你是否经常遇到前端JS加密,无从下手,亦或是要分析它的前端JS代码看账号密码的具体加密方式以及公钥key。有了这个工具你将如脱手一般无需分析过多,便可轻松爆破。
该工具主要是为了方便在面对web后台进行爆破测试的时候,用户名和密码是加密的情况下 如果单纯分析js来进行爆破测试时间成本会比较多所开发而成的。
使用说明
下载地址https://github.com/gubeihc/blasting
安装命令
python pip install -r .requirements.txt //安装依赖python -m playwright install //安装浏览器python .BLAST.py //启动工具
启动工具后界面为
有两种模式:
自动模式
手动模式(xpath匹配模式)
爆破手段有四种
sniper:狙击手ram:攻城锤fork:草叉模式bomb:集束炸弹
下面我以DVWA靶场用作测试
自动模式
直接填上url地址即可,选择狙击手模式输入账号密码即可爆破
根据响应包长度大小来进行判断是否成功
注:如果爆破不了的话要打开浏览器开关
手动模式
要填写xpath就可以了
例如账户字段 直接选择--复制--Xpath
程序优点
优点1:针对网站后台用户名密码加密无需分析js即可爆破请求。
优点2:采用通用特征方式识别用户名和密码进行提交请求。
优点3:通过内置大佬ddddocr库可以进行存在验证码后台爆破。
优点4:通过监听请求数据可以做到验证码错误重试功能。
优点5:可以对大量不同登录系统进行批量爆破测试并截图。
演示视频
链接: https://pan.baidu.com/s/1MVjXVZFB_mPND0SYZRCnIw 提取码: ch3n
原文始发于微信公众号(嗨嗨安全):前端JS加密爆破神器--blasting
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论