专业的社区

使用Burp代理匹配措施欺骗您的IP地址并替换

bepaly下载app 允许您配置匹配并替换规则当您使用BURP的浏览器探索目标应用程序时，可以自动修改您的请求和响应。例如，这使您可以在请求或响应中添加，删除或修改标头。

有很多用途，包括潜在地欺骗您的IP地址。在某些情况下，这可能使您能够欺骗服务器相信您属于其本地网络，这可以使您能够与原本无法访问的内部基础结构进行通信。

在本教程中，您将学习如何：

Burp的浏览器是代理HTTP流量的一种简单方法 - 即使是加密的HTTPS协议也是如此。无需设置 - 只需转到代理选项卡，单击打开浏览器，并确保拦截是关闭的。

步骤1：打开实验室

打开Burp的浏览器并访问以下实验室：

https://beplay官网可以赌portsbeplay体育能用吗wigger.net/web-security/information-discluse/exploiting/lab-infoleak-authentication-bypass

尝试访问管理面板/行政。

请注意，您可以阻止这样做，因为本地用户只能访问这一点。

为简单起见，让我们假设您随后确定了服务器正在使用自定义HTTP标头，X-Custom-IP授权，确定您的IP地址。

在野外，事实上的标准标头X福音通常用于此目的，但是您可能会遇到使用不同自定义标头的网站。beplay体育能用吗这些通常由中介服务器应用于您的请求，例如负载平衡器或属于CDN的其他反向代理。

在Burp Suite中，去代理>选项标签。

在下面匹配并替换，点击添加。

离开匹配字段为空。这样可以确保BURP将附加一个新的标题来要求，而不是替换现有的标题。

在里面代替字段，输入以下内容：

X-Custom-IP-authorization：127.0.0.1

点击好的。

Burp代理现在将将此标头添加到您在Burp的浏览器中提出的每个请求中。

在Burp的浏览器中，尝试浏览/行政再次。观察您现在可以访问管理页面并删除Carlos来解决实验室。

在Burp中，您可以通过检查标题已在您的请求中添加到您的请求中记录器标签：

或者，在代理> HTTP历史记录选项卡，您可以使用下拉菜单在浏览器发送的原始请求之间切换，而修改后的代理转发给服务器的修改后。

尽管在这种情况下，我们手动添加了自定义标头，但Burp Suite提供了许多内置匹配并替换规则以涵盖一些最常见的用例。您只需要在代理>选项>匹配并替换。

恭喜 - 现在您知道如何使用Burp Proxy的匹配项并替换规则，并使用它们来欺骗您的IP地址。

要了解如何发现我们用来解决实验室的自定义标头，请查看学习材料在网络安全学院beplay体育能用吗。

有关身份验证以及其他类型的攻击的更多信息，您可以使用Burp Suite进行，请参阅验证网络安全学院的主题。beplay体育能用吗