PadBuster 技术文档

1. 安装指南

环境要求

• Perl 5.x 或更高版本
• 确保系统已安装必要的 Perl 模块，如 LWP::UserAgent 和 Getopt::Long。

安装步骤

1. 下载 PadBuster 脚本：

   • 从 GitHub 项目页面下载 PadBuster.pl 脚本。
   • 或者使用 curl 命令直接下载：

     curl -O https://raw.githubusercontent.com/GDSSecurity/PadBuster/master/PadBuster.pl
     

2. 设置执行权限：

   • 确保脚本具有执行权限：

     chmod +x PadBuster.pl
     

3. 安装依赖模块：

   • 如果缺少必要的 Perl 模块，可以使用 cpan 或 cpanm 安装：

     cpan LWP::UserAgent
     cpan Getopt::Long
     

2. 项目的使用说明

基本用法

PadBuster 是一个自动化脚本，用于执行 Padding Oracle 攻击。它可以帮助用户解密任意密文、加密任意明文，并自动分析响应以确定请求是否易受 padding oracle 攻击。

命令格式

./PadBuster.pl <目标URL> <密文> [选项]

示例

• 解密密文：

  ./PadBuster.pl http://example.com/decrypt CipherText=ABCD1234... -encoding 0
  

• 加密明文：

  ./PadBuster.pl http://example.com/encrypt PlainText=HelloWorld -encoding 0
  

常用选项

• -encoding <数字>：指定编码类型（0 表示 Base64，1 表示十六进制）。
• -blockSize <数字>：指定块大小（通常为 8 或 16）。
• -threads <数字>：指定并发线程数。
• -verbose：启用详细输出。

3. 项目API使用文档

API 功能

PadBuster 提供了以下主要功能：

• 解密密文：通过 Padding Oracle 攻击解密给定的密文。
• 加密明文：使用 Padding Oracle 攻击加密给定的明文。
• 自动响应分析：分析目标 URL 的响应，判断是否易受 padding oracle 攻击。

API 调用示例

• 解密密文：

  ./PadBuster.pl http://example.com/decrypt CipherText=ABCD1234... -encoding 0
  

• 加密明文：

  ./PadBuster.pl http://example.com/encrypt PlainText=HelloWorld -encoding 0
  

参数说明

• 目标URL：目标网站的 URL。
• 密文：需要解密的密文。
• 明文：需要加密的明文。
• -encoding：指定编码类型（0 表示 Base64，1 表示十六进制）。

4. 项目安装方式

下载与安装

1. 从 GitHub 下载：

   • 访问 PadBuster 的 GitHub 项目页面，下载 PadBuster.pl 脚本。

2. 使用命令行下载：

   • 使用 curl 命令直接下载：

     curl -O https://raw.githubusercontent.com/GDSSecurity/PadBuster/master/PadBuster.pl
     

3. 设置执行权限：

   • 确保脚本具有执行权限：

     chmod +x PadBuster.pl
     

依赖安装

• 使用 cpan 或 cpanm 安装必要的 Perl 模块：

  cpan LWP::UserAgent
  cpan Getopt::Long
  

通过以上步骤，您可以成功安装并使用 PadBuster 进行 Padding Oracle 攻击的自动化操作。