实现在HTTP报文二次加密场景下自动解密的功能
English |
Download |
FAQ |
Issue
启用成功后有如下效果:
- 后续代理的所有请求和响应自动解密。
- 已解密请求转到Repeater后Send,得到的响应也会被解密。
- Intruder、Scanner等模块同样支持。
已包含多种加解密场景示例,对于常规算法及逻辑可以做到开箱即用。
进一步了解:Http Hook
- Parse Swagger Api Doc: 解析swagger文档,生成所有URL的请求,并带入参数、路径、描述。
- Bypass Host Check: 绕过服务端在csrf/ssrf的测试点对host做了验证。
- Bypass Auth Of Path: 通过修改Path的方式绕过某些认证/鉴权/拦截。
- ...
插件下载:Download
插件安装:Extender -> Extensions -> Add -> Select File -> Next
自行构建:build.gradle -> shadowJar
注意事项:
- 项目采用Burp
Montoya API开发,Burp版本不低于v2023.10.3.7。 Update - 项目使用JDK 17进行开发及编译,请确保启动Burp的JDK不低于17。 Update
- 项目使用了动态编译,请确保启动Burp的是JDK,而不是JRE。Modify
- 简单高效:不需要启动多余的本地服务。
- 上手容易:通用算法及常见加密逻辑已内置,基本能做到开箱即用。
- 支持面广:如加密算法组合、自定义算法、动态密钥等均可以支持。
- 强灵活性:可以使用python、js、Java、grpc多种方式实现加解密以满足需求。
现阶段项目开发仅完成一半左右,一定star码住,避免迷路 ~
- 支持配合桌面扫描器一起使用,使得扫描器可以扫描明文请求并得到明文响应。
- 提出在涉及非对称加密(不已知私钥)下的使用方法。
如果你发现BUG或有好的建议,欢迎在GitHub上提Issue或扫描群二维码进群交流。
群二维码失效扫描添加微信并备注 Galaxy 。
