一、伪造方法
使用 fakeIP.py 插件来伪造 IP。
fakeip.py 是一个用 python 写的用来伪造 IP 的插件。
安装过程如下
二、安装 jython-standalone-2.7.0
jython-standalone-2.7.0 是一个将 Python 代码转换成 Java 代码的编译器。
能够将自己用 Python 代码写的类库,用在 Java 程序里。
安装的网址:http://search.maven.org/remotecontent?filepath=org/python/jython-standalone/2.7.0/jython-standalone-2.7.0.jar
三、安装 fakeip.py
然后下载 fakeip.py 文件,网址:https://github.com/TheKingOfDuck/burpFakeIP
四、使用方法
1、伪造指定 IP(比如操作日志功能,可选择具有日志埋点的接口)
程序会自动添加所有可伪造的字段到请求头中(支持输入指定的 IP、伪造本地 IP、伪造随机 IP)
五、伪造随机 IP 进行爆破(这个功能是该插件的核心功能)
(1)伪造随机 IP
只保留 X-Forwarded-For 字段即可,XFF 字段是我们的真实 IP 字段
(2)发送到 intruder 模块,添加攻击载荷
(3)设置 payload
(4)使用 Grep-Match 帮助我们判断是否登录成功
(5)破解成功
以上内容纯属搬砖,自己试验过是可以的,文章来源:https://blog.csdn.net/qq_43168364/article/details/108604163