![6cb5077c567bf0cb314ec93735bcecf5.png](https://i-blog.csdnimg.cn/blog_migrate/298cf602c06dff9a4c85093505bacd61.png)
在Web渗透测试中有一个关键的测试项:密码爆破。
目前越来越多的网站系统在登录接口中加入各式各样的加密算法,依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够,这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法,甚至可以直接将加密算法的js运行与BurpSuite中的插件:BurpCrypto。
安装
BurpCrypto可从其官方Github页面进行下载已编译好的版本,或下载源代码本地编译,然后在BurpSuite的扩展列表中添加插件即可。
使用方法
BurpCrypto安装完成后会在BurpSuite中添加一个名为BurpCrypto的选项卡,打开选项卡可进入不同加密方式的具体设置界面。
AES加密
![035a3371ff61fe88ed0ba923bda424ec.png](https://i-blog.csdnimg.cn/blog_migrate/cfd6ee84a1a5e32d6962552452820773.png)
常见的加密插件往往只提供一个Processor,此插件设计了多Processor功能,可以添加多个Processor,同时运行多个不同加密方式、不同密钥的测试器。
![f5508cdc757b3f7160fb9177fce57cb0.png](https://i-blog.csdnimg.cn/blog_migrate/02472ffcbee6d6aa412ae786e70e09fd.png)
![403eb631ad54fa539499cae040c06196.png](https://i-blog.csdnimg.cn/blog_migrate/e6cc22dffa6bbe6bdf5bc695099ec0e2.png)
在测试器中选择刚刚创建的Processor
![71ea13259f5cb87b63e20fd3a50c0c37.png](https://i-blog.csdnimg.cn/blog_migrate/5a0fb3cceea2fa64ff15de366598b68a.jpeg)
下面直接点击Start Attack即可。
找的密文对应的明文
BurpSuite中有一个饱受诟病的问题,在测试器的测试结果中,无法显示原始Payload,也就是字典内容。
该插件具有内置数据库功能,只要是通过该插件生成的密文内容,都可以使用插件中提供的“Get PlainText”功能找回原始Payload。
![edd39a0e907e5324644b1da287795ee8.png](https://i-blog.csdnimg.cn/blog_migrate/df0db7a7fecea57a0f1ed694c0fc5fca.jpeg)
![361de7c1955d5a2242a322c45522938c.png](https://i-blog.csdnimg.cn/blog_migrate/a56cc86bc341b5fcc3ba0357e74ef886.png)
ExecJs功能
该插件对于不支持的加密算法也提供了一种变通方法,使用者可根据不同网站使用的加密方法提取其加密的核心函数,并将核心函数稍作加工即可加入本插件中使用。
此处演示使用的是某网站使用的特殊版本的MD5算法。
![8afe1df2069572a5b0adff66f9f1e790.png](https://i-blog.csdnimg.cn/blog_migrate/944eaf5a5c3611a1b844c44768b37bb5.jpeg)
![81f1c0ab237aa9d6a9511fe910f61762.png](https://i-blog.csdnimg.cn/blog_migrate/44b7d23309ed68c15d516319dfbd4993.png)
然后像AES模块一样添加Processor即可,使用方式也类似与AES模块。
![a04a88cee44cd28b7c849cd6fcb1812c.png](https://i-blog.csdnimg.cn/blog_migrate/4f64084013086abde99d1e99fd63064f.png)
![5217733905d0809b2bab71546b0758bd.png](https://i-blog.csdnimg.cn/blog_migrate/acb5e10102e57774a185a462ea6d6a96.jpeg)
该插件的的官方Github为:https://github.com/whwlsfb/Bu...
牛不牛逼??还不给我点个在看与转发分享支持一下!!!
本文作者:whw1sfb 原文:__https://www.freebuf.com/secto... 免责声明:本文中提到工具与测试方法仅供研究学习使用,请遵守《网络安全法》等相关法律法规。
- 分享一份阿里云内部超全K8s实战手册,免费下载!
- 这里给大家再分享一些技术资料,建议收藏!
- 超全96页!《阿里云ECS运维:linux系统诊断》手册开放免费下载
- 升职加薪必备!运维工程师打怪升级进阶成神之路
- 我没有开挂的人生!自律和坚持,是我走IT之路的唯一捷径
- 全网最新、最全Linux面试题(2020版)!
- 史上最全、最新的Redis面试题(2020最新版)!
- 赞!7000 字学习笔记,MySQL 从入门到放弃
- 12800字!SQL 语法速成手册(干货满满,建议收藏!)
如有错误或其它问题,欢迎小伙伴留言评论、指正。如有帮助,欢迎点赞+转发分享。
更多相关开源技术文章,请持续关注民工哥知乎技术专栏。
我是民工哥,一个爱折腾的IT技术老司机,欢迎关注我,我们一起学习,共同成长!!