Je hersenen en een browser. Meer heb je echt niet nodig.

FF10 met Firebug en Firecookie, Live HTTP Headers. In Chrome "Edit: This Cookie"

Tools als Websecurify, XSS-me en SQL-me werken helemaal niet met de challenges, je moet gewoon commando's gebruiken. Als je hulp nodig hebt nadat je alles hebt geprobeerd kan je wel een tip op 't IRC kanaal krijgen: https://secure.security.nl/artikel/37946/1/IRC_Server.html

En voor latere challenges: Notepad++, Nmap en een SSH-client.

Om snel dingen te proberen die via de URL gaan: Hackbar plugin voor Firefox.
Om meer inzicht te krijgen in de requests en responses of om dingen te proberen via de POST body; een local proxy zoals bijvoorbeeld OWASP ZAP of Burp Suite.

Hackbar is ook prima voor POST te gebruiken. Ik heb het tot nu toe met alleen firefox+hackbar gedaan en heb bijna alles gehaald. De challenges zijn zo ontworpen dat je met een minimum aan spullen toch kan "snuffelen" aan hoe deze technieken werken.

Ik heb alle challenges behaald, de enige software die ik gebruikt heb is: chromium, firefox met een cookie editor plugin en nmap.

Meestal heb je genoeg aan de shells die ter beschikking gesteld worden.

IIS dav scanner & exploiter (by mescalin)

Groet,
Jasper koehorst