hacktricks/network-services-pentesting/pentesting-web/403-and-401-bypasses.md

155 lines
9.1 KiB
Markdown
Raw Normal View History

# 403 & 401 Oorsprong
2022-04-28 16:01:33 +00:00
<details>
2024-02-11 02:07:06 +00:00
<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
2024-01-02 18:28:27 +00:00
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
2024-02-11 02:07:06 +00:00
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PRs in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
2022-04-28 16:01:33 +00:00
</details>
<figure><img src="../../.gitbook/assets/image (2) (1).png" alt=""><figcaption></figcaption></figure>
**Onmiddellik beskikbare opstelling vir kwesbaarheidsassessering & penetrasietoetsing**. Voer 'n volledige pentest uit van enige plek met 20+ gereedskap en funksies wat strek van rekognisering tot verslagdoening. Ons vervang nie pentesters nie - ons ontwikkel aangepaste gereedskap, opsporing & uitbuitingsmodules om hulle 'n bietjie tyd terug te gee om dieper te graaf, skulpe te laat pop en pret te hê.
2024-01-11 13:23:18 +00:00
{% embed url="https://pentest-tools.com/" %}
## HTTP Werkwoorde/Metodes Fuzzing
2024-02-11 02:07:06 +00:00
Probeer om **verskillende werkwoorde** te gebruik om die lêer te benader: `GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK`
2024-02-11 02:07:06 +00:00
* Kontroleer die responskoppe, dalk kan daar enige inligting gegee word. Byvoorbeeld, 'n **200 respons** op **HEAD** met `Content-Length: 55` beteken dat die **HEAD-werkwoord die inligting kan benader**. Maar jy moet steeds 'n manier vind om daardie inligting uit te voer.
* Die gebruik van 'n HTTP-kop soos `X-HTTP-Method-Override: PUT` kan die gebruikte werkwoord oorskryf.
* Gebruik die **`TRACE`** werkwoord en as jy baie gelukkig is, kan jy dalk ook die **koppe sien wat deur tussenliggende proksi's bygevoeg is** wat nuttig kan wees.
2024-02-11 02:07:06 +00:00
## HTTP Koppe Fuzzing
2024-02-11 02:07:06 +00:00
* **Verander die Host-kop** na 'n willekeurige waarde ([wat hier gewerk het](https://medium.com/@sechunter/exploiting-admin-panel-like-a-boss-fc2dd2499d31))
* Probeer om [**ander Gebruikeragents**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/User-Agents/UserAgents.fuzz.txt) te gebruik om die hulpbron te benader.
* **Fuzz HTTP Koppe**: Probeer om HTTP Proksi **Koppe**, HTTP-outentifikasie Basies en NTLM-bruteforse (met net 'n paar kombinasies) en ander tegnieke te gebruik. Om dit alles te doen, het ek die gereedskap [**fuzzhttpbypass**](https://github.com/carlospolop/fuzzhttpbypass) geskep.
2024-02-11 02:07:06 +00:00
* `X-Originating-IP: 127.0.0.1`
* `X-Forwarded-For: 127.0.0.1`
* `X-Forwarded: 127.0.0.1`
* `Forwarded-For: 127.0.0.1`
* `X-Remote-IP: 127.0.0.1`
* `X-Remote-Addr: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `X-Original-URL: 127.0.0.1`
* `Client-IP: 127.0.0.1`
* `True-Client-IP: 127.0.0.1`
* `Cluster-Client-IP: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `Host: localhost`
As die **pad beskerm is**, kan jy probeer om die padbeskerming te omseil deur hierdie ander koppe te gebruik:
2024-02-11 02:07:06 +00:00
* `X-Original-URL: /admin/console`
* `X-Rewrite-URL: /admin/console`
* As die bladsy **agter 'n proksi** is, is dit miskien die proksi wat jou verhoed om die privaat inligting te benader. Probeer om [**HTTP-versoeksmokkelary**](../../pentesting-web/http-request-smuggling/) te misbruik **of** [**hop-by-hop koppe**](../../pentesting-web/abusing-hop-by-hop-headers.md)**.**
* Fuzz [**spesiale HTTP-koppe**](special-http-headers.md) op soek na 'n verskillende respons.
* **Fuzz spesiale HTTP-koppe** terwyl jy **HTTP Metodes** fuzz.
* **Verwyder die Host-kop** en miskien sal jy die beskerming kan omseil.
2024-02-11 02:07:06 +00:00
## Pad **Fuzzing**
2024-02-11 02:07:06 +00:00
As _/pad_ geblokkeer is:
2024-02-11 02:07:06 +00:00
* Probeer om _**/**_**%2e/path \_(as die toegang deur 'n proksi geblokkeer word, kan dit die beskerming omseil). Probeer ook**\_\*\* /%252e\*\*/path (dubbele URL-kodering)
* Probeer **Unicode-omseiling**: _/**%ef%bc%8f**path_ (Die URL-gekodeerde karakters is soos "/") sodat wanneer dit teruggekodeer word, sal dit _//path_ wees en miskien het jy reeds die _/pad_ naamkontrole omseil
2024-02-11 02:07:06 +00:00
* **Ander padomseilings**:
* site.com/secret > HTTP 403 Verbode
* site.com/SECRET > HTTP 200 OK
* site.com/secret/ > HTTP 200 OK
* site.com/secret/. > HTTP 200 OK
* site.com//secret// > HTTP 200 OK
* site.com/./secret/.. > HTTP 200 OK
* site.com/;/secret > HTTP 200 OK
* site.com/.;/secret > HTTP 200 OK
* site.com//;//secret > HTTP 200 OK
* site.com/secret.json > HTTP 200 OK (ruby)
* Gebruik al [**hierdie lys**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/Unicode.txt) in die volgende situasies:
2024-02-11 02:07:06 +00:00
* /FUZZsecret
* /FUZZ/secret
* /secretFUZZ
* **Ander API-omseilings:**
* /v3/users\_data/1234 --> 403 Verbode
* /v1/users\_data/1234 --> 200 OK
* {“id”:111} --> 401 Ongeoutoriseer
* {“id”:\[111]} --> 200 OK
* {“id”:111} --> 401 Ongeoutoriseer
* {“id”:{“id”:111\}} --> 200 OK
* {"user\_id":"\<legit\_id>","user\_id":"\<victims\_id>"} (JSON Parameterbesoedeling)
* user\_id=ATTACKER\_ID\&user\_id=VICTIM\_ID (Parameterbesoedeling)
## **Parameter Manipulation**
2024-02-11 02:07:06 +00:00
* Verander **param-waarde**: Van **`id=123` --> `id=124`**
* Voeg addisionele parameters by die URL: `?`**`id=124` —-> `id=124&isAdmin=true`**
2024-02-11 02:07:06 +00:00
* Verwyder die parameters
* Herorden parameters
2024-02-11 02:07:06 +00:00
* Gebruik spesiale karakters.
* Voer grenstoetsing in die parameters uit - voorsien waardes soos _-234_ of _0_ of _99999999_ (net 'n paar voorbeeldwaardes).
## **Protokolweergawe**
2022-09-12 16:05:35 +00:00
Indien HTTP/1.1 gebruik word, **probeer om 1.0 te gebruik** of selfs toets of dit **2.0 ondersteun**.
2022-09-12 16:05:35 +00:00
## **Ander Oorspronge**
2021-09-19 15:52:48 +00:00
* Kry die **IP** of **CNAME** van die domein en probeer om **direk daarmee kontak te maak**.
* Probeer om die bediener te **stres** deur algemene GET-versoeke te stuur ([Dit het vir hierdie persoon met Facebook gewerk](https://medium.com/@amineaboud/story-of-a-weird-vulnerability-i-found-on-facebook-fc0875eb5125)).
2024-02-11 02:07:06 +00:00
* **Verander die protokol**: van http na https, of van https na http
* Gaan na [**https://archive.org/web/**](https://archive.org/web/) en kyk of daardie lêer in die verlede **wêreldwyd toeganklik** was.
2021-09-19 15:52:48 +00:00
2022-05-01 13:25:53 +00:00
## **Brute Force**
2021-09-19 15:52:48 +00:00
2024-02-11 02:07:06 +00:00
* **Raai die wagwoord**: Toets die volgende algemene geloofsbriewe. Weet jy iets van die slagoffer? Of die CTF-uitdaging se naam?
* [**Brute force**](../../generic-methodologies-and-resources/brute-force.md#http-brute)**:** Probeer basiese, digest en NTLM-outentifikasie.
2022-05-01 13:25:53 +00:00
2024-02-11 02:07:06 +00:00
{% code title="Gewone geloofsbriewe" %}
2022-05-01 13:25:53 +00:00
```
admin admin
admin password
admin 1234
admin admin1234
admin 123456
root toor
test test
guest guest
```
{% endcode %}
2024-02-11 02:07:06 +00:00
## Outomatiese Gereedskap
2022-04-22 08:32:18 +00:00
* [https://github.com/lobuhi/byp4xx](https://github.com/lobuhi/byp4xx)
* [https://github.com/iamj0ker/bypass-403](https://github.com/iamj0ker/bypass-403)
* [https://github.com/gotr00t0day/forbiddenpass](https://github.com/gotr00t0day/forbiddenpass)
2024-02-11 02:07:06 +00:00
* [Burp-uitbreiding - 403 Bypasser](https://portswigger.net/bappstore/444407b96d9c4de0adb7aed89e826122)
* [Verbode Buster](https://github.com/Sn1r/Forbidden-Buster)
2022-04-28 16:01:33 +00:00
<figure><img src="../../.gitbook/assets/image (2) (1).png" alt=""><figcaption></figcaption></figure>
**Onmiddellik beskikbare opstelling vir kwesbaarheidsassessering en penetrasietoetsing**. Voer 'n volledige pentest uit vanaf enige plek met 20+ gereedskap en funksies wat strek vanaf rekognisering tot verslagdoening. Ons vervang nie pentesters nie - ons ontwikkel aangepaste gereedskap, opsporings- en uitbuitingsmodules om hulle 'n bietjie tyd te gee om dieper te delf, skulpe te laat spat, en pret te hê.
2024-01-11 13:23:18 +00:00
{% embed url="https://pentest-tools.com/" %}
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
2024-01-02 18:28:27 +00:00
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kontroleer die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
2024-02-11 02:07:06 +00:00
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS-familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
2024-02-11 02:07:06 +00:00
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
2022-04-28 16:01:33 +00:00
</details>