渗透测试---burpsuite(8)IP伪造

声明:学习素材来自b站up【泷羽Sec】,侵删,若阅读过程中有相关方面的不足,还请指正,本文只做相关技术分享,切莫从事违法等相关行为,本人与泷羽sec团队一律不承担一切后果

视频地址:泷羽---bp(8)

目录

IP伪造

[1. ip伪造与ip代理池的区别:](#1. ip伪造与ip代理池的区别:)

2.下载Jpython,同ip代理池做法一样

3.下载fakeIP插件

4.ip伪造实操


IP伪造

1. ip伪造与ip代理池的区别:

---IP伪造通过修改或者伪造请求包中的源IP,来欺骗浏览器和绕过一些基础的waf作用,也有一定的隐藏效果,但是在对方的日志信息中显示的还是真实IP。而IP代理池里的IP都是真实存在的,每一个请求都是正常的访问,代理池的隐蔽性更高,但是筛选优质代理难度大,伪造ip较为简单,两者有利有弊。。

2.下载Jpython,同ip代理池做法一样

https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/

或者https://www.jython.org/download

下载完之后导入到burpsuite的python环境中

3.下载fakeIP插件

下载地址:https://github.com/TheKingOfDuck/burpFakeIP

然后导入burpsuite中

看到输出成功即导入成功

4.ip伪造实操

以pikachu的暴力破解靶场为例

1.抓包

2.右键选择扩展选择fakeip

  • customIP:生成指定IP
  • 127.0.0.1:回环地址
  • randomIP:生成随机IP
  • AutoXFF:默认字段

我们选择randomIP,这些都是伪造的随机ip

发送到Intruder模块

选择pitchfork交叉模式,添加这两处位置

然后第一个payload设置成扩展的fakeip

payload2选择密码字典

开始攻击


好啦,本文的内容就介绍到这了,希望对你有所帮助。。

相关推荐
AORO_BEIDOU1 小时前
卫星电话究竟是“锦上添花”?还是“刚需之选”?
科技·安全·智能手机·信息与通信
Doris Liu.7 小时前
如何检测代码注入(Part 2)
windows·python·安全·网络安全·网络攻击模型
iOS技术狂热者8 小时前
使用抓包大师(sniff master)进行手机端iOS抓包的配置步骤
websocket·网络协议·tcp/ip·http·网络安全·https·udp
秋说9 小时前
【区块链安全 | 第八篇】多签机制及恶意多签
安全·区块链
68岁扶墙肾透9 小时前
Java安全-FastJson反序列化分析
java·安全·web安全·网络安全·网络攻击模型·安全架构·fastjson
梧六柒10 小时前
1.1-站点差异\源码差异\数据存储差异\MVC模型
网络安全
nington0112 小时前
为Splunk登录开启OTP二次验证,增强访问安全
安全
WoTrusSSL12 小时前
SSL证书如何保障人脸识别系统安全?
网络协议·系统安全·ssl
智联视频超融合平台14 小时前
视频联网平台智慧运维系统:智能时代的城市视觉中枢
运维·网络协议·安全·音视频·智慧城市·视频编解码
cainiao08060515 小时前
脑机交互安全:如何防止恶意脑电波指令注入
安全