大佬我喜欢你的头像!
翻译自 PortSwigger Web Security Blog - Bypassing WAFs and cracking XOR with Hackvertor | Blog
原作者:Gareth Heyes \u2028\u2029 (@garethheyes) | Twitter
简介
BurpSuite插件Hackvertor是个基于标签的转换工具。
您可以通过Burp Extender工具中的BApp Store直接安装。
特点
- 支持各种转义和编码,包括:HTML5实体(HTML5 entities),十六进制,八进制,unicode,url编码等。
- 使用类似XML的标签来指定使用的编码/转换类型。
- 可以使用嵌套多个标签来进行编码转换。
- 标签也可以有参数,像函数一样运行。
- 它具有自动解码(auto decode)功能,可以猜测所需的转换类型并自动执行多次解码,返回最终结果。
- 可开启多个tab窗口(像repeater一样可开启多个tab)
- 字符集转换
基本功能 - 编码转换
我最近一直努力开发的Hackvertor,具有基于标签的转换功能,这样的设计比Burp的内置的Decoder功能强大得多。
因为基于标记的转换,可以实现多层转换:内部的标签先完成第一次转换,并将结果作为输入,交给外部标签做第二次转换,以此类推。
例1 进行base64编码:
<@base64_0>xz<@/base64_0>
例2 进行多级编码(multiple levels of encoding):
<@base64_1><@hex_0(" ")>xz<@/hex_0><@/base64_1>
先使用hex
标签将字符串转换为十六进制,然后使用base64
标签对其进行base64编码。
注意hex
标签有一个分隔符参数,此处使用空格分隔每个 十六进制字符串(hex string)。
点击收藏 | 0
关注 | 1