渗透测试---burpsuite(8)IP伪造

声明:学习素材来自b站up【泷羽Sec】,侵删,若阅读过程中有相关方面的不足,还请指正,本文只做相关技术分享,切莫从事违法等相关行为,本人与泷羽sec团队一律不承担一切后果

视频地址:泷羽---bp(8)

目录

IP伪造

[1. ip伪造与ip代理池的区别:](#1. ip伪造与ip代理池的区别:)

2.下载Jpython,同ip代理池做法一样

3.下载fakeIP插件

4.ip伪造实操


IP伪造

1. ip伪造与ip代理池的区别:

---IP伪造通过修改或者伪造请求包中的源IP,来欺骗浏览器和绕过一些基础的waf作用,也有一定的隐藏效果,但是在对方的日志信息中显示的还是真实IP。而IP代理池里的IP都是真实存在的,每一个请求都是正常的访问,代理池的隐蔽性更高,但是筛选优质代理难度大,伪造ip较为简单,两者有利有弊。。

2.下载Jpython,同ip代理池做法一样

https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/

或者https://www.jython.org/download

下载完之后导入到burpsuite的python环境中

3.下载fakeIP插件

下载地址:https://github.com/TheKingOfDuck/burpFakeIP

然后导入burpsuite中

看到输出成功即导入成功

4.ip伪造实操

以pikachu的暴力破解靶场为例

1.抓包

2.右键选择扩展选择fakeip

  • customIP:生成指定IP
  • 127.0.0.1:回环地址
  • randomIP:生成随机IP
  • AutoXFF:默认字段

我们选择randomIP,这些都是伪造的随机ip

发送到Intruder模块

选择pitchfork交叉模式,添加这两处位置

然后第一个payload设置成扩展的fakeip

payload2选择密码字典

开始攻击


好啦,本文的内容就介绍到这了,希望对你有所帮助。。

相关推荐
码农12138号3 小时前
BUUCTF在线评测-练习场-WebCTF习题[GXYCTF2019]BabyUpload1-flag获取、解析
web安全·网络安全·文件上传漏洞·buuctf·解析漏洞
Johny_Zhao3 小时前
Docker + CentOS 部署 Zookeeper 集群 + Kubernetes Operator 自动化运维方案
linux·网络安全·docker·信息安全·zookeeper·kubernetes·云计算·系统运维
诗句藏于尽头4 小时前
完成ssl不安全警告
网络协议·安全·ssl
独行soc9 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Me4神秘10 小时前
Linux国产与国外进度对垒
linux·服务器·安全
老K(郭云开)11 小时前
谷歌浏览器安全输入控件-allWebSafeInput控件
安全
Whoisshutiao11 小时前
网安-XSS-pikachu
前端·安全·网络安全
还是奇怪12 小时前
Linux - 安全排查 2
linux·运维·安全
Clownseven18 小时前
云端备份与恢复策略:企业如何选择最安全的备份解决方案
安全
薄荷椰果抹茶20 小时前
【网络安全基础】第六章---Web安全需求
安全·web安全