一直以来，我都在思考渗透测试过程中加密、防重放、签名的最优解决方案，市面上也出现了很多成熟的方案及工具，但始终无法在用户代码水平和更灵活之间找到平衡。有一段时间，我甚至认为无解，但最终，我还是找到了解决方案——这也是我认为的最终解决方案。

工具的所有行为均由规则驱动，规则是绝对的，它几乎能做到任何事。

得益于先进的设计理念，该工具包含注释，配置文件，代码在内共不到3000行代码

如果你觉得这个项目有用，上 github 顺手点个 Star 鼓励一下吧！Star 越多，更新越快~

下载地址：f5eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6U0L8r3!0#2k6q4)9J5k6r3A6A6k6g2)9J5c8V1y4D9L8%4g2V1h3l9`.`.

使用须知：

1. 只支持 OpenJDK 或 JRE 启动的 Burp
2. 采用 Montoya API 开发，不支持老版本 Burp，只会不断适配优化 Burp 最新版本的使用体验
3. 工具设计原则：所有进入 Burp 的数据包都是明文数据包，发出的数据包均为加密数据包（过程中用户无感知）
4. 理论上来说，本工具没有加密解密破签的说法，所有的一切均由规则驱动，所以配置规则才是用户需要做的事情
5. 请勿将明文数据包发往 CloudX，可能会导致某些功能异常
6. 如果规则执行不符合预期，可以在 logger 选项卡查看真实发出去的数据包

使用技巧：

你可能会注意到一个现象 —— 返回包是明文，但请求包看起来仍是密文。

不用担心，其实规则已经生效了！这是因为 Burp 的 Proxy → HTTP history 默认展示的是“原始请求”，也就是未被工具解密前的数据视图。

解决方案：

方案一：手动切换为“已编辑请求视图”

方案二：设置默认展示“已编辑请求视图” (推荐)

未来方向：

1. 完善未实现的功能（灰色按钮，例如自定义脚本配置，rpc，forWord等）
2. 自动生成规则增强（时间戳规则、自动穷举生成破签规则 / 解密规则）

待定方向：

1. 引入 AI（无法保证数据安全，大概率即使实现也默认关闭）
2. 通过请求路径排除数据包（黑名单机制，不执行规则）

如何使用：

步骤1

步骤2

不会？上手有难度？直接给到视频演示：

视频演示：19fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3b7W2j5I4x3@1g2B7c8%4Z5J5c8i4u0K6

看到这里，如果你觉得这个项目值得期待，不妨上github点个 Star！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课