hacktricks/network-services-pentesting/pentesting-web/403-and-401-bypasses.md

# Bypass-ovi 403 & 401

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>

<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>

**Trenutno dostupno podešavanje za procenu ranjivosti & testiranje proboja**. Pokrenite pun pentest od bilo kog mesta sa 20+ alata i funkcija koje idu od rekonstrukcije do izveštavanja. Mi ne zamenjujemo pentestere - mi razvijamo prilagođene alate, detekciju & module za eksploataciju kako bismo im vratili neko vreme da dublje kopaju, otvaraju školjke i zabavljaju se.

{% embed url="https://pentest-tools.com/" %}

## Faziranje HTTP glagola/metoda

Pokušajte koristiti **različite glagole** za pristup fajlu: `GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK`

* Proverite odgovor zaglavlja, možda se može dobiti neke informacije. Na primer, **200 odgovor** na **HEAD** sa `Content-Length: 55` znači da **HEAD glagol može pristupiti informacijama**. Ali i dalje morate pronaći način da te informacije izvučete.
* Korišćenje HTTP zaglavlja poput `X-HTTP-Method-Override: PUT` može prebrisati korišćeni glagol.
* Koristite **`TRACE`** glagol i ako imate sreće možda u odgovoru možete videti i **zaglavlja dodata od strane posredničkih proxy-ja** što može biti korisno.

## Faziranje HTTP zaglavlja

* **Promenite Host zaglavlje** u neku proizvoljnu vrednost ([koja je ovde radila](https://medium.com/@sechunter/exploiting-admin-panel-like-a-boss-fc2dd2499d31))
* Pokušajte [**koristiti druge korisničke agente**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/User-Agents/UserAgents.fuzz.txt) za pristup resursu.
*   **Fazirajte HTTP zaglavlja**: Pokušajte korišćenje HTTP Proxy **zaglavlja**, HTTP Authentication Basic i NTLM brute-force (samo sa nekoliko kombinacija) i druge tehnike. Za sve ovo sam kreirao alat [**fuzzhttpbypass**](https://github.com/carlospolop/fuzzhttpbypass).

* `X-Originating-IP: 127.0.0.1`
* `X-Forwarded-For: 127.0.0.1`
* `X-Forwarded: 127.0.0.1`
* `Forwarded-For: 127.0.0.1`
* `X-Remote-IP: 127.0.0.1`
* `X-Remote-Addr: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `X-Original-URL: 127.0.0.1`
* `Client-IP: 127.0.0.1`
* `True-Client-IP: 127.0.0.1`
* `Cluster-Client-IP: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `Host: localhost`

Ako je **putanja zaštićena** možete pokušati da zaobiđete zaštitu putanje koristeći ova druga zaglavlja:

* `X-Original-URL: /admin/console`
* `X-Rewrite-URL: /admin/console`
* Ako je stranica **iza proxy-ja**, možda je proxy taj koji vam sprečava pristup privatnim informacijama. Pokušajte zloupotrebiti [**HTTP Request Smuggling**](../../pentesting-web/http-request-smuggling/) **ili** [**hop-by-hop zaglavlja**](../../pentesting-web/abusing-hop-by-hop-headers.md)**.**
* Fazirajte [**specijalna HTTP zaglavlja**](special-http-headers.md) tražeći različit odgovor.
* **Fazirajte specijalna HTTP zaglavlja** dok fazirate **HTTP Metode**.
* **Uklonite Host zaglavlje** i možda ćete moći da zaobiđete zaštitu.

## Faziranje Putanje

Ako je _/putanja_ blokirana:

* Pokušajte koristiti _**/**_**%2e/putanja \_(ako je pristup blokiran od strane proxy-ja, ovo bi moglo da zaobiđe zaštitu). Pokušajte takođe**\_\*\* /%252e\*\*/putanja (dvostruko URL enkodirano)
* Pokušajte **Unicode zaobilaženje**: _/**%ef%bc%8f**putanja_ (URL enkodirani karakteri su poput "/") tako da kada se enkodiraju nazad biće _//putanja_ i možda ste već zaobišli proveru imena _/putanja_
* **Druga zaobilaženja putanje**:
* sajt.com/tajno –> HTTP 403 Forbidden
* sajt.com/TAJNO –> HTTP 200 OK
* sajt.com/tajno/ –> HTTP 200 OK
* sajt.com/tajno/. –> HTTP 200 OK
* sajt.com//tajno// –> HTTP 200 OK
* sajt.com/./tajno/.. –> HTTP 200 OK
* sajt.com/;/tajno –> HTTP 200 OK
* sajt.com/.;/tajno –> HTTP 200 OK
* sajt.com//;//tajno –> HTTP 200 OK
* sajt.com/tajno.json –> HTTP 200 OK (ruby)
* Koristite sve [**ovu listu**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/Unicode.txt) u sledećim situacijama:
* /FUZZtajno
* /FUZZ/tajno
* /tajnoFUZZ
* **Druga API zaobilaženja:**
* /v3/korisnici\_podaci/1234 --> 403 Forbidden
* /v1/korisnici\_podaci/1234 --> 200 OK
* {“id”:111} --> 401 Neovlašćeno
* {“id”:\[111]} --> 200 OK
* {“id”:111} --> 401 Neovlašćeno
* {“id”:{“id”:111\}} --> 200 OK
* {"user\_id":"\<legit\_id>","user\_id":"\<victims\_id>"} (Zagađenje JSON parametara)
* user\_id=ID_NAPADACA\&user\_id=ID_ZRTVE (Zagađenje parametara)
## **Manipulacija parametrima**

* Promenite **vrednost parametra**: Od **`id=123` --> `id=124`**
* Dodajte dodatne parametre u URL: `?`**`id=124` —-> `id=124&isAdmin=true`**
* Uklonite parametre
* Promenite redosled parametara
* Koristite specijalne karaktere.
* Izvršite testiranje granica u parametrima - pružite vrednosti poput _-234_ ili _0_ ili _99999999_ (samo neke primer vrednosti).

## **Verzija protokola**

Ako koristite HTTP/1.1 **pokušajte da koristite 1.0** ili čak testirajte da li podržava **2.0**.

## **Ostali načini zaobilaženja**

* Dobijte **IP** ili **CNAME** domena i pokušajte da ga **kontaktirate direktno**.
* Pokušajte da **opteretite server** slanjem uobičajenih GET zahteva ([To je uspelo ovom momku sa Facebookom](https://medium.com/@amineaboud/story-of-a-weird-vulnerability-i-found-on-facebook-fc0875eb5125)).
* **Promenite protokol**: od http do https, ili sa https na http
* Idite na [**https://archive.org/web/**](https://archive.org/web/) i proverite da li je ta datoteka **bila dostupna širom sveta** u prošlosti.

## **Bruteforce**

* **Pogodite lozinku**: Testirajte sledeće uobičajene akreditive. Da li znate nešto o žrtvi? Ili ime izazova CTF-a?
* [**Bruteforce**](../../generic-methodologies-and-resources/brute-force.md#http-brute)**:** Pokušajte osnovnu, digest i NTLM autentifikaciju.

{% code title="Uobičajeni kredencijali" %}
```
admin    admin
admin    password
admin    1234
admin    admin1234
admin    123456
root     toor
test     test
guest    guest
```
{% endcode %}

## Automatski alati

* [https://github.com/lobuhi/byp4xx](https://github.com/lobuhi/byp4xx)
* [https://github.com/iamj0ker/bypass-403](https://github.com/iamj0ker/bypass-403)
* [https://github.com/gotr00t0day/forbiddenpass](https://github.com/gotr00t0day/forbiddenpass)
* [Burp Extension - 403 Bypasser](https://portswigger.net/bappstore/444407b96d9c4de0adb7aed89e826122)
* [Forbidden Buster](https://github.com/Sn1r/Forbidden-Buster)
* [NoMoreForbidden](https://github.com/akinerk/NoMoreForbidden)

<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>

**Trenutno dostupno podešavanje za procenu ranjivosti i testiranje proboja**. Pokrenite kompletan pentest od bilo kog mesta sa preko 20 alata i funkcija koje idu od rekonstrukcije do izveštavanja. Ne zamenjujemo pentestere - razvijamo prilagođene alate, module za otkrivanje i eksploataciju kako bismo im vratili nešto vremena da dublje istražuju, otvaraju ljuske i zabavljaju se.

{% embed url="https://pentest-tools.com/" %}

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>