文章总结： 该文档介绍了一款名为CloudX的BurpSuite插件，旨在解决渗透测试中数据包加密、签名校验和防重放等难题。其核心是基于规则驱动的动态处理引擎，可自动对AES、SM4、DES等加密数据进行加解密，并在Burp的Repeater、Intruder等模块中实现明文与密文的透明转换，从而提升测试效率。文档提供了使用方法和注意事项，并附有项目地址与演示视频。 综合评分： 78 文章分类： 渗透测试,安全工具,WEB安全

渗透利器 | 一款New自动化加解密Tools（附下载）

点击关注👉 点击关注👉

马哥网络安全

2026年2月18日 17:00 河南

0x01简介

 推荐一个可以在渗透测试中加密、防重放与签名问题的BurpSuite插件CloudX，可自动化解密AES、SM4、DES等。

0x02 核心功能及亮点

基于规则的动态处理引擎：所有操作（如加解密、签名生成/校验、防重放、字段替换等）均由用户定义的规则驱动。规则即逻辑，理论上可适配任意结构的数据包转换需求，具备极强扩展性。
透明的请求/响应处理机制：所有进入 Burp 的数据包自动被解析为明文；所有从 Burp 发出的数据包自动还原为加密格式；整个过程对用户完全透明，无需手动干预。
无缝集成主流模块：支持在 Repeater、Intruder、Scanner、Proxy 等核心模块中直接使用明文进行测试；自动完成前后端加密转换，大幅提升测试效率。

0x03 食用方法

使用提示：

可能会发现这样一个现象：响应包已显示为明文，但请求包看起来仍是密文。这其实是 Burp 的默认行为所致 —— Proxy → HTTP History 中展示的请求，默认是“原始请求”内容，也就是尚未经过插件处理前的原始数据。实际上，规则已经生效，只是你当前查看的是未经处理的“原始视图”。

解决方案：

No.①手动切换为“已编辑请求视图” ，如下：

No.②(推荐)设置默认展示“已编辑请求视图”，如下：

0x04 项目地址&演示

https://www.bilibili.com/video/BV13EjGz2Ershttps://github.com/cloud-jie/CloudX

使用须知：

本工具基于Burp最新版本开发，采用Montoya API构建，不再兼容旧版Burp及Oracle JDK/JRE环境。其核心设计理念是：所有进入Burp的流量均为明文，向外发出的流量则自动加密处理，整个过程对用户透明。工具不依赖传统意义上的“加解密”或“破签”逻辑，而是通过规则驱动的方式处理流量。用户只需配置好规则，即可实现对接口加密流程的自动化适配。请注意，不要将明文数据包直接发送给CloudX处理模块，以免引发异常。如发现规则执行效果不符合预期，可通过Logger标签页查看实际发出的加密请求，辅助调试。

地址：https://github.com/cloud-jie/CloudX

内容转自渗透xiao白帽，侵删

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：马哥网络安全 点击关注👉 点击关注👉《渗透利器 | 一款New自动化加解密Tools（附下载）》