安全测试 如何用 burpsuite 伪造 IP 做渗透测试

周小丽 · 2024年03月28日 · 4406 次阅读

一、伪造方法

使用 fakeIP.py 插件来伪造 IP。
fakeip.py 是一个用 python 写的用来伪造 IP 的插件。
安装过程如下

二、安装 jython-standalone-2.7.0

jython-standalone-2.7.0 是一个将 Python 代码转换成 Java 代码的编译器。
能够将自己用 Python 代码写的类库,用在 Java 程序里。
安装的网址:http://search.maven.org/remotecontent?filepath=org/python/jython-standalone/2.7.0/jython-standalone-2.7.0.jar

三、安装 fakeip.py

然后下载 fakeip.py 文件,网址:https://github.com/TheKingOfDuck/burpFakeIP

四、使用方法

1、伪造指定 IP(比如操作日志功能,可选择具有日志埋点的接口)

程序会自动添加所有可伪造的字段到请求头中(支持输入指定的 IP、伪造本地 IP、伪造随机 IP)

五、伪造随机 IP 进行爆破(这个功能是该插件的核心功能)

(1)伪造随机 IP

只保留 X-Forwarded-For 字段即可,XFF 字段是我们的真实 IP 字段

(2)发送到 intruder 模块,添加攻击载荷

(3)设置 payload



(4)使用 Grep-Match 帮助我们判断是否登录成功

(5)破解成功

以上内容纯属搬砖,自己试验过是可以的,文章来源:https://blog.csdn.net/qq_43168364/article/details/108604163

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册