burpsuite导入网站的客户端证书
2023-6-22 00:1:47 Author: LemonSec(查看原文) 阅读量:12 收藏

0x01 背景

个别网站需要导入客户端的XX.P12证书,如果没有导入直接访问网站,浏览器会提示:400 Bad Request , 出现:No required SSL certificate was sent等提示,如下图

此时需要在burpsuite中导入证书

0x02 网站客户端证书

如果是正常的业务测试,甲方会提供xx.P12的文件

在burp导入网站客户端xx.p12证书的会提示要求输入密码,如果我们知道密码当然就直接输入,

0x03 不知道网站客户端证书的密码时

网站客户端xx.p12证书的会提示要求输入密码,但是有时候生成XX.p12证书时候,网站根本没有设置密码或者用户不知道密码。

证书生成的代码:

openssl pkcs12 -export -clcerts -out %s -in %s -inkey %s -password pass:%s

openssl pkcs12 -export -in user.pem -caname user alias -nokeys -out user.p12 -passout pass:pkcs12 password因为burp导入网站用户证书p12是一定要密码的,所以先在firefox导入这网站的客户端证书,然后再备份出来,备份出来的时候,自己输入密码a

如果没有密码就为空。

备份

输入密码:a

把新备份证书导入burp 就可以了,这个时候输入密码a就可以成功导入客户端证书了

注意事项:如果在user options 配置了证书,记得不要勾选project options 的Client SSL Certificates 的override user options

此时就可以访问之前400的网页了,此时不再是400了。(图中为404是因为没有加路径)

参考链接

https://blog.csdn.net/qq_29277155/article/details/106024344

原文:https://www.freebuf.com/sectool/344142.html
侵权请私聊公众号删文

 热文推荐  

欢迎关注LemonSec
觉得不错点个“赞”、“在看“

文章来源: http://mp.weixin.qq.com/s?__biz=MzUyMTA0MjQ4NA==&mid=2247545978&idx=2&sn=b63cdc22f9d4803fa380cee89949c980&chksm=f9e35b21ce94d237115dfb7104083bfd74d7b149fbb768895f76e6556fcb2549700a740cb0e7#rd
如有侵权请联系:admin#unsafe.sh