转发一篇工具介绍。在已安装BP证书的情况下仍有一些网站访问显示证书不匹配,这可能就是因为目标网站使用了国密证书。
. . . * . * ☄️. * . * . 🔆 .* . * . 🧶 * . * . . .
本文转发自公众号:渗透测试
GMProxy 国密SSL浏览助手
可让任意浏览器(如Chrome、IE、Edge、QQ浏览器、搜狗浏览器、猎豹、傲游等)访问国密HTTPS网站、支持http到国密HTTPS 代理转发,国密SSL VPN (中华人民共和国密码行业标准GB/T 38636-2020《信息安全技术传输层密码协议(TLCP)标准》)。
已测试浏览器
特性
-
支持Windows下HTTP到国密SSL 代理访问,任意浏览器、客户端访问国密网站
-
异步模型,采用IOCP, 轻松处理高并发连接
-
支持多线程,充分利用多处理器的优势
-
运行部署简单
编辑配置文件
*ebssec.boc.cn编辑GMurls.txt 文件,该文件定义对哪些网址启用国密SSL代理。添加需要代理的国密网站,每行一个URL ,如ebssec.boc.cn。该文件支持通配符。
运行
gmproxy.exe
设置系统代理
在系统或浏览器中设置代理服务器脚本,“手动设置代理”地址 127.0.0.1 端口8843(或自定义端口)
访问国密网站
在浏览器中访问国密网站,注意要用 HTTP协议 如http://ebssec.boc.cn, 国密SSL浏览助手会在本机完成国密加密转发。
上图为在 Firefox浏览器 中访问中国银行国密版网站访问演示。
对需要国密浏览器才能访问的网站进行WEB安全测试
GMProxy可配合Sqlmap、BurpSuite等工具进行国密SSL网站WEB安全测试。
BurpSiute
Upstream 设置为 127.0.0.1:8443
Sqlmap
sqlmap -u http://www.xxxx.com/?id=1 --proxy http://127.0.0.1:8443
原文始发于微信公众号(重生之成为赛博女保安):对需要国密浏览器才能访问的网站进行Proxy抓包
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论