最近看到某个安全群里有大佬分享了一款burpsuite抓包隐藏本机ip的插件,它可以让使用者无需手动配置代理链,即可在抓包的过程中隐藏最近的ip。
然而安装过程中踩了很多坑,这里写一篇文章分享给大家,让师傅们少走弯路。
正文
因为是python插件,而且依赖python2环境,所以需要配置jython
`https://www.jython.org/download`
去burpsuite配置插件依赖( 注意避免中文路径 ):
准备就绪后,我遇到了第一个坑: 解决不同版本之间python的冲突问题 。
由于我的电脑之前只有python3.9,所以我去官网下载了python2中最新的2.7.18版本,并自动配置了windows环境变量。
然而命令行输入python3却会弹出微软应用商店(想必大家都遇到过),这时只需把不同版本的python.exe文件名分别改成python2.exe和python3.exe即可解决。
接下来burpsuite插件配置页面会提示缺少第三方库 boto3 ,这时要注意在python2的环境下安装,但是我直接用pip安装会报错(忘记截图了):
`Fatal error in launcher:Unable to create process using '"C:\python27\python.exe" "C:\Python27\Scripts\pip.exe"'install boto3`
这里可以使用anaconda这个工具来在不同版本间安装包,或者利用下面文章的方法(windows自行去网址复制脚本):
`https://blog.csdn.net/weixin\_42478365/article/details/116801930`
python2运行脚本后即可正常使用pip2安装包,效果如下:
安装成功以后,输入以下的access-key和secret-key激活( 需在AWS上申请 ):
`Access Key:AKIAISGP63MXTUVKLTHA`
`Secret Key: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`
因为是测试环境,所以用vps中python自带的http模块启动一个服务(这里我以80端口为例):
`python3 -m http.server 端口 #python3`
`python -m SimpleHTTPServer 端口 #python2`
先启动插件(Target Host填vps的ip),再用浏览器访问vps的ip+端口后,切换代理用burpsuite抓包:
vps可以看到请求ip,放入burpsuite重放器中重放可观察到请求ip变化:
注意这里一定要用burpsuite请求,否则无法触发代理池的效果。
总结
由于本人技术太菜,所以折腾了将近一个下午。好处就是,无需手动配置代理池,节省了我们筛选可用代理ip的时间。在这里再次感谢群里大佬的帮助!
下载地址
https://github.com/RhinoSecurityLabs/IPRotate\_Burp\_Extension
如有侵权,请联系删除
推荐阅读
查看更多精彩内容,还请关注 橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“ 再看”