抓到的包全是密文?这个开源工具让逆向工程师集体"戒掉"熬夜

天若源码教程实战 2026-07-11 · 8 图
抓到的包全是密文?这个开源工具让逆向工程师集体"戒掉"熬夜
你肯定遇到过这个场景——
打开 Burp Suite,配置好代理,满怀期待地准备抓包。
然后你看到的是这个:

request_body"U2FsdGVkX1+8QmZ8...(乱码)"
sign"a3f2e1d4c9b8..."

全是密文。
你想改个参数重放?改不了。你想看看接口逻辑?看不了。
接下来就是漫长的逆向流程:打开浏览器开发者工具,在几百行的混淆JS里找加密函数,把加密逻辑抠出来,再用Python写一遍测试……
一套流程下来,一两个小时没了。
有没有更省力的办法?
今天在GitHub上看到一个项目,叫「密桥」——CipherBridge,定位就是解决这个问题的。

它能干什么
简单说:把你从「逆向JS找加密逻辑」的苦力活里解放出来。
Burp Suite抓到的密文,它帮你自动解密;你想重放请求,它帮你重新加密。
整个过程可视化操作,不用写代码。

核心功能逐个说
可视化配置加解密流程
不用看JS了。直接在图形界面里配置:
配置好之后,自动生成 mitmdump 插件代码,可以直接加载到 Burp Suite 里用。
AI 自动化分析 — 启动浏览器
AI 自动分析 JavaScript
这是最让我意外的功能。
它能打开浏览器,自动采集目标页面的 JS 和请求/响应数据,然后:
分析完成后,一键生成加解密插件代码
不用手动抠 JS 了。AI 帮你读代码、找逻辑、生成插件。
  1. 浏览器 Hook + 自动分析
    内置浏览器 Hook 脚本,采集数据更精准。采集到的数据会同步到「请求解析器」和「可视化构建器」,两边都能看到。
  2. 内置加解密测试工具
    写完加解密逻辑,直接在工具里测,不用另外找在线加密网站。自动识别数据编码类型:Base64 / Hex / JWT 等,直接显示明文。
  3. 插件编辑器
    有些接口的逻辑比较变态——字符串反转、前后缀拼接、每次请求还要去服务端拿签名……用「插件编辑器」写自定义 Python 函数,然后在配置里调用。
  4. 项目导入导出
长期跟踪同一个目标?导出成
.cbproj.zip
包,下次直接导入继续用。
或者团队里多人协作,一人配置好其他人直接用。

安装和使用

git clone https://github.com/CuriousLearnerDev/CipherBridge.git
cd CipherBridge
pip install -r requirements.txt
playwright install chromium  # AI分析功能需要(可选)
python gui.py

解密 HTTPS 流量需要信任 mitmproxy 根证书,工具里有引导操作。


工作原理
密桥实际上是一个双向代理桥:
如果只是单向调试,只启动解密端就够了。

适合谁用

最后
这个工具解决的不是什么「有没有」的问题,而是「效率」的问题。
逆向工程师的时间本来就贵,把时间花在分析业务逻辑上,比花在抠JS代码上有价值得多。
GitHub搜「CipherBridge」,项目是中文的,文档写得很清楚,有问题可以提Issue。

https://github.com/CuriousLearnerDev/CipherBridge

试试看,说不定今晚能早点下班。