翻译自 PortSwigger Web Security Blog - Bypassing WAFs and cracking XOR with Hackvertor | Blog
原作者：Gareth Heyes \u2028\u2029 (@garethheyes) | Twitter

简介

BurpSuite插件Hackvertor是个基于标签的转换工具。

您可以通过Burp Extender工具中的BApp Store直接安装。

特点

• 支持各种转义和编码，包括：HTML5实体（HTML5 entities），十六进制，八进制，unicode，url编码等。
• 使用类似XML的标签来指定使用的编码/转换类型。
• 可以使用嵌套多个标签来进行编码转换。
• 标签也可以有参数，像函数一样运行。
• 它具有自动解码(auto decode)功能，可以猜测所需的转换类型并自动执行多次解码，返回最终结果。
• 可开启多个tab窗口(像repeater一样可开启多个tab)
• 字符集转换

基本功能 - 编码转换

我最近一直努力开发的Hackvertor，具有基于标签的转换功能，这样的设计比Burp的内置的Decoder功能强大得多。

因为基于标记的转换，可以实现多层转换：内部的标签先完成第一次转换，并将结果作为输入，交给外部标签做第二次转换，以此类推。

例1 进行base64编码：
<@base64_0>xz<@/base64_0>

例2 进行多级编码(multiple levels of encoding)：
<@base64_1><@hex_0(" ")>xz<@/hex_0><@/base64_1>

先使用hex标签将字符串转换为十六进制，然后使用base64标签对其进行base64编码。
注意hex标签有一个分隔符参数，此处使用空格分隔每个 十六进制字符串（hex string）。