【Burp入门第十六篇】使用BurpSuite实现匹配替换+IP欺骗实战案例

已于 2024-05-24 14:42:33 修改
阅读量868 收藏
点赞数
分类专栏: BurpSuite入门教程 文章标签: BurpSuite 渗透工具
于 2024-04-06 16:41:16 首次发布
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/137431891
版权

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |CSDN秋说】

在这里插入图片描述

在Burp中可配置匹配和替换规则,当我们使用浏览器请求程序时,这些规则会自动修改我们的请求和响应。

在某些环境下,我们可以修改 IP 地址,让服务器相信我们属于其本地网络,从而实现与原本无法访问的内部基础设施进行通信。下面将以IP欺骗为例进行操作讲解。

如图,admin目录仅本地用户可访问:

在这里插入图片描述

这说明程序使用X-Custom-IP-Authorization来验证客户端IP地址,故构造请求包即可:

X-Custom-Ip-Authorization: 127.0.0.1

在这里插入图片描述
那么如何在请求过程实现请求包有关参数的自动替换呢&#x

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Burpsuite插件 -- 伪造IP
KHOST的博客
08-05 4242
今天给大家介绍一款Burpsuite插件burpFakeIP 一、下载地址 https://github.com/TheKingOfDuck/burpFakeIP 二、安装插件 1、解压到本地 2、打开burpsuite,选择Extender,Add 3、选择下载好python插件,选择下一步 4、安装成功 三、使用方法 1、伪造指定ip,右击抓到的数据包,选择fakeip,inputIP,输入想要用的ip地址,点击确定,自动添加 2、伪造本地...
Burpsuite插件之logger++使用方法1
08-03
**Burpsuite插件之logger++使用方法** Logger++是一款为Burpsuite设计的增强型日志记录插件,由裁决目录开发。它与Burpsuite内置的HTTP历史记录功能相似,但提供了更全面的记录和分析能力,增加了额外的字段以帮助...
【2024版】最新BurpSuit的使用教程(非常详细)零基础入门到精通,看一就够了(4)
最新发布
2401_84862107的博客
05-12 1070
(因为我们的token是从请求包里出来的,如果我们携带的token与此次的token不一样,就不会让你登录。------------------------------------默认的内置简单列表完-----------------------------------------------------------------------简单的来说,Intruder模块就是一个爆破模块,爆破模块在前期打点的时候十分重要,爆破账户分分钟,对,爆破模块玩的好,贼6,有验证码,也不要怕,爆破就完事了。
推荐一款神奇的前端工具:Webpack Theme Color Replacer
gitblog_00007的博客
04-27 277
推荐一款神奇的前端工具:Webpack Theme Color Replacer 项目地址:https://gitcode.com/hzsrc/webpack-theme-color-replacer 在现代前端开发,主题色替换一个常见的需求,尤其是在构建响应式和可定制化应用时。为了帮助开发者更方便地处理这个问题,Hzsrc 团队推出了一款名为 Webpack Theme Color Repl...
Burpsuit使用03:拦截请求并修改响应
汪敏的博客
06-16 6446
burpsuite渗透的必备工具使用它可以进行一些截包分析,修改包数据、暴力破解、扫描等功能,使用最多的场景应该是设置代理拦截数据包分析数据和爆破。
Burpsuite爆破之token值替换
weixin_45007073的博客
07-16 1657
burpsuite对token替换并进行暴力破解
编写burp插件实现数据包自定义修改
A345545108的博客
05-07 1156
首先笔者去翻了下Burpy的源码,是使用的pyrolite(这是一个用于java与python通信的库),因为是现成的方案,笔者就直接也用pyrolite了,属实白嫖,不过后来发现该机制其实不是那么好,或者说笔者实现的不是那么好,其一个问题是在扫描这种高并发数据包场景下很容易出现丢包情况,造成错误,这个问题放在下一步计划通过通信机制的重构来解决,但这不妨碍我们利用rpc来调用python代码的思路。实现的效果就是,我们鼠标选文本后,右键选择插件菜单的选项,然后文本就被替换成我们处理后的内容了。
burpsuit学习--修改来源地址
weixin_30236595的博客
10-08 901
安装Burpsuit: 安装JAVA 环境 JDK 命令: Java –jar burpsuite_v1.4.jar 创建批处理运行就行了 proxy -> options 设置代理 -------------- IE 上设置代理 -》连接-》局域网 这里就可以监视了 Proxy -> History -&gt...
操作介绍最详细的BurpSuite+实战指南
08-21
BurpSuite1.7版本,包括安装、各模块实战指南
Burp Suite 实战指南_高清电子书
04-18
Burp Suite 实战指南_最新版,适合新手进阶 高清可以复制文字。
IPRotate_Burp_Extension:Burp Suite扩展,它使用AWS API网关根据每个请求旋转您的IP
02-06
IPRotate_Burp_Extension Burp Suite的扩展程序,它使用AWS API Gateway在每个请求上更改您的IP。 更多信息:描述通过此扩展,您可以轻松跨多个区域启动API网关。 然后,针对目标主机的所有Burp Suite通信都会通过...
Admx_new靶机之BurpSuite内容替换、MSF漏洞利用、Wordpress后台漏洞利用、蚁剑上线、利用MySQL提权
qq_40898302的博客
05-12 536
1) Ctrl + Z 将shell放置后台 2) 输入 stty raw -echo 3) 输入 fg 将后台进程调用到前台 4) 关闭所有程序 5) 确定kali有bash ls /bin/bash 6) 将 zsh 改成 bsh sudo chsh -s /bin/bash 7) 重启 8) 输入 echo $SHELL 显示 /bin/bash 成功 9) 重新监听。有的系统漏洞只能触发一次,所以打点成功,基于这个shell获取更多的shell,利用多种方式,多种途径去获得更多的shell。
Burp Suite使用介绍
weixin_33769207的博客
05-10 2939
Burp Suite使用介绍(一)  22人收藏 收藏 2014/05/01 19:54 | 小乐天 | 工具收集 | 占个座先 Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强...
Burp Suite使用介绍(一)
muier的专栏
03-31 2661
Burp Suite使用介绍(一) Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。本文主要介绍它的以下特点: 1.Target(目标)——显示目标目录结构的
Burpsuit安装使用及自定义请求响应拦截规则
qq_41809490的博客
12-18 2771
第一步:确保 Proxy-Options-Proxy listeners(代理-选项-代理监听) 处于启用状态 第二步:火狐浏览器 选项-网络设置-手动代理配置 为上一步代理监听端口 第三步:确保 Proxy-Intercept-Intercept is on(代理-拦截-拦截请求) 处于启用状态 第四步:进入 Proxy-Options(代理-选项) 设置请求拦截和响应拦截 第...
Brup Suite修改request/response
haha的博客
07-05 1459
Brup Suite
最新版Burpsuite 工具,看完这就够了
VN520的博客
12-23 1953
最新版Burpsuite 工具
x-authorization
09-18
X-Authorization是HTTP请求头部的一种字段,用于传递用户身份验证凭证。它通常用于在API请求传递访问令牌或密钥。 X-Authorization的作用是确保请求的合法性和安全性。在发送HTTP请求时,服务器需要对请求的合法性进行验证,以确保只有授权的用户才能访问相关资源。因此,在请求头部添加X-Authorization字段是一种常见的验证机制。 在使用X-Authorization时,通常需要在请求头部添加一个键值对,其X-Authorization是键,而值则是用户的身份验证凭证,如令牌或密钥。服务器收到请求后,会通过验证该凭证,来判断请求是否合法。如果凭证验证通过,服务器将对请求进行处理,并返回相应的响应;如果凭证验证失败,则服务器将拒绝访问,并返回相应的错误信息。 X-Authorization的设计灵活性较高,可以根据具体的需求进行定制。例如,可以使用Bearer Token作为X-Authorization字段的值,以遵循OAuth 2.0协议的规范。此外,X-Authorization还可以用于不同类型的身份验证方式,如基本身份验证(Basic Authentication)或其他自定义的验证方式。 总的来说,X-Authorization是一种用于传递用户身份验证凭证的HTTP请求头部字段,它可以确保请求的合法性和安全性,为API请求提供身份验证机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值