声明:学习素材来自b站up【泷羽Sec】,侵删,若阅读过程中有相关方面的不足,还请指正,本文只做相关技术分享,切莫从事违法等相关行为,本人与泷羽sec团队一律不承担一切后果
视频地址:泷羽---bp(8)
目录
[1. ip伪造与ip代理池的区别:](#1. ip伪造与ip代理池的区别:)
IP伪造
1. ip伪造与ip代理池的区别:
---IP伪造通过修改或者伪造请求包中的源IP,来欺骗浏览器和绕过一些基础的waf作用,也有一定的隐藏效果,但是在对方的日志信息中显示的还是真实IP。而IP代理池里的IP都是真实存在的,每一个请求都是正常的访问,代理池的隐蔽性更高,但是筛选优质代理难度大,伪造ip较为简单,两者有利有弊。。
2.下载Jpython,同ip代理池做法一样
https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/
或者https://www.jython.org/download
下载完之后导入到burpsuite的python环境中
3.下载fakeIP插件
下载地址:https://github.com/TheKingOfDuck/burpFakeIP
然后导入burpsuite中
看到输出成功即导入成功
4.ip伪造实操
以pikachu的暴力破解靶场为例
1.抓包
2.右键选择扩展选择fakeip
- customIP:生成指定IP
- 127.0.0.1:回环地址
- randomIP:生成随机IP
- AutoXFF:默认字段
我们选择randomIP,这些都是伪造的随机ip
发送到Intruder模块
选择pitchfork交叉模式,添加这两处位置
然后第一个payload设置成扩展的fakeip
payload2选择密码字典
开始攻击
好啦,本文的内容就介绍到这了,希望对你有所帮助。。