩展(后缀是crx)。

安装方式

打开你的Chrome扩展程序页:chrome://extensions/,将crx拖进去即可,有人不放心,怕我的扩展不安全,没事,你自己把源码打包也行,打包也很简单,也是在chrome://extensions/里操作,点击“载入正在开发的扩展程序”,选择源码目录,安装后,点击“打包扩展程序”,看提示自己打包即可,打包后的crx就可以传播了。

最后,还是在chrome://extensions/页面,右下角有个“配置命令”,点击,给CookieHacker配置个alt+c快捷方式吧……:)

喜欢的请来个赞。

51 comments

  1. 很棒的插件,十分感谢!

    有个小问题还往指教——当我利用该工具注入cookie到uat.exhubs.com (spring security框架, 测试帐号密码: user01/user01)时发现必须将其当前同名cookie “JSESSIONID”删掉后才能注入成功。而且我感到疑惑的是新注入的cookie的Domain是”.uat.exhubs.com”,而不是”uat.exhubs.com”。

    然后我在源代码的基础上增加了删除同名cookie的操作,问题就解决了,以下为修改后的代码:

    chrome.cookies.remove({
    ‘url’: url,
    ‘name’: k
    }, function(){
    chrome.cookies.set({
    ‘url’: url,
    ‘name’: k,
    ‘value’: v,
    ‘path’: ‘/’,
    ‘domain’: $(‘domain’).value,
    ‘expirationDate’: e,
    });
    });

  2. 额,现在chrome已经不允许使用非商店扩展,结果我在搜商店的时候,发现这个已经发布了,不知道是不是博主发布的。

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据