burpsuite导入网站的客户端证书

admin 2022年9月19日09:30:23安全工具评论8 views918字阅读3分3秒阅读模式

0x01 背景

个别网站需要导入客户端的XX.P12证书,如果没有导入直接访问网站,浏览器会提示:400 Bad Request , 出现:No required SSL certificate was sent等提示,如下图

burpsuite导入网站的客户端证书

此时需要在burpsuite中导入证书

0x02 网站客户端证书

如果是正常的业务测试,甲方会提供xx.P12的文件

在burp导入网站客户端xx.p12证书的会提示要求输入密码,如果我们知道密码当然就直接输入,

burpsuite导入网站的客户端证书

burpsuite导入网站的客户端证书

0x03 不知道网站客户端证书的密码时

网站客户端xx.p12证书的会提示要求输入密码,但是有时候生成XX.p12证书时候,网站根本没有设置密码或者用户不知道密码。

证书生成的代码:

openssl pkcs12 -export -clcerts -out %s -in %s -inkey %s -password pass:%s

openssl pkcs12 -export -in user.pem -caname user alias -nokeys -out user.p12 -passout pass:pkcs12 password因为burp导入网站用户证书p12是一定要密码的,所以先在firefox导入这网站的客户端证书,然后再备份出来,备份出来的时候,自己输入密码a

burpsuite导入网站的客户端证书

burpsuite导入网站的客户端证书

burpsuite导入网站的客户端证书

如果没有密码就为空。

备份

burpsuite导入网站的客户端证书

输入密码:a

burpsuite导入网站的客户端证书

把新备份证书导入burp 就可以了,这个时候输入密码a就可以成功导入客户端证书了

burpsuite导入网站的客户端证书

注意事项:如果在user options 配置了证书,记得不要勾选project options 的Client SSL Certificates 的override user options

burpsuite导入网站的客户端证书

此时就可以访问之前400的网页了,此时不再是400了。(图中为404是因为没有加路径)

burpsuite导入网站的客户端证书

参考链接

https://blog.csdn.net/qq_29277155/article/details/106024344


该内容转载自网络,更多内容请点击“阅读原文”

· 推 荐 阅 读 ·

《代码大全2(纪念版)》

burpsuite导入网站的客户端证书

《软件开发》杂志Jolt大奖。大而全,洞悉软件构建精髓;优而先,兼顾行业实践研究;奠定硬核技术领导力的经典;庸常变身卓越的实用性指导。

原文始发于微信公众号(Web安全工具库):burpsuite导入网站的客户端证书

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月19日09:30:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  burpsuite导入网站的客户端证书 http://cn-sec.com/archives/1303431.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: