渗透测试---burpsuite(8)IP伪造

声明:学习素材来自b站up【泷羽Sec】,侵删,若阅读过程中有相关方面的不足,还请指正,本文只做相关技术分享,切莫从事违法等相关行为,本人与泷羽sec团队一律不承担一切后果

视频地址:泷羽---bp(8)

目录

IP伪造

[1. ip伪造与ip代理池的区别:](#1. ip伪造与ip代理池的区别:)

2.下载Jpython,同ip代理池做法一样

3.下载fakeIP插件

4.ip伪造实操


IP伪造

1. ip伪造与ip代理池的区别:

---IP伪造通过修改或者伪造请求包中的源IP,来欺骗浏览器和绕过一些基础的waf作用,也有一定的隐藏效果,但是在对方的日志信息中显示的还是真实IP。而IP代理池里的IP都是真实存在的,每一个请求都是正常的访问,代理池的隐蔽性更高,但是筛选优质代理难度大,伪造ip较为简单,两者有利有弊。。

2.下载Jpython,同ip代理池做法一样

https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/

或者https://www.jython.org/download

下载完之后导入到burpsuite的python环境中

3.下载fakeIP插件

下载地址:https://github.com/TheKingOfDuck/burpFakeIP

然后导入burpsuite中

看到输出成功即导入成功

4.ip伪造实操

以pikachu的暴力破解靶场为例

1.抓包

2.右键选择扩展选择fakeip

  • customIP:生成指定IP
  • 127.0.0.1:回环地址
  • randomIP:生成随机IP
  • AutoXFF:默认字段

我们选择randomIP,这些都是伪造的随机ip

发送到Intruder模块

选择pitchfork交叉模式,添加这两处位置

然后第一个payload设置成扩展的fakeip

payload2选择密码字典

开始攻击


好啦,本文的内容就介绍到这了,希望对你有所帮助。。

相关推荐
XINO1 小时前
防火墙双机热备实践
运维·安全
冷冷清清中的风风火火1 小时前
关于敏感文件或备份 安全配置错误 禁止通过 URL 访问 Vue 项目打包后的 .gz 压缩文件
前端·vue.js·安全
原创资讯1 小时前
安全挑战再升级,2025都有哪些备份与恢复挑战?
安全
go_to_hacker1 小时前
安恒Web安全面试题
网络安全
XINO1 小时前
企业常见安全事故排查思路
运维·安全
曼岛_1 小时前
[密码学基础]商用密码应用安全性评估(密评):网络安全新风口,高薪紧缺人才必备技能
网络·web安全·密码学·密拼工程师
我最厉害。,。2 小时前
XML&XXE 安全&无回显方案&OOB 盲注&DTD 外部实体&黑白盒挖掘
android·xml·安全
Connie14512 小时前
K8s使用LIRA插件更新安全组交互流程
安全·容器·kubernetes
XINVRY-FPGA3 小时前
XC7K410T‑2FFG900I 赛灵思XilinxFPGA Kintex‑7
嵌入式硬件·安全·阿里云·ai·fpga开发·云计算·fpga
CoderJia程序员甲4 小时前
系统分析师知识点:访问控制模型OBAC、RBAC、TBAC与ABAC的对比与应用
网络安全·访问控制·技术选型·系统分析师