【Burp入门第十六篇】使用BurpSuite实现匹配替换+IP欺骗实战案例

已于 2024-05-24 14:42:33 修改
阅读量3.4k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: BurpSuite入门教程(附实战图文) 文章标签: BurpSuite 渗透工具
于 2024-04-06 16:41:16 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/137431891
本文介绍了Burp Suite作为渗透测试工具的使用,特别是如何配置匹配和替换规则,以及通过IP欺骗进行内部基础设施通信的案例。在Burp中,通过设置代理选项,可以实现在请求中自动添加特定标头,从而达到访问限制资源的目的。

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |优快云秋说】

在这里插入图片描述

在Burp中可配置匹配和替换规则,当我们使用浏览器请求程序时,这些规则会自动修改我们的请求和响应。

在某些环境下,我们可以修改 IP 地址,让服务器相信我们属于其本地网络,从而实现与原本无法访问的内部基础设施进行通信。下面将以IP欺骗为例进行操作讲解。

如图,admin目录仅本地用户可访问:

在这里插入图片描述

这说明程序使用X-Custom-IP-Authorization来验证客户端IP地址,故构造请求包即可:

X-Custom-Ip-Authorization: 127.0.0.1

了解本专栏 订阅专栏 解锁全文 超级会员免费看
burp改返回包(Burp Suite抓包使用步骤)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-20 1万+
burp改返回包方法:burp改返回包在抓到包之后, 然后设置Action:do intercept -> response to this request (burp改返回包),点击Forward即可。 下面介绍Burp Suite抓包使用步骤 1、打开Burp.调整Proxy-Intercept-Intercept is on为‘Intercept is off’(拦截器开关) ​2、在火狐中打开需要拦截的网页,(比如同charlse博客里面写到的上传1.txt文件),点击上传文件按钮
Burp入门第十三使用BurpSuite实现垂直越权+升级用户实战案例
等风来
04-06 3568
越权方法:使用低权限会话cookie替换高权限请求包中的cookie。案例场景:拥有高权限账户密码。将该请求包发送至重放器。
Burpsuit使用03:拦截请求并修改响应
汪敏的博客
06-16 9639
burpsuite是渗透的必备工具,使用它可以进行一些截包分析,修改包数据、暴力破解、扫描等功能,使用最多的场景应该是设置代理拦截数据包分析数据和爆破。
Burpsuite测试中的小技巧-1
Aevery的博客
05-21 5510
日常测试中我们经常使用burpsuite替换高低权限的Cookie值去测越权漏洞,手动替换Cookie在测试系统功能模块较多时比较繁琐和容易出错,可以使用burpsuite的intrude模块去实现自动替换我们鼠标所点击请求中的Cookie值,如果返回正常则存在越权(先获取低权限的Cookie值,我们鼠标去正常点击高权限账号所拥有的功能模块)。 ...
一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP
weixin_50464560的博客
09-19 1980
BurpFakeIP介绍 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景;昨天我们分享了《BurpSuite IP代理扩展,使用AWS API网关动态更改请求:IPRotate_Burp_Extension》有同学也发现和今天推荐这个有点类似,但却又截然不同。毕竟AWS在国内确实太小众了,今天推荐的BurpFakeIP 伪造IP ...
新版Burp Suit抓包拦截请求并修改响应
热门推荐
西凉的悲伤博客
05-27 3万+
1.安装Burp Suite 如果你没安装Burp Suite,可以参考 新版Burp Suite安装 进行安装 2.打开Burp Suit 点击next 点击Start Burp 3.点击Proxy (代理),选择 Intercept(拦截器) 2.1 点击Open Browser 会打开一个自带的浏览器,输入一个 url 网址回车。(我这里输入了 https://www.youkuaiyun.com/ 进行测试) 2.2 如果这个时候你想进行抓包可以点击 Intercept is off 开启开关进行抓包,然后
Burp入门第十五使用BurpSuite实现IDOR越权+访问APIKey实战案例
等风来
04-06 3067
如图,用户 ID 用于检索相关用户的数据,以呈现帐户页面。思路:进行爆破或修改请求后发包,查看是否存在IDOR越权。程序不存在严格的访问控制,从而实现未授权访问等。操作:遍历ID参数,查看回显。
Burp入门第十八使用BurpSuite实现命令注入+操作系统异步命令注入+实战案例
等风来
04-07 2513
证明方法:使用 Burp 监视 Collaborator 服务器以识别是否发生外带交互,从而确定命令是否被执行。异步命令注入漏洞的本质:利用异步执行环境下不等待命令完成的特性,来执行后续的命令。请求包变为下图,点击。
Burp入门第十九使用BurpSuite实现XXE+点击劫持+实战案例
等风来
04-07 2610
XXE漏洞的原理:攻击者通过注入特殊的XML实体来引用外部资源,比如本地文件系统中的文件。从而读取服务器上的敏感文件。如何发现点击劫持漏洞:Burp主动扫描(步骤与XXE操作相同,不再详述)下面展示如何实现点击劫持。【1】Burp主动扫描。
Burp Suite抓取修改响应包(跳过首次登录修改密码)
最新发布
你好
07-25 613
当进行测试网站的时候,蹦出来首次登录需要修改密码,但我们往往不想修改别人的密码,还一定要进入。首先打开bp-代理-拦截-打开内置浏览器-输入你要登陆的网址-打开拦截-登录。ok那现在我们了解到之后,只需要把这个参数从true改成false就可以了。点击之后,选择放行,可以看到响应包了。这几个步骤顺序不能反了,一定要先打开拦截之后在登录。之后你发现登录界面一直转,拦截这边也返回了请求包。首先要确保你拥有你想要登录平台等账号密码。那么观察这个响应包,寻找哪个字段是造成。最后关掉拦截,就可以直接进来了。
Burp Suite使用介绍
weixin_33769207的博客
05-10 3239
Burp Suite使用介绍(一)  22人收藏 收藏 2014/05/01 19:54 | 小乐天 | 工具收集 | 占个座先 Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强...
burpsuite 设置https_强化 web 攻击神器 Burp Suite (二) — 切换ip技能点
weixin_36362920的博客
01-02 732
1前言上文章(强化 web 攻击神器 Burp Suite (一) — 验证码识别技能点)给 Burp Suite 添加验证码识别技能点,对于现代化的渗透测试神器来说,自动化切换 ip 也是必备技能,本文通过动态设置 HTTP 代理来完善此功能。2快速开发2.1 原理分析对于 HTTP 代理,HTTP 客户端向代理发送请求报文,代理服务器需要正确地处理请求和连接...
Burpsuite爆破之token值替换
weixin_45007073的博客
07-16 2045
burpsuite对token替换并进行暴力破解
BurpSuite实战
韩束一叶子
05-18 1107
实验所属系列:web安全 实验对象:本科/专科信息安全专业 相关课程及专业:网络安全,计算机网络 实验类别:实践实验类。
关于burpsuite 自动更改上传文件内容的问题
AC1145的博客
06-07 878
在一次渗透测试中,发现目标存在文件上传漏洞,想上传一个图片马。发现用BurpSuite一直存在问题。查看自身上传文件,发现文件头确实被BurpSuite自动修改过了。猜测是BP自动对请求进行编码和解码,但不知道如何解决。希望各位师傅能多多讨论,帮助解决这一问题。
Burp入门第二十六Burpsuite实现请求方式修改+请求体文件选取
等风来
04-08 4105
有时我们想将请求包的请求方法或请求体进行修改,这些操作可以由burpsuite完成,以节省时间。如果我们想将其修改为POST且传递POST参数、上传文件,可以按以下步骤
Burpsuite插件 -- 伪造IP
KHOST的博客
08-05 4823
今天给大家介绍一款Burpsuite插件,burpFakeIP 一、下载地址 https://github.com/TheKingOfDuck/burpFakeIP 二、安装插件 1、解压到本地 2、打开burpsuite,选择Extender,Add 3、选择下载好python插件,选择下一步 4、安装成功 三、使用方法 1、伪造指定ip,右击抓到的数据包,选择fakeip,inputIP,输入想要用的ip地址,点击确定,自动添加 2、伪造本地...
如何利用Burp Suite的匹配替换规则进行IP地址欺骗,以绕过基于IP的身份验证?
10-31
该教程详细解释了如何利用Burp Suite进行IP欺骗,并且提供了深入的案例研究,帮助读者在授权的环境中有效地运用这一技术。 参考资源链接:[使用Burp Proxy欺骗IP地址进行身份验证绕过]...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值