文章总结： 本文介绍了在渗透测试中利用Yakit工具对双重加密接口进行高效爆破的方法。针对目标采用外层SM4CBC和内层AESCBC加密的登录请求，作者提出通过Yakit的Codec功能复现加密逻辑，避免编写复杂的Python脚本。文章详细演示了配置SM4_base64和AES_base64编码流的过程，并利用WebFuzzer模块结合codecflow热加载标签构造加密Payload，实现了对密文字段的直接字典爆破，有效提升了加密参数fuzzing的效率。 综合评分： 80 文章分类： 渗透测试,安全工具,WEB安全

Fuzz

解决好上面两个加密后，就可以在webfuzzer模块进行枚举。

原始明文数据包

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：进击的HACK 进击的hack《无需写脚本，加密参数爆破也能轻松秒杀》