破解BurpSuite Pro 2022.9 (有变化)

admin 2022年9月14日16:19:48安全工具评论87 views1805字阅读6分1秒阅读模式
创建: 2022-09-13 13:21
http://scz.617.cn:8/misc/202209131321.txt

2022.9.7有人在知识星球上说旧版loader不能用于2022.9版,有人说是临时性BUG,有人说旧版仍能用,当时我没有实测验证这些说法。

https://wx.zsxq.com/dweb2/index/topic_detail/184445544554552

2022.9.13网友「江宁大胖子」(5714993616)说旧版loader确实不能用,TA找了个能用的,让我发给微博网友用

https://breached.to/Thread-BurpSuite-Professional-2022-9-Keygen
https://www.virustotal.com/gui/file/bb3de5bde7379b232ac9b032e427eb1916af29942d9bd72d93336f16d4b7c4aa

上述loader我未下载、未测试,不负责任转载周知。

由是,下载2022.9版Burp Pro实测,至少自己用的loader确实不再适用,这引起了我的好奇。简单排查发现,2022.9版注册机制并未发生变化,仅仅是相关代码具体实现做了微调,导致class的字节码发生变化,而旧版loader模式匹配时约束条件太强,兼容性不足。

外面公开的旧版loader在此,但因违反DMCA被下线了,不过到处有备份

https://github.com/x-Ai/BurpSuiteLoader

第一次认真看了看他这个实现,Patch方案是2019.9我首次给出的那种,但他用类似正则匹配的办法在字节码中寻找Patch点,从而通杀。我习惯二进制,自己写loader时并未用过他这种办法。

很长时间没有理会Burp破解,这次本不想理的,没啥挑战性。但我注意到,某些反革命装X犯又开始小众传播,不好好分享,至少目前我还能拆这些货的台,所以再做冯妇一次。最简办法,将旧版loader中Transformer.class中两个Pattern.compile的正则表达式放宽一些即可。我用JD-GUI反编译出Transformer.java,修改正则后编译并重新打包成burp-loader-x-Ai-new.jar,其余部分未做修改。

新版通杀型loader兼容2022.9及之前的版本,用法未变。有VT企业版帐号者可从VT下载,否则从MEGA下载

https://www.virustotal.com/gui/file/6d10ff21289d80a57d48f41c994380f6781ada266c3842f523bc4fa73d241f1e
https://mega.nz/file/VVB3zZZA#onBiUlM3A6uI6x6eljzRxgbWS4V_SGXzoi1EHeKebkA

新版通杀型loader的校验信息

burp-loader-x-Ai-new.jar
MD5     9ff5fd6cc972e2253b23b6ce80f1cfb5
SHA256  6d10ff21289d80a57d48f41c994380f6781ada266c3842f523bc4fa73d241f1e

我只用Java 11测试过,不确认其他版本是否可用。burpsuite_pro_v2022.9.jar已有553MB,这太夸张了。

java -noverify -javaagent:burp-loader-x-Ai-new.jar -jar burpsuite_pro_v2022.9.jar

官网公开提供源包下载

https://portswigger.net/burp/releases
https://portswigger.net/burp/releases/download?product=pro&version=2022.9&type=Jar

burpsuite_pro_v2022.9.jar
MD5     c3a4d5412d89afe4a3a5ed428098b113
SHA256  97d641723a5fc8eb0fa47f151343c91d139795c670a3df842b919d941c6357b3

原文始发于微信公众号(青衣十三楼飞花堂):破解BurpSuite Pro 2022.9 (有变化)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月14日16:19:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  破解BurpSuite Pro 2022.9 (有变化) http://cn-sec.com/archives/1294372.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: