BurpCrypto: 万能网站密码爆破测试工具

栏目: IT技术 · 发布时间: 4年前

内容简介:目前越来越多的网站系统在登录接口中加入各式各样的加密算法,依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够,这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法,甚至可以直接将加密算法的js运行与BurpSuite中的插件:BurpCrypto。BurpCrypto可从其官方

在Web渗透测试中有一个关键的测试项:密码爆破。

目前越来越多的网站系统在登录接口中加入各式各样的加密算法,依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够,这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法,甚至可以直接将加密算法的js运行与BurpSuite中的插件:BurpCrypto。

安装

BurpCrypto可从其官方 Github 页面进行下载已编译好的版本,或下载源代码本地编译,然后在BurpSuite的扩展列表中添加插件即可。

使用方法

BurpCrypto安装完成后会在BurpSuite中添加一个名为BurpCrypto的选项卡,打开选项卡可进入不同加密方式的具体设置界面。

AES加密

BurpCrypto: 万能网站密码爆破测试工具

常见的加密插件往往只提供一个Processor,此插件设计了多Processor功能,可以添加多个Processor,同时运行多个不同加密方式、不同密钥的测试器。

BurpCrypto: 万能网站密码爆破测试工具

BurpCrypto: 万能网站密码爆破测试工具

在测试器中选择刚刚创建的Processor

BurpCrypto: 万能网站密码爆破测试工具

下面直接点击Start Attack即可。

找的密文对应的明文

BurpSuite中有一个饱受诟病的问题,在测试器的测试结果中,无法显示原始Payload,也就是字典内容。

该插件具有内置数据库功能,只要是通过该插件生成的密文内容,都可以使用插件中提供的“Get PlainText”功能找回原始Payload。

BurpCrypto: 万能网站密码爆破测试工具

BurpCrypto: 万能网站密码爆破测试工具

ExecJs功能

该插件对于不支持的加密算法也提供了一种变通方法,使用者可根据不同网站使用的加密方法提取其加密的核心函数,并将核心函数稍作加工即可加入本插件中使用。

此处演示使用的是某网站使用的特殊版本的MD5算法。

BurpCrypto: 万能网站密码爆破测试工具

BurpCrypto: 万能网站密码爆破测试工具

然后像AES模块一样添加Processor即可,使用方式也类似与AES模块。

BurpCrypto: 万能网站密码爆破测试工具

BurpCrypto: 万能网站密码爆破测试工具


以上所述就是小编给大家介绍的《BurpCrypto: 万能网站密码爆破测试工具》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

众媒时代

众媒时代

腾讯传媒研究 / 中信出版集团股份有限公司 / 2016-3-1 / CNY 52.00

众媒时代,就是一个大众参与的媒体时代。互联网将传统媒体垄断而单一的传播方式彻底颠覆。人人都可以通过互联网成为内容的制造者、传播者。每个人都是媒体,人是种子,媒体变成了土壤。 当我们的信息入口被朋友圈霸占,当我们的眼睛只看得到10W+,当我们不可抑制地沉浸在一次次的“技术狂欢”中,当人人都可以举起手机直播突发现场,当未来的头条由机器人说了算……内容正生生不息地以各种可能的形式出现,我们正彻头彻......一起来看看 《众媒时代》 这本书的介绍吧!

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具