* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
[**DragonJAR Security Conference es un evento internacional de ciberseguridad**](https://www.dragonjarcon.org/) con más de una década que se celebrará el 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.\
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:
{% embed url="https://www.dragonjarcon.org/" %}
## Fuzzing de verbos/métodos HTTP
Intenta usar **diferentes verbos** para acceder al archivo: `GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK`
* Verifica las cabeceras de respuesta, tal vez se pueda obtener alguna información. Por ejemplo, una respuesta **200** a **HEAD** con `Content-Length: 55` significa que el **verbo HEAD puede acceder a la información**. Pero aún necesitas encontrar una forma de extraer esa información.
* Usar una cabecera HTTP como `X-HTTP-Method-Override: PUT` puede sobrescribir el verbo utilizado.
* Usa el verbo **`TRACE`** y si tienes mucha suerte, tal vez en la respuesta también puedas ver las **cabeceras agregadas por los proxies intermedios** que podrían ser útiles.
* **Cambia la cabecera Host** a algún valor arbitrario ([que funcionó aquí](https://medium.com/@sechunter/exploiting-admin-panel-like-a-boss-fc2dd2499d31))
* Intenta **usar otros User Agents** para acceder al recurso.
***Fuzzing de cabeceras HTTP**: Intenta usar **cabeceras HTTP de proxy**, autenticación básica HTTP y fuerza bruta NTLM (solo con algunas combinaciones) y otras técnicas. Para hacer todo esto, he creado la herramienta [**fuzzhttpbypass**](https://github.com/carlospolop/fuzzhttpbypass).
*`X-Originating-IP: 127.0.0.1`
*`X-Forwarded-For: 127.0.0.1`
*`X-Forwarded: 127.0.0.1`
*`Forwarded-For: 127.0.0.1`
*`X-Remote-IP: 127.0.0.1`
*`X-Remote-Addr: 127.0.0.1`
*`X-ProxyUser-Ip: 127.0.0.1`
*`X-Original-URL: 127.0.0.1`
*`Client-IP: 127.0.0.1`
*`True-Client-IP: 127.0.0.1`
*`Cluster-Client-IP: 127.0.0.1`
*`X-ProxyUser-Ip: 127.0.0.1`
*`Host: localhost`
Si la **ruta está protegida**, puedes intentar evadir la protección de la ruta utilizando estas otras cabeceras:
*`X-Original-URL: /admin/console`
*`X-Rewrite-URL: /admin/console`
* Si la página está **detrás de un proxy**, tal vez sea el proxy el que te impide acceder a la información privada. Intenta abusar de [**HTTP Request Smuggling**](../../pentesting-web/http-request-smuggling/) **o** [**cabeceras hop-by-hop**](../../pentesting-web/abusing-hop-by-hop-headers.md)**.**
* Fuzzing de [**cabeceras HTTP especiales**](special-http-headers.md) en busca de respuestas diferentes.
* **Fuzzing de cabeceras HTTP especiales** mientras se hace fuzzing de **métodos HTTP**.
* **Elimina la cabecera Host** y tal vez puedas evadir la protección.
* Intenta usar _**/**_**%2e/ruta \_(si el acceso está bloqueado por un proxy, esto podría evadir la protección). También prueba con**\_\*\* /%252e\*\*/ruta (codificación URL doble)
* Intenta **evadir Unicode**: _/**%ef%bc%8f**ruta_ (Los caracteres codificados en URL son como "/"), por lo que cuando se decodifiquen nuevamente será _//ruta_ y tal vez ya hayas evadido la verificación del nombre _/ruta_
* **Otros evasiones de ruta**:
* sitio.com/secreto –> HTTP 403 Prohibido
* sitio.com/SECRETO –> HTTP 200 OK
* sitio.com/secreto/ –> HTTP 200 OK
* sitio.com/secreto/. –> HTTP 200 OK
* sitio.com//secreto// –> HTTP 200 OK
* sitio.com/./secreto/.. –> HTTP 200 OK
* sitio.com/;/secreto –> HTTP 200 OK
* sitio.com/.;/secreto –> HTTP 200 OK
* sitio.com//;//secreto –> HTTP 200 OK
* sitio.com/secreto.json –> HTTP 200 OK (ruby)
* Usa toda [**esta lista**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/Unicode.txt) en las siguientes situaciones:
* Cambiar el valor del parámetro: De **`id=123` --> `id=124`**
* Agregar parámetros adicionales a la URL: `?`**`id=124` —-> `id=124&isAdmin=true`**
* Eliminar los parámetros
* Reordenar los parámetros
* Usar caracteres especiales.
* Realizar pruebas de límites en los parámetros: proporcionar valores como _-234_ o _0_ o _99999999_ (solo algunos ejemplos de valores).
## **Versión del protocolo**
Si se utiliza HTTP/1.1, **intente usar 1.0** o incluso pruebe si **admite 2.0**.
## **Otros métodos de bypass**
* Obtenga la **IP** o **CNAME** del dominio e intente **contactarlo directamente**.
* Intente **sobrecargar el servidor** enviando solicitudes GET comunes ([Funcionó para este tipo con Facebook](https://medium.com/@amineaboud/story-of-a-weird-vulnerability-i-found-on-facebook-fc0875eb5125)).
* **Cambie el protocolo**: de http a https, o de https a http.
* Vaya a [**https://archive.org/web/**](https://archive.org/web/) y verifique si en el pasado ese archivo era **accesible en todo el mundo**.
## **Fuerza bruta**
* **Adivinar la contraseña**: Pruebe las siguientes credenciales comunes. ¿Sabe algo sobre la víctima? ¿O el nombre del desafío CTF?
* [**Fuerza bruta**](../../generic-methodologies-and-resources/brute-force.md#http-brute)**:** Pruebe la autenticación básica, digest y NTLM.
[**DragonJAR Security Conference es un evento internacional de ciberseguridad**](https://www.dragonjarcon.org/) con más de una década que se celebrará el 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.\
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
