在Web滲透測試中有一個關鍵的測試項：密碼爆破。

目前越來越多的網站系統在登錄接口中加入各式各樣的加密算法，依賴於BurpSuite中的那些編碼方式、Hash算法已經遠遠不夠，這裏給大家介紹一款支持AES/RSA/DES(即將支持)加密算法，甚至可以直接將加密算法的js運行與BurpSuite中的插件：BurpCrypto。

安裝

BurpCrypto可從其官方 Github 頁面進行下載已編譯好的版本，或下載源代碼本地編譯，然後在BurpSuite的擴展列表中添加插件即可。

使用方法

BurpCrypto安裝完成後會在BurpSuite中添加一個名爲BurpCrypto的選項卡，打開選項卡可進入不同加密方式的具體設置界面。

AES加密

常見的加密插件往往只提供一個Processor，此插件設計了多Processor功能，可以添加多個Processor，同時運行多個不同加密方式、不同密鑰的測試器。

在測試器中選擇剛剛創建的Processor

下面直接點擊Start Attack即可。

找的密文對應的明文

BurpSuite中有一個飽受詬病的問題，在測試器的測試結果中，無法顯示原始Payload，也就是字典內容。

該插件具有內置數據庫功能，只要是通過該插件生成的密文內容，都可以使用插件中提供的“Get PlainText”功能找回原始Payload。

ExecJs功能

該插件對於不支持的加密算法也提供了一種變通方法，使用者可根據不同網站使用的加密方法提取其加密的核心函數，並將核心函數稍作加工即可加入本插件中使用。

此處演示使用的是某網站使用的特殊版本的MD5算法。

然後像AES模塊一樣添加Processor即可，使用方式也類似與AES模塊。