以下文章来源 KSA库,作者大米
声明:请勿使用文章内的相关技术或者工具等从事非法测试,如因此产生的一切不良后果与文章作者和本公账号无关。
1、工具简介
该插件是burpsuite抓包隐藏本机ip的插件,它可以让使用者无需手动配置代理链,即可在抓包的过程中隐藏最近的ip。
https://github.com/RhinoSecurityLabs/IPRotate_Burp_Extension该插件需要使用python2,需要需要下载jpython2(https://www.jython.org/download).
2、工具使用
将jpython和/IPRotate_Burp_Extension导入Bp中。
发现缺少boto3模块。安装即可:python2 -m pip install boto3(安装模块最好提前配置好源)
也或者直接在BApp Store中安装也行。安装成功以后,输入以下的access-key和secret-key激活(在AWS上申请):
尝试启动该插件,发现无法使用,便去查看报错信息。
botocore.exceptions.ClientError: An error occurred (SubscriptionRequiredException) when calling the CreateRestApi operation: The AWS Access Key Id needs a subscription for the service应该是AWS没有设置visa信用卡的原因吧,当然其他的允许使用的卡也行吧。后来我在淘宝上买了VISA的卡重新去绑定。
在自己的服务器中启动简易Web服务器,php -S 0.0.0.0:80或者python3 -m http.server 80
使用该Bp去拦截放行数据包时发现如下的问题:
网上查的相关的资料说是需要创建实例并设置Network Load Balancer 和 Application Load Balancer两种负载均衡。于是启用两个实例并设置了这类负载均衡。(后来验证不需要配置实例和负载均衡)
另外在API Gateway中查看接口设置的情况,情况如下。
最后验证结果,这里直接走爆破流程。
查看结果:
Over!
原文始发于微信公众号(Xiaoyu安全服务):代理池插件IPRotate
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论