翻译自 PortSwigger Web Security Blog - Bypassing WAFs and cracking XOR with Hackvertor | Blog
原作者:Gareth Heyes \u2028\u2029 (@garethheyes) | Twitter

简介

BurpSuite插件Hackvertor是个基于标签的转换工具。

您可以通过Burp Extender工具中的BApp Store直接安装。

特点

  • 支持各种转义和编码,包括:HTML5实体(HTML5 entities),十六进制,八进制,unicode,url编码等。
  • 使用类似XML的标签来指定使用的编码/转换类型。
  • 可以使用嵌套多个标签来进行编码转换。
  • 标签也可以有参数,像函数一样运行。
  • 它具有自动解码(auto decode)功能,可以猜测所需的转换类型并自动执行多次解码,返回最终结果。
  • 可开启多个tab窗口(像repeater一样可开启多个tab)
  • 字符集转换

基本功能 - 编码转换

我最近一直努力开发的Hackvertor,具有基于标签的转换功能,这样的设计比Burp的内置的Decoder功能强大得多。

因为基于标记的转换,可以实现多层转换:内部的标签先完成第一次转换,并将结果作为输入,交给外部标签做第二次转换,以此类推。

例1 进行base64编码:
<@base64_0>xz<@/base64_0>

例2 进行多级编码(multiple levels of encoding):
<@base64_1><@hex_0(" ")>xz<@/hex_0><@/base64_1>

先使用hex标签将字符串转换为十六进制,然后使用base64标签对其进行base64编码。
注意hex标签有一个分隔符参数,此处使用空格分隔每个 十六进制字符串(hex string)。

点击收藏 | 0 关注 | 1
登录 后跟帖