burp实现rsa加密+图片验证码识别

这篇具有很好参考价值的文章主要介绍了burp实现rsa加密+图片验证码识别。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

 1.先查看登录界面,发现用户名和密码都进行了加密,所以如果接口传输时直接传输明文信息,可能会被服务端校验住,可以在抓包时,通过修改包来检测一下,如下图:

burp验证码识别插件,安全,web安全

burp验证码识别插件,安全,web安全 

burp验证码识别插件,安全,web安全 

可以看出,如果传输明文,会报系统异常,而不是账户名密码错误,所以在传输时必须进行账户及密码加密。

2.查看登录界面的sources源码,查找有无加密方法

   查找一番,发现一个公钥

burp验证码识别插件,安全,web安全

 发现该公钥是MIG开头的,这种开头的公钥一般都是RSA的x509编码,在源码中搜索一番,果然发现了RSA加密的马脚

burp验证码识别插件,安全,web安全

Ps:RSA加密,同一条信息,每次加密得到的密文都不一致,当时我找到这个秘钥后,发现加密后得到的密文跟抓包中的密文不一致,一度怀疑是不是加密方式没找对,后来经过几次尝试,发现同样的账户密码,每次抓包信息还真不一样。然后验证了一下,在抓包过程中,把包里的用户密码改为自己用秘钥加密的密文,发现能登录,所以确定了加密方式没错

3.在burp中,安装burpcrypto插件,自定义一个rsa算法,过程如下:

   在key栏中,输入第二步中找到的公钥,然后点击add process 给这个加密方式命名,方便后续引用。

burp验证码识别插件,安全,web安全

4.除了加密方式外,还有个验证码也需要进行识别,可以用Captcha-killer-modified插件

,该插件运行时需要安装如下python库

        pip install onnxruntime

pip install Pillow

pip install numpy

pip install opencv-python-headless

pip install ddddocr

pip install aiohttp

在captcha-killer-modified-main目录下,执行python codereg.py 开启验证码验证服务

burp验证码识别插件,安全,web安全

 文章来源地址https://www.toymoban.com/news/detail-783548.html

在登录界面,抓取验证码传输包,发送到这个包中

 burp验证码识别插件,安全,web安全

点击获取,可以看到验证码显示成功

burp验证码识别插件,安全,web安全 

接下来配置是被接口,对接上一步运行的python服务

添加内容:

POST /reg HTTP/1.1

Host: 127.0.0.1:8888

Authorization:Basic f0ngauth

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:97.0) Gecko/20100101 Firefox/97.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: keep-alive

Upgrade-Insecure-Requests: 1

Content-Type: application/x-www-form-urlencoded

Content-Length: 8332

<@BASE64><@IMG_RAW></@IMG_RAW></@BASE64>

设置接口url为http://127.0.0.1:8888

点击识别,验证码识别成功

burp验证码识别插件,安全,web安全

4.接下来burp抓取登录接口,发到intreder,其中,§符号里的参数就是可引用变量。

 burp验证码识别插件,安全,web安全

 

然后点击pyload,pyload下拉框有1,2两个,顺序代表第一个变量和第二个变量

先选择1,此时代表引用密码,在payload options选择load,导入密码字典,然后在payload processing中,add 添加已创建的加密方法,这样导入的密码在传输时,就会被这个加密算法进行加密后再传输了;

burp验证码识别插件,安全,web安全

Payload set选择2,引入识别后的验证码,如下图所示:

burp验证码识别插件,安全,web安全 

5.设置完成后,点击start attack开始爆破

burp验证码识别插件,安全,web安全 

这里发现payload1显示的是加密后的密码,不知道对应的明文,那么怎么查看呢? 可以点击一条,然后选中密码,右键get text即可查看明文

burp验证码识别插件,安全,web安全 

burp验证码识别插件,安全,web安全 

 

 

 

 

 

 

 

 

 

到了这里,关于burp实现rsa加密+图片验证码识别的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • RSA加密为什么能保证安全

    一、原则:公钥机密、私钥解密、私钥签名、公钥验签 公钥私钥都可以加密和解密数据,但是因为持有公钥和私钥的人不同,在具体的使用场景中,公私钥的使用方式,也是有明确规定的。 公钥加密/私钥解密: 因为公钥是暴露在外的,私钥确实某个人单独持有的,当使用私

    2024年02月16日
    浏览(40)
  • 安全开发--10--Python开发Burp插件流程

    本博客地址:https://security.blog.csdn.net/article/details/127351889 Burp支持Java、Python、Ruby编写插件,其中使用Python编写的话分很多种,常见的比如Jython、Cython等等。Jython为我们提供了Python的库,同时也提供了所有java的类。Cython则是提供了Python的库,也提供了C语言的一些特性。 其中

    2024年02月14日
    浏览(38)
  • 前后端通信安全RSA+AES混合加密

    前后端安全通信一直是头疼的问题,如何保证前后端安全通信? 读完这篇文章教你学会前后端安全通信。 客户端向服务端获取资源(如:html/css/js/jpg/json/api接口数据)的过程需要通信,常见的通信有TCP/UDP等。 通信安全是指用户在使用登录、注册、用户列表等功能时请求被拦

    2023年04月08日
    浏览(42)
  • 【java】opencv + Tesseract(tess4j) 实现图片处理验证码识别

    2022/12/27 有的小伙伴说maven导入不了依赖,加了一种方法,百分百解决。 2022/12/28 写了半天,想去论坛放松休息下,结果看到别人已经有成品了,难受啊马飞,晚点看情况要不要写个搭建使用方法(我猜没人看,估计也不用写了,就当自己做个记录) 2023/3/24 更新了一键部署验

    2024年02月08日
    浏览(66)
  • 自主系统的生物识别与身份验证:实现安全与私密性

    生物识别和身份验证技术在过去的几年里发生了巨大的变化。随着人工智能、大数据和云计算技术的发展,生物识别技术已经成为了一种可靠、高效的身份验证方法。这篇文章将涵盖生物识别技术的背景、核心概念、算法原理、实际应用以及未来发展趋势。 生物识别技术的发

    2024年02月22日
    浏览(42)
  • RSA加密算法Python实现

    1977年,三位数学家 Rivest、Shamir 和 Adleman 设计了一种算法,可以实现非对称加密。这种算法用他们三个人的名字命名,叫做RSA算法.RSA算法的特征如下: RSA算法是非对称加密算法,及算法的加密密钥与解密密钥不同 RAS是基于大数分解问题实现的算法, RSA算法的密钥长度一般为

    2024年01月18日
    浏览(43)
  • RSA+AES实现混合加密

    为什么使用RSA + AES混合加密 1.加密介绍 RSA加密: 属于非对称加密,公钥用于对数据进行加密,私钥对数据进行解密,两者不可逆。公钥和私钥是同时生成的,且一一对应。比如:客户端拥有公钥,服务端拥有公钥和私钥。客户端将数据通过公钥进行加密后,发送密文给服务端

    2024年02月05日
    浏览(49)
  • 使用Python实现RSA加密

           RSA加密是一种非常常用的加密算法,该算法基于以下原理:求解两个大素数的积非常容易,但是对两个大素数的积进行因式分解比较困难。以下程序有三个功能:生成RSA私钥和公钥;根据给出的文件路径和文件名加密数据;根据给出的文件路径和文件名进行解密。  

    2024年02月06日
    浏览(42)
  • java对接打码平台用selenium实现对图片验证码识别(对接文档看这一个就够了)

    在很多平台软件中,咱们登录之后都有一些验证,例如图片数字验证,还有现在流行的滑块验证码,点选验证码,这么复杂的事情,我们程序员当然要用程序的方式解决啦,所以也有一些平台提供了快捷验证的方式,在这里,博主就给大家分享一下,如何实现对图片数字的识

    2023年04月25日
    浏览(71)
  • app与后台的token、sessionId、RSA加密登录认证与安全解决方案

    1.1.2 登录状态token 再仔细核对上述登录流程, 我们发现服务器判断用户是否登录, 完全依赖于sessionId, 一旦其被截获, 黑客就能够模拟出用户的请求。于是我们需要引入token的概念: 用户登录成功后, 服务器不但为其分配了sessionId, 还分配了token, token是维持登录状态的关键

    2024年04月13日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包