0x01 简介 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景。 0x02 功能 伪造指定ip 伪造本地ip 伪造随机ip 随机ip爆破 0x03 安装与使用 安装 下载fakeIP.py:https://github.com ...
分类:
Web程序 时间:
2019-10-04 16:58:02
阅读次数:
1007
Hydra:九头蛇,开源的功能强大的爆破工具,支持的服务有很多,使用hydra爆破C/S架构的服务。 使用burpsuite爆破WEB登录窗口 DVWA:web应用程序漏洞演练平台,开源,集成的有常见的web漏洞,使用PHP+MYSQL的支持 爆破=爆破工具(BP/hydra)+字典(用户字典/密码 ...
分类:
其他好文 时间:
2019-09-25 12:21:06
阅读次数:
103
https://www.kancloud.cn/luponu/burp-suite-doc-zh/888887
https://yw9381.github.io/Burp_Suite_Doc_en_us/burp/documentation/desktop/tools/intruder/posit... ...
分类:
其他好文 时间:
2019-09-17 22:28:47
阅读次数:
149
上传绕过WAF的一些常用方法 0X01姿势总结 (1)fuzz文件名后缀方法用burpsuite进行模糊测试,寻找黑名单之外的文件(2)windows系统可以进行后缀修改如:webshell.php……………..(3)路径绕过:有些WAF只会监视某个目录是否被上传webshell(4)大小写组合如: ...
分类:
其他好文 时间:
2019-08-24 22:59:19
阅读次数:
223
思路:在找回密码处存在设计缺陷,一般短信验证码为四位,无尝试次数限制,可爆破。 利用burpsuite遍历0000~9999之间的验证码数字,查看返回包及字节长度,绕过短信验证。 以下为某云的漏洞利用列子 ...
分类:
移动开发 时间:
2019-08-15 12:44:32
阅读次数:
120
crawl爬行 audit审计 在burpsuite中,爬虫和审计分为主动被动式。 被动式 在Dashboard仪表盘模块下,有关于爬虫和审计两个功能的设置: Live passive crawl from Proxy实时被动爬虫 Live audit from Proxy实时审计 被动式是几乎不额 ...
分类:
其他好文 时间:
2019-08-09 01:36:17
阅读次数:
927
burpsuite2.0的安装和配置 burpsuite_pro_v2.0beta jdk1.8.0_201 windows10 具体安装过程百度 简介 burpsuite是基于Java的用于web安全的工具,能够进行爬虫、代理、编码、密码爆破等任务,并支持对XSS漏洞、文件包含等漏洞的主动扫描或被 ...
分类:
其他好文 时间:
2019-08-09 01:15:20
阅读次数:
269
关于速度要快这个题,我是拖了一周左右才解决,之前一直没弄懂,今天终于是正式解决了。之前也接触过这类题,知道要写脚本提交key,查看源码后就知道, 直接用burpsuite抓包, 然后发现这里出现了一个Cookie:PHPSESSION,(这就是个坑)我是一个脚本菜鸟,不知道这是个啥东西,然后当时就没 ...
分类:
其他好文 时间:
2019-07-31 18:42:29
阅读次数:
84
1. 学习Proxy首先看标红,intercept is on 为拦截状态 其对应的intercept is off 为非拦截状态,设置完代理后打开拦截状态 ,浏览器发起的请求会被burpsuite所拦截forward: 进行请求后被拦截,点击forward可以继续此次请求,如果你点击drop则丢弃 ...
分类:
其他好文 时间:
2019-07-29 09:22:25
阅读次数:
98
burpsuitejdk1.8环境变量BurpSuite是一款信息安全从业人员必备的集成型的***测试工具,它采用自动测试和半自动测试的方式,包含了:Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer通过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web
分类:
系统相关 时间:
2019-07-21 16:13:53
阅读次数:
141
