又一神器！萬能網站密碼爆破工具

本文做者：whw1sfb
原文：__https://www.freebuf.com/secto...
免責聲明：本文中提到工具與測試方法僅供研究學習使用，請遵照《網絡安全法》等相關法律法規。

在Web滲透測試中有一個關鍵的測試項：密碼爆破。

目前愈來愈多的網站系統在登陸接口中加入各式各樣的加密算法，依賴於BurpSuite中的那些編碼方式、Hash算法已經遠遠不夠，這裏給你們介紹一款支持AES/RSA/DES(即將支持)加密算法，甚至能夠直接將加密算法的js運行與BurpSuite中的插件：BurpCrypto。

安裝

BurpCrypto可從其官方Github頁面進行下載已編譯好的版本，或下載源代碼本地編譯，而後在BurpSuite的擴展列表中添加插件便可。

使用方法

BurpCrypto安裝完成後會在BurpSuite中添加一個名爲BurpCrypto的選項卡，打開選項卡可進入不一樣加密方式的具體設置界面。

AES加密

常見的加密插件每每只提供一個Processor，此插件設計了多Processor功能，能夠添加多個Processor，同時運行多個不一樣加密方式、不一樣密鑰的測試器。

在測試器中選擇剛剛建立的Processor

下面直接點擊Start Attack便可。

找的密文對應的明文

BurpSuite中有一個飽受詬病的問題，在測試器的測試結果中，沒法顯示原始Payload，也就是字典內容。

該插件具備內置數據庫功能，只要是經過該插件生成的密文內容，均可以使用插件中提供的「Get PlainText」功能找回原始Payload。

ExecJs功能

該插件對於不支持的加密算法也提供了一種變通方法，使用者可根據不一樣網站使用的加密方法提取其加密的核心函數，並將核心函數稍做加工便可加入本插件中使用。

此處演示使用的是某網站使用的特殊版本的MD5算法。

而後像AES模塊同樣添加Processor便可，使用方式也相似與AES模塊。

該插件的的官方Github爲： https://github.com/whwlsfb/Bu...

牛不牛逼？？還不給我點個在看與轉發分享支持一下！！！