针对前端加密爆破的方法及实战案例

qishi   ·   发表于 2024-07-05 09:21:30   ·   技术文章

一 、概述

现在基本上大部分web应用系统都在后台登录界面对密码使用了js加密,有的是将用户名密码同时进行了加密,对于使用了加密的我们可以利用burp插件直接调用加密函数本地加密后再进行爆破,也可以使用一些工具直接模拟浏览器登录界面进行爆破。

二、工具介绍

1、blasting(图形化爆破工具)

优点:可自动化进行爆破和验证码识别,无视加密方法,调试难度较低

缺点:结果只有title和响应长度,爆破结果可能存在误报

下载方式:https://github.com/gubeihc/blasting

2、jsEncrypter | 前端加密Fuzz插件

优点:burp安装,速度快,准确率高,结果方便查看

缺点:需要下载加密js到本地,需要手动查找加密函数的调用方法

下载方式:https://github.com/c0ny1/jsEncrypter

3、BurpCrypto | burp插件

优点:无需下载js,在burp中可以进行加解密

缺点:需要手动查找加密参数,目前仅支持AES/DES加密、RSA公钥加密

下载方式:burp扩展商店搜索BurpCrypto安装

三、实战案例

1、通过BurpCrypto 进行爆破使用前缀+AES加密的参数

更多内容已被隐藏
Subject content you need to pay for watching (Click To Buy) Price:1 Gold
用户名金币积分时间理由
Track-魔方 100.00 0 2024-07-07 14:02:11 本月首次发表一篇有效文章奖励 100
Track-魔方 900.00 0 2024-07-07 14:02:03 深度 300 普适 400 可读 200

打赏我,让我更有动力~

13 Reply   |  Until 6天前 | 183 View

小瑟斯
发表于 16天前

666

评论列表

  • 加载数据中...

编写评论内容

wcy
发表于 15天前

1

评论列表

  • 加载数据中...

编写评论内容

Tobisec
发表于 15天前

1

评论列表

  • 加载数据中...

编写评论内容

学kali的小白
发表于 15天前

1

评论列表

  • 加载数据中...

编写评论内容

中华龙龙
发表于 15天前

1

评论列表

  • 加载数据中...

编写评论内容

小枭
发表于 15天前

1

评论列表

  • 加载数据中...

编写评论内容

嘉名
发表于 15天前

1

评论列表

  • 加载数据中...

编写评论内容

木马
发表于 15天前

1

评论列表

  • 加载数据中...

编写评论内容

杜星翰
发表于 14天前

123

评论列表

  • 加载数据中...

编写评论内容

章鱼海绵
发表于 14天前

1

评论列表

  • 加载数据中...

编写评论内容

wuwen
发表于 8天前

1

评论列表

  • 加载数据中...

编写评论内容

小菜猴子
发表于 7天前

1

评论列表

  • 加载数据中...

编写评论内容

liuxinyu
发表于 6天前

111

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.