对需要国密浏览器才能访问的网站进行Proxy抓包&国密网站WEB安全测试

相遇已经是奢侈

GMProxy 国密SSL浏览助手

可让任意浏览器(如Chrome、IE、Edge、QQ浏览器、搜狗浏览器、猎豹、傲游等)访问国密HTTPS网站、支持http到国密HTTPS 代理转发，国密SSL VPN (中华人民共和国密码行业标准GB/T 38636-2020《信息安全技术传输层密码协议（TLCP）标准》)。

已测试浏览器

特性

• 支持Windows下HTTP到国密SSL 代理访问，任意浏览器、客户端访问国密网站

• 异步模型，采用IOCP, 轻松处理高并发连接

• 支持多线程，充分利用多处理器的优势

• 运行部署简单

编辑配置文件

*ebssec.boc.cn

编辑GMurls.txt 文件，该文件定义对哪些网址启用国密SSL代理。添加需要代理的国密网站，每行一个URL ，如ebssec.boc.cn。该文件支持通配符。

运行

gmproxy.exe

设置系统代理

在系统或浏览器中设置代理服务器脚本，“手动设置代理”地址 127.0.0.1 端口8843(或自定义端口)

访问国密网站

在浏览器中访问国密网站,注意要用 HTTP协议 如http://ebssec.boc.cn, 国密SSL浏览助手会在本机完成国密加密转发。

上图为在 Firefox浏览器 中访问中国银行国密版网站访问演示。

对需要国密浏览器才能访问的网站进行WEB安全测试

GMProxy可配合Sqlmap、BurpSuite等工具进行国密SSL网站WEB安全测试。

BurpSiute

Upstream 设置为 127.0.0.1:8443

Sqlmap

sqlmap -u http://www.xxxx.com/?id=1  --proxy http://127.0.0.1:8443

【往期推荐】

通过图片上线获取Shell-传说中的exe图片马（老技术玩玩还可以）

BurpSuite 验证码识别插件 xp_CAPTCHA V4.1(瞎跑-白嫖版)

利用 Nuclei 快速漏洞扫描器成为赏金猎人

frida&r0capture安卓应用层抓包通杀方式-保姆级过程

免杀ShellCode加载器 过360&火绒&Windows Defender

Linux 本地权限提升 pkexec  (CVE-2021-4034)

原文始发于微信公众号（渗透测试）：对需要国密浏览器才能访问的网站进行Proxy抓包&国密网站WEB安全测试