mubeng 【代理池工具】

文章预览

兄弟们之前hvv，团队里的蓝队兄弟凌晨三点还在跟WAF斗智斗勇那会儿，突然想起来去年攻防演练吃过的亏。当时红队拿我们OA系统当突破口，就因为某个接口的速率限制被他们用代理池硬生生撞开了——这茬子事儿后来复盘的时候，我就跟组里安利了这个叫mubeng的小工具。 记得上个月做API网关渗透测试，甲方那套WAF直接按IP记请求次数。我本来打算上proxychains配一堆socks5，结果发现切换代理时老漏参数，调试半小时还没摸到阈值门槛。这时候突然想起来这工具有个骚操作：直接把代理列表扔给它，用"-r 3 --rotate-on-error"参数，每3次请求自动换IP，遇到429直接切下一个节点重试，配合50个goroutine直接冲垮了防御策略。 这玩意儿最爽的是能和Burp联动。上次给某电商做业务安全评估，直接在Burp的上游代理设置里挂上mubeng的本地端口，边改包边自动轮换出口I ………………………………