使用burpsuite伪造数据包数据

已于 2022-09-19 22:43:20 修改
阅读量2.5k 收藏 6
点赞数 1
分类专栏: CTF 文章标签: 安全 web安全 http
于 2022-09-19 22:39:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60121089/article/details/126942921
版权

1.来源页伪造

1.进入靶场

2.点击按钮

弹出消息框,提示当前页面只允许从google.com中访问。所以我们需要修改请求数据包中的referer的值。

3.使用bp抓包,更改referer的值,伪造web请求的来源,即从网址为http://google.com来的

 4.点击forward转发

 成功拿到key!

2.浏览器信息伪造

1.进入靶场,点击链接

 可以看到需要iPhone手机,2G网络才能登录微信查看。这里需要修改User-Agent(客户浏览器的名称)的内容 。

根据解题方向,我们可以搜索NetType,说不定可以找到符合题意的User-Agent。

2.通过搜索引擎查找符合题意的User-Agent

果然找到了!

3.使用bp抓包,并修改User-Agent的内容,伪造客户浏览器的名称

 4.点击forward转发

 成功拿到key!

3.HTTP动作练习

1.进入靶场

2.点击“静夜思”,抓取关键包

 我们发现数据包中content的内容很多,根据题目要求,更改请求方式为post。

3.在bp中右击,选择change request method

4.点击forward转发

成功拿到key!

4.总结

  • 代理设置:本地环回地址(如:127.0.0.1)和端口(8080),浏览器请求的数据包就会先发送到127.0.0.1:8080上,然后在转发给服务端。
  • 使用bp在127.0.0.1:8080上监听,开启拦截功能,就会抓到请求的数据包,点击forward才将数据包转发给服务端。
  • 根据题目要求,使用bp抓取关键数据包,更改数据包的数据,再转发出去,达到伪造的效果。
  • 搜索引擎可以辅助解题。
ahao~
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http协议之伪造ip的方法
qq_74240553的博客
02-18 736
常见的伪造ip方法
Burp Suite小白入门(代理)
heyingcheng的博客
10-29 7733
Burp Suite是一款集成化的渗透测试工具,包含许多功能,我们可以使用他高效地完成对Web应用程序的渗透测试和攻击。总结:bp就是一个抓包,改包工具。
探索Data Faker:伪造数据生成的得力助手
gitblog_00037的博客
05-16 317
探索Data Faker:伪造数据生成的得力助手 项目地址:https://gitcode.com/datafaker-net/datafaker 在软件开发过程中,我们经常需要填充示例数据来测试和展示功能。这就引出了一个强大的工具——Data Faker,一个基于Java的库,用于生成逼真的假数据,与Ruby、Perl、Python等语言中的类似工具并肩作战。 1、项目介绍 Data Faker...
墨者学院——IP地址伪造(第2题)
2303_76679642的博客
08-27 295
本题有两个解决方法步骤1:进入靶场后,首先看到的是登录界面,我们尝试使用弱密码(test)发现显示的是下图所示步骤2:根据提示,此时我们只需要将IP设置为台湾IP就行,所以本题我们将用到一个插件X-Forwarded-For Header (这个插件可以在火狐上进行下载)这里讲一下如何下载插件X-Forwarded-For Header:添加插件步骤1:添加插件步骤2: 添加插件步骤3: 添加插件步骤4:下载完成之后,会有一个对话框如下,点击添加即可这样就能在url地址框后面看到该插件,完成操作后,如果不
Burp Suite代理抓包和浏览器代理设置
rekure的博客
03-09 1664
BurpSuite代理抓包和浏览器代理设置
安全测试BurpSuite-抓包篡改数据
爱咋咋咋滴
09-13 1594
(3)双击下载的证书进行安装,根据向导,把证书放在“受信任的根证书颁发机构”,能够在证书管理中查看该证书,安装成功。(2) 打开浏览器,访问burp,会出现证书下载界面,点击下载CA Certificate即可。启动浏览器有两种,一种是bp自带chromeiu。点击"forward"将修改后的参数发送给浏览器。二、burp suite配置对应的代理。1、浏览器chrome/火狐安装插件。4、抓到数据后,可以修改输入参数。另一种使用配置好的浏览器。2、配置对应的代理情景。
bp工具的使用演示
Kongfu_Lee的博客
09-20 9132
bp工具Proxy、Intruder和Repeater模块的使用 bp工具介绍 Burp Suite(以下简称bp)是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用bp将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉bp使用,也使得渗透测试工作变得轻松和高效。 实验准备 1、安装Java环境。因为bp工具是基于Java环境编写的工具,要先检查当前主机是否安装Java环境,没有安装Jav
关于burpsuite修改http包的http实验
03-27
在这个实验中,我们将探讨如何使用BurpSuite修改HTTP包,从而实现对网站数据的篡改。 首先,让我们了解HTTP的基本原理。HTTP(超文本传输协议)是互联网上应用最为广泛的一种网络协议,用于从万维网服务器传输超...
抓包该报burpsuite
12-28
使用BurpSuite进行渗透测试时,一定要确保你的行为符合道德和法律规定,且已获得目标系统的授权。此外,持续关注官方更新,因为新版本往往包含了对最新安全威胁的应对措施和性能优化。 总的来说,Burpsuite_pro_v...
burpsuite工具
01-17
标题中的"burpsuite工具"指的是Burp Suite专业版,这是一款广泛使用的渗透测试工具,主要服务于那些需要确保其Web应用免受攻击的专业人士,如安全研究人员、开发人员和企业安全团队。 描述中提到"burpsuite最新版的...
burpsuite_pro_v1.4.07
06-15
标题"burpsuite_pro_v1.4.07"指的是该软件的专业版,版本号为1.4.07。在描述中同样提到了"burpsuite_pro_v1.4.07",这表明我们讨论的是一个关于Burp Suite Pro的特定版本。 Burp Suite由PortSwigger公司开发,它是...
渗透工具.Burpsuite使用[抓包改包丢包、重放爆破(多参数)]
02-23
渗透工具.Burpsuite使用[抓包改包丢包、重放爆破(多参数)]
Burpsuite+1.7.26+Unlimited抓包改包发包工具
07-16
如果运行不了,那么在命令行下允许 C:\Users\Administrator.USER-20180620GL> cd /D D:\soft\Burpsuite+1.7.26+Unlimited D:\soft\Burpsuite+1.7.26+Unlimited> java -jar BurpUnlimited.jar 一.设置代理:https://wenda.so.com/q/1370918176064761?src=140 首先在 IE选项--连接 页面中间选“从不进行拨号连接”,然后在 IE选项--连接--局域网设置里在“为LAN使用代理服务器”前的方框打勾,设置代理IP,端口 二.burp suite使用(一) --- 抓包,截包,改包 https://blog.csdn.net/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三.burp suite使用(二) --- 爆破 https://blog.csdn.net/jinzhichaoshuiping/article/details/47347243 send to intruder 点击positions,选择要爆破的密码所处位置,默认的选择是出现的所有数字,被用黄色标出。 点击右边的clear$,所有的标记 选择错误密码所在的位置,点击add$,于是密码所在的位置被标记。
burpsuite抓包改包,url爬取相关工具
01-23
burp suite抓包工具可通过代理抓取web网站或手机app数据数据请求,修改、调试相关请求数据
burpsuite_pro_v1.7.30
06-04
首先,Burp Suite Pro的主要功能在于网络数据包的捕获、分析与篡改。它能够帮助用户拦截HTTP/S流量,以便进行安全性评估、漏洞发现和攻击模拟。在v1.7.30版本中,开发者可能已经对软件的性能和稳定性进行了优化,以...
Burpsuite插件 -- 伪造IP
weixin_41489908的博客
08-04 5366
太阳不是突然落山的,我希望你们永远听不懂这句话。。。 ---- 网易云热评 今天给大家介绍一款Burpsuite插件,burpFakeIP 一、下载地址 https://github.com/TheKingOfDuck/burpFakeIP 二、安装插件 1、解压到本地 2、打开burpsuite,选择Extender,Add 3、选择下载好python插件,选择下一步 4、安装成功 三、使用方法 1、伪造指定ip,右击抓到的数据包,选择fakeip,i...
Web安全】利用burp抓包和CSRF伪造进入admin真实后台
李响
03-21 1631
文章目录1 CSRF2 HTTP头部之host和referer2.1 host2.2 referer3 开始抓包3.1 先一直测试到最后观察3.2 修改referer或host,开始渗透 1 CSRF CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不...
初级安全入门——篡改数据包
weixin_30627341的博客
03-25 916
工具简介 BurpSuite:是一个用于测试 Web 应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。 功能 模块 HTTP代理 它作为一个 Web 代理服务器运行,并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修改在两个方向上通过的原始流量 Scanner 一个 Web 应用程序安全扫描器,用于执行 Web ...
Bugku_web_从零开始(二)
weixin_43727482的博客
02-04 1649
018 速度要快 打开网页,查看源码 提示使用post方法传一个margin过去,但不知道应该传什么;使用burpsuite抓包看看,在repeater里看到了flag,是一个base64编码,解码后尝试提交,提示不正确,又重新抓了几次包,发现包头的flag是不断变化的,发觉flag可能是需要传入的margin的值,要快速传值,使用python脚本:` import requests impor...
bp怎么构造payload
最新发布
06-02
BP是指“断点”,在计算机领域,我们通常使用断点来调试程序,用于在程序执行过程中暂停程序并检查程序状态。构造BP的payload,一般是指通过某些手段向目标程序注入一些代码,从而实现在目标程序执行过程中暂停程序的目的。 构造BP的payload需要具备一定的编程知识和技能。一般来说,常用的注入方式有Hook、API Hook、代码注入等。其中Hook方式是最常见的一种注入方式,它可以通过覆盖目标程序中的指令或调用目标程序中的API来实现注入。 具体来说,构造BP的payload需要以下步骤: 1. 选取需要注入的函数或者指令,确定断点位置; 2. 编写代码,实现断点功能; 3. 将代码注入到目标程序中; 4. 运行目标程序,触发断点。 请注意,构造BP的payload需要谨慎操作,一旦操作不当可能会导致目标程序崩溃或者出现其他问题。因此,在进行此类操作时,请务必做好充分的备份和测试工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值