文章总结: WebCryptoProxySkill是一款AI驱动的Web加密流量代理工具,专为渗透测试和安全研究设计。它能自动分析目标网站JS文件中的加密算法(如RSA、AES、国密算法等),提取密钥并生成mitmproxy脚本,实现BurpSuite与服务器间的双向透明加解密。工具支持登录爆破、SQL注入测试等场景,用户可在BurpSuite中使用明文字典或payload,由代理自动完成加解密过程。 综合评分: 85 文章分类: 渗透测试,安全工具,WEB安全,红队,内网渗透
Web Crypto Proxy Skill 全自动网站加密逻辑分析与双向透明加解密代理工具
Arg3Sea Arg3Sea
夜组安全
2026年4月24日 08:00 青海
在小说阅读器读本章
去阅读
免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:NightCTI
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
Web Crypto Proxy Skill全自动网站加密逻辑分析与双向透明加解密代理工具
一个专为渗透测试、安全研究员设计的 AI 驱动 的 Web 加密流量代理解决方案。输入一个目标 URL,即可自动完成从 JS 逆向分析到 mitmproxy 脚本生成的完整流程,实现 Burp Suite 与目标服务器之间的双向透明加解密。
🎯 核心功能
-
全自动加密逻辑分析:自动抓取网站 JS 文件,智能识别加密算法(RSA、AES、SM2/SM4、CryptoJS 等)
-
智能密钥提取:精准提取 RSA 公钥/私钥、AES Key/IV、国密密钥等
-
双向透明加解密:
-
请求方向:Burp Suite 明文 → mitmproxy 自动加密 → 服务器
-
响应方向:服务器密文 → mitmproxy 自动解密 → Burp Suite 显示明文
-
无缝集成 Burp Suite:支持 Intruder 爆破、SQL 注入、越权测试等场景
-
一键生成 mitmproxy 脚本:生成可直接运行的完整代理脚本
🚀 使用方法
skill: web-crypto-proxy https://target.com
输入目标网站 URL 后,AI 将自动执行以下流程:
- 获取网站 HTML 源码并解析域名
- 提取并下载所有 JavaScript 文件
- 深度分析加密算法与密钥(支持正则 + 语义识别)
- 生成完整的 Python 加解密函数
- 输出可直接使用的 mitmproxy 脚本
- 生成详细分析报告
🏗️ 核心架构
浏览器 → Burp Suite (:8080) → mitmproxy (:8083) → 目标服务器
↑ ↓
[明文操作] [自动加解密]
双向透明加解密机制:
- 请求加密:在 Burp Suite 中使用明文 payload,mitmproxy 自动识别并加密敏感字段后转发
- 响应解密:服务器返回的加密数据被 mitmproxy 自动解密,以明文形式展示在 Burp Suite 中
✨ 主要特性
支持的加密算法
- RSA(JSEncrypt、PKCS1_v1_5 等)
- AES(CryptoJS、CBC/ECB 模式、Pkcs7 填充)
- 国密算法(SM2、SM4)
- 其他常见前端加密库
智能字段处理
- 自动识别需要加密的字段(如
username、password、token等) - 支持 JSON 和 form 表单请求
- 递归处理嵌套 JSON 数据
- Base64 加密数据智能识别
使用场景
- 登录爆破:在 Intruder 中直接使用明文字典,自动加密发送
- SQL 注入测试:明文构造 payload,自动加密后测试
- 越权测试:修改明文用户 ID 等参数,自动加密发送
- 接口调试:以明文形式查看和修改所有请求/响应
🛠️ 启动与使用
# 安装依赖
pip install mitmproxy pycryptodome
pip install gmssl # 如需国密支持
# 启动 mitmproxy
mitmdump -s target_com_proxy.py -p 8083
# Burp Suite 配置
# Settings → Proxy → Upstream Proxy Servers
# 添加规则: *target.com* → 127.0.0.1:8083
浏览器代理设置为 Burp Suite(通常为 127.0.0.1:8080),即可开始明文操作。
📋 示例日志输出
[*] POST https://api.target.com/login
[加密] username: admin -> ZkeeMKHSfeofC+B83GEYMQsH...
[加密] password: 123456 -> eQa0WyHx5H1yO9jWqipCPtBY...
[+] 请求已加密
[*] GET https://api.target.com/user/info
[解密] data
[+] 响应已解密
工具获取
点击关注下方名片进入公众号
回复关键字【260424】获取下载链接
往期精彩
[默连,Webshell 管理工具 | 本地保存配置、连接目标,并在会话中提供文件、命令、数据库及 Godzilla 兼容插件等能力
2026-04-23
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496698&idx=1&sn=ea4942b4d311cb51be5a0c1ddad9538e&scene=21#wechatredirect)[Bu-SubdomainX – 高效的子域名枚举工具,支持多线程扫描、自定义字典和实时结果输出
2026-04-22
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496682&idx=1&sn=2762005da5f8b9cac41535b86326fafb&scene=21#wechatredirect)[Android 自动化渗透测试指令生成,可解析 AndroidManifest文件并生成 Drozer 测试指令
2026-04-20
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496672&idx=1&sn=30ba30bfc0f7cce31fb2eb476ecf5dc0&scene=21#wechatredirect)[潜影【TraceHarvest】:是一款面向网络安全攻防演练场景的自动化信息收集工具。
2026-04-17
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496667&idx=1&sn=6c8b87191260e90948b675e1a04f1801&scene=21#wechatredirect)[基于Java-Chain的插件 | TongWeb EJB 反序列化漏洞生成工具
2026-04-16
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496657&idx=1&sn=96585b1c2f5475aec22baef63d18274d&scene=21#wechatredirect)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:夜组安全 Arg3Sea Arg3Sea《Web Crypto Proxy Skill 全自动网站加密逻辑分析与双向透明加解密代理工具》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论