声明
你是否经常遇到前端JS加密,无从下手,亦或是要分析它的前端JS代码看账号密码的具体加密方式以及公钥key。有了这个工具你将如脱手一般无需分析过多,便可轻松爆破。
该工具主要是为了方便在面对web后台进行爆破测试的时候,用户名和密码是加密的情况下 如果单纯分析js来进行爆破测试时间成本会比较多所开发而成的。
使用说明
下载地址见文末
安装命令
python pip install -r .requirements.txt //安装依赖
python -m playwright install //安装浏览器
python .BLAST.py //启动工具
启动工具后界面为
有两种模式:
自动模式
手动模式(xpath匹配模式)
爆破手段有四种
sniper:狙击手
ram:攻城锤
fork:草叉模式
bomb:集束炸弹
下面我以DVWA靶场用作测试
自动模式
直接填上url地址即可,选择狙击手模式输入账号密码即可爆破
根据响应包长度大小来进行判断是否成功
注:如果爆破不了的话要打开浏览器开关
手动模式
要填写xpath就可以了
例如账户字段 直接选择--复制--Xpath
程序优点
优点1:针对网站后台用户名密码加密无需分析js即可爆破请求。
优点2:采用通用特征方式识别用户名和密码进行提交请求。
优点3:通过内置大佬ddddocr库可以进行存在验证码后台爆破。
优点4:通过监听请求数据可以做到验证码错误重试功能。
优点5:可以对大量不同登录系统进行批量爆破测试并截图。
演示视频播放见下方附件
本站资源部分来自网友投稿,如有侵犯你的权益请联系管理员或给邮箱发送邮件PubwinSoft@foxmail.com 我们会第一时间进行审核删除。
站内资源为网友个人学习或测试研究使用,未经原版权作者许可,禁止用于任何商业途径!请在下载24小时内删除!
如果遇到评论可下载的文章,评论后刷新页面点击“对应的蓝字按钮”即可跳转到下载页面!
本站资源少部分采用7z压缩,为防止有人压缩软件不支持7z格式,7z解压,建议下载7-zip,zip、rar解压,建议下载WinRAR。
温馨提示:本站部分付费下载资源收取的费用为资源收集整理费用,并非资源费用,不对下载的资源提供任何技术支持及售后服务。