一、介绍
你是否经常遇到前端JS加密,无从下手,亦或是要分析它的前端JS代码看账号密码的具体加密方式以及公钥key。有了这个工具你将如脱手一般无需分析过多,便可轻松爆破。
该工具主要是为了方便在面对web后台进行爆破测试的时候,用户名和密码是加密的情况下 如果单纯分析js来进行爆破测试时间成本会比较多所开发而成的。
程序优点:
优点1:针对网站后台用户名密码加密无需分析js即可爆破请求。
优点2:采用通用特征方式识别用户名和密码进行提交请求。
优点3:通过内置大佬ddddocr库可以进行存在验证码后台爆破。
优点4:通过监听请求数据可以做到验证码错误重试功能。
优点5:可以对大量不同登录系统进行批量爆破测试并截图。
优点6:新添加cdp模式,可以使用工具直接爆破也可以配合burp的autodecoder插件做到burp调试明文实际发包密文传输。
二、下载链接
blasting下载:blasting下载
安装命令(该工具推荐使用python3.9
版本运行)
python3.9 pip install -r .\requirements.txt //安装依赖
python3.9 -m playwright install //安装浏览器
python3.9 .\BLAST.py //启动工具
启动工具后界面为
三、使用
有两种模式:
自动模式
手动模式(xpath匹配模式)
爆破手段有四种(其实就是burp
的intruder
模块下的爆破手段)
sniper:狙击手
ram:攻城锤
fork:草叉模式
bomb:集束炸弹
下面我起一个靶场用作测试
自动模式
直接填上url地址即可,选择狙击手模式输入账号密码即可爆破(注:验证码错误关键词要修改)
手动模式(xpath匹配模式)
手动模式的话就需要填入用户、密码、登录按钮的xpath
,如果有验证码就填入验证码的xpath
路径(没有验证码就默认)
xpath
怎么获取?
以用户为例:
然后就可以爆破了。
四、演示视频
链接: https://pan.baidu.com/s/1MVjXVZFB_mPND0SYZRCnIw 提取码: ch3n