一、前言
Burp Suite的FakeIP插件主要用于在安全测试中伪造IP地址,以绕过服务器的IP限制或WAF(Web应用防火墙)的封锁。
插件下载地址:
https://github.com/TheKingOfDuck/burpFakeIP
二、安装fakeIP插件
三、打开目标网站
1、开启代理浏览器抓包
四、fakeIP伪造IP的三种类型
1、伪造指定的IP地址
2、伪造回环IP地址
3、伪造随机IP地址
五、伪造IP进行暴力破解
1、将伪造的随机IP数据包发送给攻击模块
2、选择攻击类型添加payload
3、设置攻击载荷
由于payload是从上自下计算:所以 “X-Forwarded-For: §171.8.158.210§”伪造IP的payload是1
六、验证数据包请求IP
可以看到每个暴力破解的数据包请求IP都是我们提前预设好的IP地址
七、总结
IP伪造这么便捷为什么不适用IP伪装而去使用IP代理池呢
因为IP伪造的每个数据包只是为了骗过浏览器、waf的请求,但是网络建立的连接是实实在在的。
原文始发于微信公众号(泷羽SEC-ohh):BurpSuite IP伪造插件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论