mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-27 07:01:09 +00:00
81 lines
5.8 KiB
Markdown
81 lines
5.8 KiB
Markdown
|
# Bypass de límite de velocidad
|
||
|
|
||
|
![](<../.gitbook/assets/image (9) (1) (2).png>)
|
||
|
|
||
|
\
|
||
|
Utilice [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y **automatizar flujos de trabajo** con las herramientas de la comunidad **más avanzadas del mundo**.\
|
||
|
Obtenga acceso hoy mismo:
|
||
|
|
||
|
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
|
||
|
* ¿Trabaja en una **empresa de ciberseguridad**? ¿Quiere ver su **empresa anunciada en HackTricks**? ¿O quiere tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulte los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
||
|
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
|
* Obtenga el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
|
||
|
* **Únase al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígame** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
||
|
* **Comparta sus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
||
|
|
||
|
</details>
|
||
|
|
||
|
### Usando endpoints similares
|
||
|
|
||
|
Si está atacando el endpoint `/api/v3/sign-up`, intente realizar un ataque de fuerza bruta a `/Sing-up`, `/SignUp`, `/singup`...
|
||
|
|
||
|
También intente agregar a los endpoints originales bytes como `%00, %0d%0a, %0d, %0a, %09, %0C, %20`
|
||
|
|
||
|
### Caracteres en blanco en el código/parámetros
|
||
|
|
||
|
Intente agregar algún byte en blanco como `%00, %0d%0a, %0d, %0a, %09, %0C, %20` al código y/o parámetros. Por ejemplo, `code=1234%0a` o si está solicitando un código para un correo electrónico y solo tiene 5 intentos, use los 5 intentos para `example@email.com`, luego para `example@email.com%0a`, luego para `example@email.com%0a%0a`, y continúe...
|
||
|
|
||
|
### Cambiando el origen de la IP usando encabezados
|
||
|
```bash
|
||
|
X-Originating-IP: 127.0.0.1
|
||
|
X-Forwarded-For: 127.0.0.1
|
||
|
X-Remote-IP: 127.0.0.1
|
||
|
X-Remote-Addr: 127.0.0.1
|
||
|
X-Client-IP: 127.0.0.1
|
||
|
X-Host: 127.0.0.1
|
||
|
X-Forwared-Host: 127.0.0.1
|
||
|
|
||
|
|
||
|
#or use double X-Forwared-For header
|
||
|
X-Forwarded-For:
|
||
|
X-Forwarded-For: 127.0.0.1
|
||
|
```
|
||
|
Si están limitando a 10 intentos por IP, cada 10 intentos cambia la IP dentro del encabezado.
|
||
|
|
||
|
### Cambia otros encabezados
|
||
|
|
||
|
Intenta cambiar el user-agent, las cookies... cualquier cosa que pueda identificarte.
|
||
|
|
||
|
### Agrega parámetros adicionales a la ruta
|
||
|
|
||
|
Si el límite está en la ruta `/resetpwd`, intenta hacer fuerza bruta en esa ruta, y una vez que se alcance el límite de velocidad, intenta `/resetpwd?someparam=1`.
|
||
|
|
||
|
### Inicia sesión en tu cuenta antes de cada intento
|
||
|
|
||
|
Tal vez si **inicias sesión en tu cuenta antes de cada intento** (o cada conjunto de X intentos), el límite de velocidad se reinicia. Si estás atacando una funcionalidad de inicio de sesión, puedes hacer esto en Burp usando un ataque Pitchfork en **configurar tus credenciales cada X intentos** (y marcando seguir redireccionamientos).
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
|
||
|
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
||
|
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
|
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
|
||
|
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
||
|
* **Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
||
|
|
||
|
</details>
|
||
|
|
||
|
![](<../.gitbook/assets/image (9) (1) (2).png>)
|
||
|
|
||
|
\
|
||
|
Usa [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y **automatizar flujos de trabajo** fácilmente con las herramientas de la comunidad más avanzadas del mundo.\
|
||
|
Obtén acceso hoy:
|
||
|
|
||
|
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
|