泷羽Sec学习笔记-Bp中ip伪造、爬虫审计
ip伪造与爬虫审计
ip伪造
-
下载插件:
burpFakeIP
地址:GitHub - TheKingOfDuck/burpFakeIP: 服务端配置错误情况下用于伪造ip地址进行测试的Burp Suite插件
python版需要配置jython:下载地址:Maven Central: org.python:jython-standalone
-
抓一个登录页面的包
右键扩展有四个选项:
-
第一个是指定伪造ip
-
第二个是伪造本地ip
-
第三个是随机伪造ip
-
进行随机ip爆破
把登录页面的包发到Intruder,攻击类型为交叉攻击,把ip字段和密码字段添加为payload范围
第一个payload设置如下:
第二个payload添加字典即可:
-
开始攻击
这里每个爆破都生成了不同的ip
ip伪造和ip代理的区别
-
ip伪造是虚假的,凭空伪造的ip,只能绕过一些基础的防御。
-
ip代理是真实存在的,每一个请求都是正常的访问,所以有些东西用ip伪造是绕不过去的。
爬虫和审计
审计
-
在Bp主页仪表盘新建实时任务
-
任务类型选择实时审计
-
工具范围选择代理
-
转至扫描设定,直接新建保存(默认设置就挺好,无需更改)
爬虫
-
在Bp主页仪表盘新建实时任务
-
任务类型选择实时被动爬虫
-
工具范围选择代理
-
转至扫描设定,直接新建保存(勾选全部)
查看
-
我们在目标这里可以看到爬到的站点地图
实时审计和爬虫有利于我们在浏览网站的时候同时对该网站进行进行信息收集等。
视频学习:IP伪造和爬虫审计_哔哩哔哩_bilibili