BurpSuite基础教程第七发:decoder模块应用之编码—试验篇

2018年3月6日11:14:00
  • A+
所属分类:BurpSuite

burpsuite对数据的编解码


实验目的

  • 实现对数据的多次编码解码。

实验内容

BurpSuite Decoder模块应用,使用该模块对在安全测试中用到的编码进行处理。

实验环境

  • 操作机:操作系统:windows XP
    • 环境:Java
    • 实验工具:burpsuite_pro_v1.6.27.jar

多次编码

本次实验我们将对“burpsuite”字符串进行多次“base64”加密。

base64编码可用于在HTTP环境下传递较长的标识信息。例如,在Java Persistence系统Hibernate中,就采用了Base64来将一个较长的唯一标识符(一般为128-bit的UUID)编码为一个字符串,用作HTTP表单和HTTP GET URL中的参数。在其他应用程序中,也常常需要把二进制数据编码为适合放在URL(包括隐藏表单域)中的形式。此时,采用Base64编码不仅比较简短,同时也具有不可读性,即所编码的数据不会被人用肉眼所直接看到。

输入字符串,在Encode as...中选择base64,此时对字符串进行了一次加密。
BurpSuite基础教程第七发:decoder模块应用之编码—试验篇
在第二个文本框处,依次选择Encode as...->base64,对字符串进行第二次base64加密。
BurpSuite基础教程第七发:decoder模块应用之编码—试验篇
如果需要继续加密,在第三个文本框处依次选择Encode as...->base64,就会出现新的加密结果及操作面板。如图为经过9次base64加密后的字符串“burpsuite”。

BurpSuite基础教程第七发:decoder模块应用之编码—试验篇
多次解码

本次实验我们将对一下字符串进行多次“URL”解码。

%25%32%35%25%33%36%25%33%32%25%32%35%25%33%37%25%33%35%25%32%35%25%33%37%25%33%32%25%32%35%25%33%37%25%33%30%25%32%35%25%33%37%25%33%33%25%32%35%25%33%37%25%33%35%25%32%35%25%33%36%25%33%39%25%32%35%25%33%37%25%33%34%25%32%35%25%33%36%25%33%35%25%32%35%25%33%33%25%33%31%25%32%35%25%33%33%25%33%32%25%32%35%25%33%33%25%33%33

url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ,将它们以name/value参数编码(移去那些不能传送的字符,将数据排行等等)作为URL的一部分或者分离地发给服务器。

首先将字符串复制到文本框内,依次选择Decode as...->URL,进行第一次解码。
BurpSuite基础教程第七发:decoder模块应用之编码—试验篇
此时发现字符串还是进行URL编码后的,所以我们继续解码,在第二个文本框右边依次选择Decode as...->URL,进行第二次解码。
BurpSuite基础教程第七发:decoder模块应用之编码—试验篇
继续在第三个文本框右边依次选择Decode as...->URL,进行第三次解码。
BurpSuite基础教程第七发:decoder模块应用之编码—试验篇
这次得到结果“burpsuite123”。
如果不知道字符串进行了哪种加密,可以直接将字符串复制在文本框内点击Smart decode,burpsuite会智能识别编码方式并尝试解码。

实验结果分析与总结

在实际的安全测试过程中,会经常遇到对数据进行多次编码的情况,这就需要我们能快速识别编码方式,得到原始数据。

题目

对“1”进行两次“HTML”编码后的数据为()
答案:
`&#x31&#x3b;`
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: