针对前端加密爆破的方法及实战案例

qishi   ·   发表于 2024-07-05 09:21:30   ·   技术文章

一 、概述

现在基本上大部分web应用系统都在后台登录界面对密码使用了js加密,有的是将用户名密码同时进行了加密,对于使用了加密的我们可以利用burp插件直接调用加密函数本地加密后再进行爆破,也可以使用一些工具直接模拟浏览器登录界面进行爆破。

二、工具介绍

1、blasting(图形化爆破工具)

优点:可自动化进行爆破和验证码识别,无视加密方法,调试难度较低

缺点:结果只有title和响应长度,爆破结果可能存在误报

下载方式:https://github.com/gubeihc/blasting

2、jsEncrypter | 前端加密Fuzz插件

优点:burp安装,速度快,准确率高,结果方便查看

缺点:需要下载加密js到本地,需要手动查找加密函数的调用方法

下载方式:https://github.com/c0ny1/jsEncrypter

3、BurpCrypto | burp插件

优点:无需下载js,在burp中可以进行加解密

缺点:需要手动查找加密参数,目前仅支持AES/DES加密、RSA公钥加密

下载方式:burp扩展商店搜索BurpCrypto安装

三、实战案例

1、通过BurpCrypto 进行爆破使用前缀+AES加密的参数

更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:1 金币
用户名金币积分时间理由
Track-魔方 100.00 0 2024-07-07 14:02:11 本月首次发表一篇有效文章奖励 100
Track-魔方 900.00 0 2024-07-07 14:02:03 深度 300 普适 400 可读 200

打赏我,让我更有动力~

18 条回复   |  直到 1个月前 | 464 次浏览

小瑟斯
发表于 5个月前

666

评论列表

  • 加载数据中...

编写评论内容

wcy
发表于 5个月前

1

评论列表

  • 加载数据中...

编写评论内容

Tobisec
发表于 5个月前

1

评论列表

  • 加载数据中...

编写评论内容

学kali的小白
发表于 5个月前

1

评论列表

  • 加载数据中...

编写评论内容

中华龙龙
发表于 5个月前

1

评论列表

  • 加载数据中...

编写评论内容

小枭
发表于 5个月前

1

评论列表

  • 加载数据中...

编写评论内容

嘉名
发表于 5个月前

1

评论列表

  • 加载数据中...

编写评论内容

木马
发表于 5个月前

1

评论列表

  • 加载数据中...

编写评论内容

杜星翰
发表于 5个月前

123

评论列表

  • 加载数据中...

编写评论内容

章鱼海绵
发表于 5个月前

1

评论列表

  • 加载数据中...

编写评论内容

wuwen
发表于 5个月前

1

评论列表

  • 加载数据中...

编写评论内容

小菜猴子
发表于 5个月前

1

评论列表

  • 加载数据中...

编写评论内容

liuxinyu
发表于 5个月前

111

评论列表

  • 加载数据中...

编写评论内容

machccl
发表于 4个月前

1

评论列表

  • 加载数据中...

编写评论内容

极限
发表于 3个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

羽义
发表于 2个月前

6

评论列表

  • 加载数据中...

编写评论内容

羽义
发表于 2个月前

图片挂了能补一下嘛

评论列表

  • 加载数据中...

编写评论内容

skyblue
发表于 1个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.