一直以来,我都在思考渗透测试过程中加密、防重放、签名的最优解决方案,市面上也出现了很多成熟的方案及工具,但始终无法在用户代码水平和更灵活之间找到平衡。有一段时间,我甚至认为无解,但最终,我还是找到了解决方案——这也是我认为的最终解决方案。
工具的所有行为均由规则驱动,规则是绝对的,它几乎能做到任何事。
得益于先进的设计理念,该工具包含注释,配置文件,代码在内共不到3000行代码
👉 如果你觉得这个项目有用,上 github 顺手点个 Star 鼓励一下吧!
👉 Star 越多,更新越快~
使用须知:
- 只支持 OpenJDK 或 JRE 启动的 Burp
- 采用 Montoya API 开发,不支持老版本 Burp,只会不断适配优化 Burp 最新版本的使用体验
- 工具设计原则:所有进入 Burp 的数据包都是明文数据包,发出的数据包均为加密数据包(过程中用户无感知)
- 理论上来说,本工具没有加密解密破签的说法,所有的一切均由规则驱动,所以配置规则才是用户需要做的事情
- 请勿将明文数据包发往 CloudX,可能会导致某些功能异常
- 如果规则执行不符合预期,可以在 logger 选项卡查看真实发出去的数据包
使用技巧:
你可能会注意到一个现象 —— 返回包是明文,但请求包看起来仍是密文。
不用担心,其实规则已经生效了!这是因为 Burp 的 Proxy → HTTP history 默认展示的是“原始请求”,也就是未被工具解密前的数据视图。
解决方案:
未来方向:
完善未实现的功能(灰色按钮,例如自定义脚本配置,rpc,forWord等)
自动生成规则增强(时间戳规则、自动穷举生成破签规则 / 解密规则)
待定方向:
引入 AI(无法保证数据安全,大概率即使实现也默认关闭)
通过请求路径排除数据包(黑名单机制,不执行规则)
如何使用:
步骤1
步骤2
下载地址:
原文始发于微信公众号(挖个洞先):【转载】一个基于规则的加解密破签工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论