创建: 2022-09-13 13:21
http://scz.617.cn:8/misc/202209131321.txt
2022.9.7有人在知识星球上说旧版loader不能用于2022.9版,有人说是临时性BUG,有人说旧版仍能用,当时我没有实测验证这些说法。
https://wx.zsxq.com/dweb2/index/topic_detail/184445544554552
2022.9.13网友「江宁大胖子」(5714993616)说旧版loader确实不能用,TA找了个能用的,让我发给微博网友用
https://breached.to/Thread-BurpSuite-Professional-2022-9-Keygen
https://www.virustotal.com/gui/file/bb3de5bde7379b232ac9b032e427eb1916af29942d9bd72d93336f16d4b7c4aa
上述loader我未下载、未测试,不负责任转载周知。
由是,下载2022.9版Burp Pro实测,至少自己用的loader确实不再适用,这引起了我的好奇。简单排查发现,2022.9版注册机制并未发生变化,仅仅是相关代码具体实现做了微调,导致class的字节码发生变化,而旧版loader模式匹配时约束条件太强,兼容性不足。
外面公开的旧版loader在此,但因违反DMCA被下线了,不过到处有备份
https://github.com/x-Ai/BurpSuiteLoader
第一次认真看了看他这个实现,Patch方案是2019.9我首次给出的那种,但他用类似正则匹配的办法在字节码中寻找Patch点,从而通杀。我习惯二进制,自己写loader时并未用过他这种办法。
很长时间没有理会Burp破解,这次本不想理的,没啥挑战性。但我注意到,某些反革命装X犯又开始小众传播,不好好分享,至少目前我还能拆这些货的台,所以再做冯妇一次。最简办法,将旧版loader中Transformer.class中两个Pattern.compile的正则表达式放宽一些即可。我用JD-GUI反编译出Transformer.java,修改正则后编译并重新打包成burp-loader-x-Ai-new.jar,其余部分未做修改。
新版通杀型loader兼容2022.9及之前的版本,用法未变。有VT企业版帐号者可从VT下载,否则从MEGA下载
https://www.virustotal.com/gui/file/6d10ff21289d80a57d48f41c994380f6781ada266c3842f523bc4fa73d241f1e
https://mega.nz/file/VVB3zZZA#onBiUlM3A6uI6x6eljzRxgbWS4V_SGXzoi1EHeKebkA
新版通杀型loader的校验信息
burp-loader-x-Ai-new.jar
MD5 9ff5fd6cc972e2253b23b6ce80f1cfb5
SHA256 6d10ff21289d80a57d48f41c994380f6781ada266c3842f523bc4fa73d241f1e
我只用Java 11测试过,不确认其他版本是否可用。burpsuite_pro_v2022.9.jar已有553MB,这太夸张了。
java -noverify -javaagent:burp-loader-x-Ai-new.jar -jar burpsuite_pro_v2022.9.jar
官网公开提供源包下载
https://portswigger.net/burp/releases
https://portswigger.net/burp/releases/download?product=pro&version=2022.9&type=Jarburpsuite_pro_v2022.9.jar
MD5 c3a4d5412d89afe4a3a5ed428098b113
SHA256 97d641723a5fc8eb0fa47f151343c91d139795c670a3df842b919d941c6357b3