国密测试工具 GMProxy

国密算法即国家密码局认定的国产密码算法(商用密码)。近年来，国家站在长远战略的高度大力推动国产密码算法在金融、电子政务等关键领域的应用，明确要求在金融银行、电子政务、教育、交通运输、民生保障等关键领域全面推进自主可控密码技术的应用。

目前越来越多的政府、企事业单位都已开始部署使用国密https(TLCP)。但目前主流的测试软件如Burp Suite、Jmeter 、Postman 等都不支持直接对国密https网站的安全检查。这无疑给一些国密https系统的测试、密评等带来诸多不便。

通过GMProxy实现了Burp Suite、Jmeter、Postman 等主流测试工具对国密https的支持。同时也实现了chrome 、egde等浏览器对国密https网站的访问。

软件下载

点击访问官网下载最新版的GMProxy.

GMProxy2.zip SHA1:044ca5ce0ed815d974956a011fa6aa3c62cac59a

安装CA证书

GMProxy 为绿色软件，下载后解压即可使用，非常方便。下载后需要安装CA证书gmproxy_cacert.crt 。

由于GMProxy需要将普通的https

的流量转发成国密版https(TLCP) ，如果不进行根证书的安装，浏览器等软件会出现证书错误。如果不安装CA证书只能使用http到国密https的转发。

CA证书安装步骤

打开gmproxy_cacert.crt,点击‘安装证书’，选择如下选项

将证书储存到"受信任的根证书颁发机构"

证书查看

证书安装成功后，运行certmgr.msc,点击‘安装证书’，在“受信任的根证书颁发机构”里，应该可以查看的到。

运行

gmproxy.exe

编辑网址列表

只有在国密网址列表中的URL 才会启动国密SSL 转换，无论访问HTTP 还是HTTPS ，GMProxy 都会转换成国密https进行访问。

可以方便的添加你需要的国密网址。

浏览器访问国密网站

设置浏览器HTTP代理为127.0.0.1:18080。在浏览器中可以直接访问国密网站,例如，中国银行国密专版网站https://ebssec.boc.cn，这时候我们访问 http 或 https ，GMProxy都会在本机完成国密https转发。

自建国密站https://192.168.1.16:1443测试

开启抓包功能后，在软件访问列表中可以看到TLCP协议的请求内容，包括IP 地址和 HTTP HEAD等

自定义域名

GMProxy 支持自定义域名，通过工具栏修改HOSTS文件实现，GMProxy 不使用系统的HOSTS文件，支持通配符和正则表达式。如

* 127.0.0.1 ad.* ads.*
* 127.0.0.1 /^ads?\..*$
* 127.0.0.1 example.com

DNS设置

GMProxy 不使用系统的DNS 设置，可单独设置DNS 服务器地址。

已测试浏览器

BurpSiute测试国密网站

通过给BurpSiute 设置HTTP代理，实现测试 Upstream 设置为 127.0.0.1:8443

Jmeter 国密网站压力测试

Jmeter 压力测试,建议使用压力测试专用端口127.0.0.1:19090 ，该端口不会进行HTTPS 解密操作，可提升测试效率。测试时，可测试网站http地址，GMProxy 后台会自动将HTTP 转发为国密HTTPS。

可通过jmeter -H 127.0.0.1 -P 19090命令开启 Jmeter 代理

也可以通过手工设置代理服务器

Sqlmap

sqlmap -u https://www.xxxx.com/Less-1/?id=1 --proxy http://127.0.0.1:18080