网站检测工具(BurpCrypto)

在Web渗透测试中有一个关键的测试项:密码爆破。目前越来越多的网站系统在登录接口中加入各式各样的加密算法,依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够,这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法,甚至可以直接将加密算法的js运行与BurpSuite中的插件:BurpCrypto。安装BurpCrypto可从其官方Github页面进行下载已编译好的版本,或下载源代码本地编译,然后在BurpSuite的扩展列表中添加插件即可。使用方法BurpCrypto安装完成后会在BurpSuite中添加一个名为BurpCrypto的选项卡,打开选项卡可进入不同加密方式的具体设置界面。AES加密常见的加密插件往往只提供一个Processor,此插件设计了多Processor功能,可以添加多个Processor,同时运行多个不同加密方式、不同密钥的测试器。在测试器中选择刚刚创建的Processor下面直接点击Start Attack即可。找的密文对应的明文BurpSuite中有一个饱受诟病的问题,在测试器的测试结果中,无法显示原始Payload,也就是字典内容。该插件具有内置数据库功能,只要是通过该插件生成的密文内容,都可以使用插件中提供的“Get PlainText”功能找回原始Payload。ExecJs功能该插件对于不支持的加密算法也提供了一种变通方法,使用者可根据不同网站使用的加密方法提取其加密的核心函数,并将核心函数稍作加工即可加入本插件中使用。此处演示使用的是某网站使用的特殊版本的MD5算法。然后像AES模块一样添加Processor即可,使用方式也类似与AES模块。该插件的的官方Github为:https://github.com/whwlsfb/BurpCrypto该插件为作者whw1sfb本人开发,欢迎各位同学使用测试,使用过程中遇到问题,可以私信【入群】跟我们一起讨论。 本文作者:whw1sfb,原文链接:https://www.freebuf.com/sectool/238272.html我是安仔,一名刚入职网络安全圈的网安萌新,欢迎关注我,跟我一起成长;小白入行网络安全、混迹安全行业找大咖,以及更多成长干货资料,欢迎关注#安界网人才培养计划#、#网络安全在我身边#、@安界人才培养计划。

本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.175ku.com/33055.html