查看原文
其他

又一神器!万能网站密码爆破工具

在Web渗透测试中有一个关键的测试项:密码爆破。

目前越来越多的网站系统在登录接口中加入各式各样的加密算法,依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够,这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法,甚至可以直接将加密算法的js运行与BurpSuite中的插件:BurpCrypto。

安装

BurpCrypto可从其官方Github页面进行下载已编译好的版本,或下载源代码本地编译,然后在BurpSuite的扩展列表中添加插件即可。

使用方法

BurpCrypto安装完成后会在BurpSuite中添加一个名为BurpCrypto的选项卡,打开选项卡可进入不同加密方式的具体设置界面。

AES加密

常见的加密插件往往只提供一个Processor,此插件设计了多Processor功能,可以添加多个Processor,同时运行多个不同加密方式、不同密钥的测试器。

在测试器中选择刚刚创建的Processor

下面直接点击Start Attack即可。

找的密文对应的明文

BurpSuite中有一个饱受诟病的问题,在测试器的测试结果中,无法显示原始Payload,也就是字典内容。

该插件具有内置数据库功能,只要是通过该插件生成的密文内容,都可以使用插件中提供的“Get PlainText”功能找回原始Payload。

ExecJs功能

该插件对于不支持的加密算法也提供了一种变通方法,使用者可根据不同网站使用的加密方法提取其加密的核心函数,并将核心函数稍作加工即可加入本插件中使用。

此处演示使用的是某网站使用的特殊版本的MD5算法。

然后像AES模块一样添加Processor即可,使用方式也类似与AES模块。

该插件的的官方Github为:https://github.com/whwlsfb/BurpCrypto

牛不牛逼??还不给我点个在看转发分享支持一下!!!

本文作者:whw1sfb

原文:https://www.freebuf.com/sectool/238272.html

免责声明:本文中提到工具与测试方法仅供研究学习使用,请遵守《网络安全法》等相关法律法规。

end



最新整理的 2TB 干货资源,包括但不限于:Linux运维架构师、大数据、Docker、数据库、redis、MongoDB、电子书、Java、机器学习、BAT面试精讲视频等。在公众号对话框回复「1024 」即可免费获取!!

推荐阅读 点击标题可跳转

Shell 脚本编程最佳实践

微信正式停用!终止对印度用户服务

2020年全球网速排名

在了解Cache缓存原理之前,你只是个普通的程序员

进程监控工具 Procmon有Linux版本了

《阿里巴巴 DevOps 实践手册》,免费下载

看完本文有收获,请分享给更多人

关注「民工哥技术之路」加星标,提升IT技能

: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存