hacktricks/network-services-pentesting/pentesting-web/403-and-401-bypasses.md

# 403 & 401 Oorsprong

<details>

<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Ander maniere om HackTricks te ondersteun:

* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PRs in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.

</details>

<figure><img src="../../.gitbook/assets/image (11).png" alt=""><figcaption></figcaption></figure>

**Onmiddellik beskikbare opstelling vir kwesbaarheidsassessering & penetrasietoetsing**. Voer 'n volledige pentest uit van enige plek met 20+ gereedskap en kenmerke wat gaan van rekognisering tot verslagdoening. Ons vervang nie pentesters nie - ons ontwikkel aangepaste gereedskap, opsporing & uitbuitingsmodules om hulle 'n bietjie tyd terug te gee om dieper te graaf, skulpe te laat pop en pret te hê.

{% embed url="https://pentest-tools.com/" %}

## HTTP Werkwoorde/Metodes Fuzzing

Probeer om **verskillende werkwoorde** te gebruik om die lêer te benader: `GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK`

* Kyk na die responskoppe, dalk kan daar 'n paar inligting gegee word. Byvoorbeeld, 'n **200 respons** op **HEAD** met `Content-Length: 55` beteken dat die **HEAD-werkwoord die inligting kan benader**. Maar jy moet steeds 'n manier vind om daardie inligting uit te voer.
* Die gebruik van 'n HTTP-kop soos `X-HTTP-Method-Override: PUT` kan die gebruikte werkwoord oorskryf.
* Gebruik die **`TRACE`** werkwoord en as jy baie gelukkig is, kan jy dalk ook die **koppe sien wat deur tussenliggende proksi's bygevoeg is** wat nuttig kan wees.

## HTTP Koppe Fuzzing

* **Verander die Host-kop** na 'n arbitrêre waarde ([wat hier gewerk het](https://medium.com/@sechunter/exploiting-admin-panel-like-a-boss-fc2dd2499d31))
* Probeer om [**ander Gebruikeragents**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/User-Agents/UserAgents.fuzz.txt) te gebruik om die hulpbron te benader.
*   **Fuzz HTTP Koppe**: Probeer om HTTP Proksi **Koppe**, HTTP-outentifikasie Basies en NTLM-bruteforse (met 'n paar kombinasies net) en ander tegnieke te gebruik. Om dit alles te doen, het ek die gereedskap [**fuzzhttpbypass**](https://github.com/carlospolop/fuzzhttpbypass) geskep.

* `X-Originating-IP: 127.0.0.1`
* `X-Forwarded-For: 127.0.0.1`
* `X-Forwarded: 127.0.0.1`
* `Forwarded-For: 127.0.0.1`
* `X-Remote-IP: 127.0.0.1`
* `X-Remote-Addr: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `X-Original-URL: 127.0.0.1`
* `Client-IP: 127.0.0.1`
* `True-Client-IP: 127.0.0.1`
* `Cluster-Client-IP: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `Host: localhost`

As die **pad beskerm is**, kan jy probeer om die padbeskerming te omseil deur hierdie ander koppe te gebruik:

* `X-Original-URL: /admin/console`
* `X-Rewrite-URL: /admin/console`
* As die bladsy **agter 'n proksi** is, is dit miskien die proksi wat jou verhoed om die privaat inligting te benader. Probeer om [**HTTP-versoeksmokkelary**](../../pentesting-web/http-request-smuggling/) te misbruik **of** [**hop-by-hop koppe**](../../pentesting-web/abusing-hop-by-hop-headers.md)**.**
* Fuzz [**spesiale HTTP-koppe**](special-http-headers.md) op soek na 'n ander respons.
* **Fuzz spesiale HTTP-koppe** terwyl jy **HTTP Metodes** fuzz.
* **Verwyder die Host-kop** en miskien sal jy die beskerming kan omseil.

## Pad **Fuzzing**

As _/pad_ geblokkeer is:

* Probeer om _**/**_**%2e/path \_(as die toegang deur 'n proksi geblokkeer word, kan dit die beskerming omseil). Probeer ook**\_\*\* /%252e\*\*/path (dubbele URL-kodering)
* Probeer **Unicode-omseiling**: _/**%ef%bc%8f**path_ (Die URL-gekodeerde karakters is soos "/") sodat wanneer dit teruggekodeer word, sal dit _//path_ wees en miskien het jy reeds die _/pad_ naamkontrole omseil
* **Ander padomseilings**:
* site.com/secret –> HTTP 403 Verbode
* site.com/SECRET –> HTTP 200 OK
* site.com/secret/ –> HTTP 200 OK
* site.com/secret/. –> HTTP 200 OK
* site.com//secret// –> HTTP 200 OK
* site.com/./secret/.. –> HTTP 200 OK
* site.com/;/secret –> HTTP 200 OK
* site.com/.;/secret –> HTTP 200 OK
* site.com//;//secret –> HTTP 200 OK
* site.com/secret.json –> HTTP 200 OK (ruby)
* Gebruik al [**hierdie lys**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/Unicode.txt) in die volgende situasies:
* /FUZZsecret
* /FUZZ/secret
* /secretFUZZ
* **Ander API-omseilings:**
* /v3/users\_data/1234 --> 403 Verbode
* /v1/users\_data/1234 --> 200 OK
* {“id”:111} --> 401 Ongeoutoriseer
* {“id”:\[111]} --> 200 OK
* {“id”:111} --> 401 Ongeoutoriseer
* {“id”:{“id”:111\}} --> 200 OK
* {"user\_id":"\<legit\_id>","user\_id":"\<victims\_id>"} (JSON Parameterbesoedeling)
* user\_id=ATTACKER\_ID\&user\_id=VICTIM\_ID (Parameterbesoedeling)
## **Parameter Manipulation**

* Verander **param-waarde**: Van **`id=123` --> `id=124`**
* Voeg addisionele parameters by die URL: `?`**`id=124` —-> `id=124&isAdmin=true`**
* Verwyder die parameters
* Herorden parameters
* Gebruik spesiale karakters.
* Voer grenstoetsing in die parameters uit - voorsien waardes soos _-234_ of _0_ of _99999999_ (net 'n paar voorbeeldwaardes).

## **Protokolweergawe**

Indien HTTP/1.1 gebruik word, **probeer om 1.0 te gebruik** of selfs toets of dit **2.0 ondersteun**.

## **Ander Oorspronge**

* Kry die **IP** of **CNAME** van die domein en probeer om **direk daarmee kontak te maak**.
* Probeer om die bediener te **stresstoets** deur algemene GET-versoeke te stuur ([Dit het vir hierdie persoon met Facebook gewerk](https://medium.com/@amineaboud/story-of-a-weird-vulnerability-i-found-on-facebook-fc0875eb5125)).
* **Verander die protokol**: van http na https, of van https na http
* Gaan na [**https://archive.org/web/**](https://archive.org/web/) en kyk of daardie lêer in die verlede **wêreldwyd toeganklik** was.

## **Brute Force**

* **Raai die wagwoord**: Toets die volgende algemene geloofsbriewe. Weet jy iets van die slagoffer? Of die CTF-uitdaging se naam?
* [**Brute force**](../../generic-methodologies-and-resources/brute-force.md#http-brute)**:** Probeer basiese, digest en NTLM-outentifikasie.

{% code title="Gewone geloofsbriewe" %}
```
admin    admin
admin    password
admin    1234
admin    admin1234
admin    123456
root     toor
test     test
guest    guest
```
{% endcode %}

## Outomatiese Gereedskap

* [https://github.com/lobuhi/byp4xx](https://github.com/lobuhi/byp4xx)
* [https://github.com/iamj0ker/bypass-403](https://github.com/iamj0ker/bypass-403)
* [https://github.com/gotr00t0day/forbiddenpass](https://github.com/gotr00t0day/forbiddenpass)
* [Burp-Byvoeging - 403 Bypasser](https://portswigger.net/bappstore/444407b96d9c4de0adb7aed89e826122)
* [Verbode Buster](https://github.com/Sn1r/Forbidden-Buster)

<figure><img src="../../.gitbook/assets/image (11).png" alt=""><figcaption></figcaption></figure>

**Onmiddellik beskikbare opstelling vir kwesbaarheidsassessering & pentest**. Voer 'n volledige pentest uit van enige plek met 20+ gereedskap en kenmerke wat strek vanaf rekognisering tot verslagdoening. Ons vervang nie pentesters nie - ons ontwikkel aangepaste gereedskap, opsporing- en uitbuitingsmodules om hulle 'n bietjie tyd te gee om dieper te delf, skulpe te laat spat, en pret te hê.

{% embed url="https://pentest-tools.com/" %}

<details>

<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Ander maniere om HackTricks te ondersteun:

* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks-klere**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS-familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.

</details>