安装hackbar：

在火狐的附加组件中搜索“hackbar”，将它添加到火狐浏览器中， 重启后Firefox后安装完成，按F9键打开我们就会看到在地址栏下面会出现一个大框框就是hackbar了

框框很大碍事怎么办？

简单啊 F9 试试

首先先介绍横向第一排的下拉框：

INT、 HEX、OCT、Alphabet、AlNum分别代表了整数、十六进制、八进制、字母表、所有。

假设你的输入框中有a这个字符，然后你将下拉框调整为Alphabet，再点击右边的“+”，接下来你就会发现字母a变成了字母b！

整数类型的话也是一样，必须调整为INT或者AlNum，它会帮助你自动增长。

Load URL：将当前浏览器的地址栏url复制到输入框中。

Split URL：按照&来分割提交参数，并且一个参数占一行。

Execute：提交请求。

SQL：主要用于SQL注入辅助，支持MySQL、MSSQL、Oracle的字符简单转换，也能够根据输入的数字直接生成联合注入的语句、并且也可以替换空格为注释符。

XSS：用于将字符转换成ASCII码、HTML实体符号，附带生成一个测试XSS漏洞的alert弹窗代码。

Encryption：用于加密字符，支持MD5、SHA1、SHA-256、ROT13

Encoding：用于编码字符， 支持URL编码、Base64编码、十六进制编码。

Other：分别是Addslashes(将特殊字符使用“\”转义)、Stripslashes(去除转义)、Strip spaces(去除空格)、Reverse(字符串反转)。

Usefull strings：一些常量，包括(元周率、菲波那切数列、内存溢出…)

Enable Post data：这里勾选上后，会有一个输入框，使用来提交POST数据的。

Enable Referrer：HTTP请求中的上一个页面的来源地址 。(一般用于测试CSRF防御机制)

网址的载入与访问：

hackbar的一个特点就是在地址栏下面加了一个大框框，这样的话对于一些较长得url可以更加方便的查看了，load url是将地址栏中的网络复制到hackbar中，这样的话我们就可以进行一些测试，在hackbar中回车是换行的意思所以我们要点击execute来访问hackbar中的网址。

联合查询：

在sql注入中有一个联合查询，比如字段数是11要是手工的话我们打出and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11 这样做不是太麻烦了吗？我们通过hackbar的sql选项里面的union select statement在其中输入字段数，hackbar会自动的帮助我们输入那一大串文字，是不是方便了许多呢

各种编码：

我们可以对url进行各种编码操作，我们可以在endoding选项下进行url/16进制/base64进行编码解码，可以在xss选项下进行html实体编码，在sql选项下进行空格编码。

数据加密：

在encryption选项中我们可以进行md5,sha1，sha256，rot13加密，单击里面的选项，在弹出的对话框中输入要加密的数据，确认后会在hackbar中显示

enable Referrer

Referrer是伪装来源地址的选项；

2、在其对应的填写框录入要伪装的地址即可；

3、执行hack操作即可模拟该Referrer。

这里是一些快捷键

– Load url ( Alt + A )

– Split url ( Alt + S )

– Execute ( Alt + X, Ctrl + Enter )

– INT -1 ( Alt – )

– INT +1 ( Alt + )

– HEX -1 ( Ctrl Alt – )

– HEX +1 ( Ctrl + Alt + )

– MD5 Hash ( Alt + M )

– MySQL CHAR() ( Alt + Y )

– MS SQL Server CHAR() ( Alt + Q )

另外，有些功能是冗余的，不会不熟的。。不要紧

参考   倾旋的一叶知安专栏    知乎