开箱即用！Chrome渗透神器「功能全拉满」

还在为渗透测试装一堆插件来回切换吗？HackBar、信息收集、指纹识别、XSS、SQL注入、JS审计、Shodan查询……今天给大家推荐一款全能型渗透浏览器插件：黄油曲奇。

一个插件 = 一整套渗透工具箱，Chrome/Edge直接装，即用即测，效率直接拉满！

一、工具简介

它把信息收集、信息提取、XSS、SQL注入、端点扫描、Shodan、辅助工具全部集成在一个面板里，和浏览器深度融合，可直接读取页面DOM、Cookie、请求、流量，做到真正无缝渗透。

支持浏览器：Chrome 88+ / Edge 88+跨平台：Windows / macOS / Linux

二、7大核心模块，覆盖渗透全流程

插件一共7大模块，几乎覆盖Web渗透所有高频场景，不用来回切换工具，打开插件就能搞定：

1｜信息收集（渗透基础必备）

UA切换（手机/电脑/品牌预设，一键伪装）Cookie自定义设置（测试认证绕过）XFF/Referer/Client-IP伪造（IP欺骗测试）敏感信息一键扫描（邮箱、密钥等快速抓取）框架指纹识别（快速摸清目标技术栈）蜜罐检测（避免踩坑浪费时间）JS/API/接口 Fuzz 扫描（挖掘潜在漏洞）

2｜信息提取（v1.0.4 重磅新增）

域名提取（一键抓取页面所有关联域名）API接口提取（自动过滤静态资源，精准扒接口）JS文件提取（高亮关键词，快速定位关键JS）路径提取（批量获取页面所有路径信息）Cookie提取（当前域名Cookie一键复制）SourceMap 文件提取下载（追溯前端源码）URL/Base64/Unicode 编解码（无需额外工具）自定义正则提取（灵活抓取自定义信息）

3｜XSS测试（快速挖跨站漏洞）

批量Payload填充（自动填入所有输入框）CSP策略读取（分析目标防护措施）URL参数自动提取（Query/Hash/Path全提取）HTML/URL/十六进制编码工具箱（绕过WAF必备）

4｜SQL注入测试（轻量版HackBar）

内置SQL HackBar（无需额外安装）支持GET/POST/PUT/DELETE等所有请求方式支持URL/表单/JSON/Cookie/Header 所有注入点响应包实时查看（快速分析注入结果）一键生成curl命令（终端复用，提升效率）

5｜端点安全扫描（前端漏洞自动查）

JS里自动挖API接口（绝对/相对路径全捕捉）敏感目录扫描（内置字典，探测信息泄露）DOM XSS 自动检测（静态分析数据流）postMessage跨域消息监控（发现跨域漏洞）原型污染检测（排查JS安全隐患）任意重定向检测（发现跳转漏洞）

6｜Shodan主机信息（资产情报一键查）

当前域名IP信息（地理位置、ISP一目了然）开放端口（快速掌握主机暴露面）漏洞CVE查询（了解目标已知风险）一键跳Shodan详情（深入分析资产）

7｜辅助工具（提升效率小神器）

Vue检测+导出路由+绕过路由守卫（前端测试必备）JS禁用/启用、反调试绕过（应对前端反爬）批量URL打开（支持延迟，批量验证漏洞）URL列表管理（保存常用目标，方便复用）

一个插件，搞定信息收集、漏洞探测、漏洞利用、前端审计、资产情报查询，不用来回切换十几个工具。

以后做Web渗透，打开浏览器，点开黄油曲奇，全程无缝操作，效率直接翻倍！

三、安装教程（2步搞定，开箱即用）

1. 下载项目源码并解压（获取方式见文末）
2. 打开浏览器扩展页面：chrome://extensions/
3. 开启右上角「开发者模式」（开关打开即可）
4. 点击「加载已解压的扩展程序」
5. 选中黄油曲奇文件夹，等待加载完成

四、最实用的高频用法（新手也能上手）

① 信息收集+指纹一键扫

打开目标网页 → 点击插件图标 → 进入「信息收集」模块，可一键识别框架、扫描敏感信息、检测蜜罐、跑API Fuzz，渗透前期快速摸清目标。

② 信息提取挖接口

进入「信息提取」模块，点击「提取API」，自动扒出页面所有接口，配合自定义正则，能快速捞出页面中的ID、密钥、隐藏路径。

③ XSS快速测试

进入「XSS测试」模块，自动提取URL参数 → 编码Payload → 批量填充，不用手动输入，懒人挖XSS神器。

④ SQL注入一把梭

进入「SQL注入」模块，选择请求方式和注入点，输入Payload直接发包，查看响应结果，还能复制curl命令到终端复用，高效测试注入漏洞。

⑤ 前端漏洞自动扫描

进入「端点安全扫描」模块，开启动态扫描，自动检测DOM XSS、原型污染、开放重定向，很多前端漏洞不用手动审计就能发现。

五、适合谁用？

• SRC漏洞挖掘选手（高效挖洞，提升提交量）
• 红蓝队攻防人员（快速信息收集，节省时间）
• 渗透测试工程师（一站式工具，提升工作效率）
• 前端安全审计人员（自动检测前端漏洞）
• 想少装插件的懒人（一个插件搞定所有高频需求）

下载地址

https://github.com/EdinLyle/Butter_Cookie

END