参考原链接:https://blog.csdn.net/qq_43168364/article/details/108604163
一、伪造方法
- 使用
fakeIP.py插件来伪造IP。 fakeip.py是一个用python写的用来伪造IP的插件。- 安装过程如下
二、安装jython-standalone-2.7.0
jython-standalone-2.7.0是一个将Python代码转换成Java代码的编译器。- 能够将自己用Python代码写的类库,用在Java程序里。
- 安装的网址:
http://search.maven.org/remotecontent?filepath=org/python/jython-standalone/2.7.0/jython-standalone-2.7.0.jar
三、安装fakeip.py
然后下载fakeip.py文件,网址:https://github.com/TheKingOfDuck/burpFakeIP
点击next即可安装
四、使用方法
1、伪造指定IP
输入指定的IP
程序会自动添加所有可伪造的字段到请求头中。
2、伪造本地IP
3、伪造随机IP
4.伪造随机IP进行爆破(这个功能是该插件的核心功能)
这里我使用DVWA的暴力破解模块做演示,抓包添加随机IP
只保留X-Forwarded-For字段即可,XFF字段是我们的真实IP字段
发送到intruder模块,添加攻击载荷
设置payload
使用Grep-Match帮助我们判断是否登录成功
破解成功