https://github.com/outlaws-bai/Galaxy

一个想让你测试加密流量像测试明文一样简单高效的 Burp 插件。 A Burp plugin that makes testing encrypted traffic as simple and efficient as testing plaintext.
https://github.com/outlaws-bai/Galaxy

burp-plugin burpsuite burpsuite-extender encrypted-messages pentest

Last synced: 3 months ago
JSON representation

一个想让你测试加密流量像测试明文一样简单高效的 Burp 插件。 A Burp plugin that makes testing encrypted traffic as simple and efficient as testing plaintext.

• Host: GitHub
• URL: https://github.com/outlaws-bai/Galaxy
• Owner: outlaws-bai
• License: apache-2.0
• Created: 2024-02-28T09:35:43.000Z (about 1 year ago)
• Default Branch: main
• Last Pushed: 2025-02-12T02:19:59.000Z (3 months ago)
• Last Synced: 2025-02-12T03:26:43.352Z (3 months ago)
• Topics: burp-plugin, burpsuite, burpsuite-extender, encrypted-messages, pentest
• Language: Java
• Homepage:
• Size: 3.57 MB
• Stars: 828
• Watchers: 14
• Forks: 60
• Open Issues: 0
• Metadata Files:
  • Readme: README.md
  • Changelog: CHANGELOG.md
  • License: LICENSE

Awesome Lists containing this project

• awesome-hacking-lists - outlaws-bai/Galaxy - 一个想让你测试加密流量像测试明文一样简单高效的 Burp 插件。 A Burp plugin that makes testing encrypted traffic as simple and efficient as testing plaintext. (Java)

README

        
Galaxy



一个想让你测试加密流量像明文一样简单高效的 Burp 插件























English | 

Wiki | 

Download | 

FAQ | 

Issue



## 🔥 主要功能

- **自动化解密流量**：写好自定义 hook 后，插件会自动化解密后续代理的流量。

- **与安全工具联动**：支持与 sqlmap、xray 的联动，让你更高效地发现潜在的安全漏洞。

- **支持Burp多模块**：适用于 Burp 的多个模块，如 Intruder、Proxy、Repeater 和 Scanner。

- **其他小功能**：[Bypass Host Check](https://github.com/outlaws-bai/Galaxy/wiki/%E5%8A%9F%E8%83%BD%E8%AF%A6%E8%A7%A3#bypass-host-check)、[Bypass Auth Of Path](https://github.com/outlaws-bai/Galaxy/wiki/%E5%8A%9F%E8%83%BD%E8%AF%A6%E8%A7%A3#bypass-auth-of-path)、[Parse Swagger Api Doc](https://github.com/outlaws-bai/Galaxy/wiki/%E5%8A%9F%E8%83%BD%E8%AF%A6%E8%A7%A3#parse-swagger-api-doc)...

## 🔒 适用场景

- 渗透测试中发现网站的 HTTP 报文做了加密。

- 加密逻辑较为复杂，如加密算法组合、自定义算法和动态密钥等。

- 想要使用扫描器，支持其对明文请求扫描，扫描请求发出后获得明文响应。

- 你可以逆向出网站的加解密逻辑（包括通过 hook 方式调用客户端代码），并具备一定的代码能力。

- ...

## 🎥 效果演示

**自动解密**

> 启动后代理的请求/响应自动解密，并且将解密后的请求转发到 Repeater 后发送，得到的是明文响应。

![hook](https://raw.githubusercontent.com/outlaws-bai/picture/main/img/hook.gif)

**联动sqlmap**

> 右键将解密后的明文请求发送给 sqlmap，sqlmap就可以扫描明文请求，并得到解密后的响应。

![linkage-sqlmap](https://raw.githubusercontent.com/outlaws-bai/picture/main/img/linkage-sqlmap.gif)

**联动xray**

> 右键将解密后的明文请求发送给 xray，xray就可以扫描明文请求，并得到解密后的响应。

![linkage-xray](https://raw.githubusercontent.com/outlaws-bai/picture/main/img/linkage-xray.gif)

## 🚀 安装指引

> 如果该项目对你有帮助，请 star

插件下载：[Download](https://github.com/outlaws-bai/Galaxy/releases)

插件安装：`Extensions -> Add -> Select File -> Next`

自行构建： `build.gradle -> shadowJar`（gradlew shadowJar）

**注意事项**:

- [首次使用必读](https://github.com/outlaws-bai/Galaxy/wiki)

- [Release](https://github.com/outlaws-bai/Galaxy/releases) 中对应版本的注意事项

- Burp版本不低于 `v2023.10.3.7`

## 🐛 遇到问题

请先阅读 [FAQ](https://github.com/outlaws-bai/Galaxy/wiki/FAQ) 和 [历史Issue](https://github.com/outlaws-bai/Galaxy/issues?q=is%3Aissue)，无法解决可以提交 [Issue](https://github.com/outlaws-bai/Galaxy/issues)。

## 🔯 Stars

[![Stargazers over time](https://starchart.cc/outlaws-bai/Galaxy.svg?variant=adaptive)](https://starchart.cc/outlaws-bai/Galaxy)

## 🔗 常用地址

[项目对应靶场](https://github.com/outlaws-bai/GalaxyDemo)

[BurpDownload](https://portswigger.net/burp/releases#professional)

[JDK21Download](https://docs.aws.amazon.com/corretto/latest/corretto-21-ug/downloads-list.html)

## ☕ 参考项目

https://github.com/gh0stkey/HaE

https://github.com/c0ny1/sqlmap4burp-plus-plus