靶场跑不了爆破临时解决办法(亲测有效)

363386243   ·   发表于 2022-03-27 11:22:29   ·   安全工具

最近很多15期的同学都在反馈,靶场跑不了爆破
本人也实测靶场的防护是短时间内ban掉访问频率过快的ip
同样在实战用也会遇到这样的问题,我们不能改变环境的情况下,我们就去适应环境

那么绕过防护的方法目前能实现的就只有两个
1、降低访问频率
2、每次访问使用不同的ip

这两种方法我都帮同学们去实践了,你们按照我测出来的方法直接用就好
第一种,降低访问频率,这种方法目前只在靶场有效,实战中需要根据目标站点的具体防护进行测试
在burp跑爆破的时候,我们需要设置线程数
靶场我在经历过无数次被ban以后,测试出来了一个目前能跑的最大线程数和访问间隔,效果如下:

昨天一万个密码都成功的跑完了,但是忘了保存截图,今天临时跑了以下截了个图
设置的方法如下:

线程数5,访问间隔200毫秒

这是我在虚拟机里面测试出来的最大值,应该就在临界值附近
线程数6,访问间隔200毫秒会被ban
线程数5,访问间隔150毫秒也会被ban
具体的临界值浮动也会和网络情况和电脑配置有点关系,如果大家用这个值被ban了
自行微调就好

第二种,每次访问使用不同的ip
前几天花了点时间,把师兄写在社区的代理池的帖子看完了,奈何自己看不懂python代码,只有找了位好兄弟帮忙把代理池搞定。
于是乎我突发奇想,代理池能用在sqlmap上,为什么不能用在burp和浏览器上
然后在百度上不断的找资料
找到了一个burp的插件:burpFaKeip
这个插件的功能非常的实用,他有四个功能
1、伪造指定ip
2、伪造本地ip
3、伪造随机ip
4、随机ip爆破
一会儿我把插件的所有使用教程链接放在文中最后,我先把我想要测试的内容给大家说明一下。我通过随机ip爆破的方法,测试了靶场的防护


虽然每次都是随机ip去访问的,但是依然会被ban掉
我个人猜测这些ip都是伪造的不是真实ip
所以可能还是得用代理池的方法去跑爆破才行,但是这个方法肯定可以破解掉部分网站的防护。后续我会继续去学习如何将代理池用在burp上,并且将测试结果和使用方法告诉大家

我会在文章最后把插件分享给大家,插件具体的安装方法如下:


这是插件的安装方法,然后随机ip爆破法使用方法如下
1、将数据包发送到Intruder模块,在Positions中切换Attack type为Pitchfork模式,选择好有效的伪造字段,以及需要爆破的字段:


注意这里要添加两个位置,ip和账号密码


然后就可以点击Start attack开始爆破.

这个插件还有更好用的功能就是可以伪造指定的ip
具体的用途我就不多说了,自行脑补

文章最后献上fakeip使用教程原文章地址:
https://blog.csdn.net/weixin_44203158/article/details/107234784

插件我放在附件里面了,有需要的小伙伴自行下载

我们做渗透测试的时候,在遇到困难就去思考怎么去解决他,而不是放弃或者是等待有一天能够解决。这样只会让我们让我们思维越来越闭塞。
如果我不去思考怎么解决靶场问题,我就短时间内找不到fakeip这么优秀的插件。
希望同学们在渗透的道路上能坚持走下去,我只是个刚入门的小白,一点点心得分享,感谢大家的阅读。

用户名金币积分时间理由
Friday 40.00 0 2022-04-07 11:11:00 一个受益终生的帖子~~
Track-劲夫 60.00 0 2022-03-27 14:02:33 一个受益终生的帖子~~

打赏我,让我更有动力~

41 条回复   |  直到 2022-8-20 | 4333 次浏览

Track-劲夫
发表于 2022-3-27

好样的

评论列表

  • 加载数据中...

编写评论内容

wang
发表于 2022-3-27

666

评论列表

  • 加载数据中...

编写评论内容

script
发表于 2022-3-27

666

评论列表

  • 加载数据中...

编写评论内容

Lvyqwe
发表于 2022-3-27

666666

评论列表

  • 加载数据中...

编写评论内容

fanfanoao
发表于 2022-3-28

66666

评论列表

  • 加载数据中...

编写评论内容

domren
发表于 2022-3-28

666

评论列表

  • 加载数据中...

编写评论内容

xiaozhu7719
发表于 2022-3-28

刑啊

评论列表

  • 加载数据中...

编写评论内容

测试工程师
发表于 2022-3-29

不错

评论列表

  • 加载数据中...

编写评论内容

test_707
发表于 2022-3-29

1

评论列表

  • 加载数据中...

编写评论内容

amwusrso
发表于 2022-3-29

1

评论列表

  • 加载数据中...

编写评论内容

869858718
发表于 2022-3-29

666

评论列表

  • 加载数据中...

编写评论内容

shijinshui
发表于 2022-3-29

厉害!666

评论列表

  • 加载数据中...

编写评论内容

决心猫
发表于 2022-3-30

大佬牛逼

评论列表

  • 加载数据中...

编写评论内容

longhack520
发表于 2022-3-30

思路挺好的

评论列表

  • 加载数据中...

编写评论内容

龙珠科技
发表于 2022-3-30

又学到了

评论列表

  • 加载数据中...

编写评论内容

hack_freshman
发表于 2022-3-30

感谢大佬

评论列表

  • 加载数据中...

编写评论内容

单薄
发表于 2022-3-31

666

评论列表

  • 加载数据中...

编写评论内容

海市蜃楼
发表于 2022-4-1

666666

评论列表

  • 加载数据中...

编写评论内容

unbias
发表于 2022-4-1

666

评论列表

  • 加载数据中...

编写评论内容

白契
发表于 2022-4-4

666

评论列表

  • 加载数据中...

编写评论内容
1 2 3 / 3 跳转 尾页
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.