hacktricks/network-services-pentesting/pentesting-web/golang.md

<details>

<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Expert en équipe rouge AWS de HackTricks)</strong></a><strong>!</strong></summary>

Autres façons de soutenir HackTricks :

* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub.

</details>


## Méthode CONNECT

Dans le langage de programmation Go, une pratique courante lors de la manipulation des requêtes HTTP, en utilisant spécifiquement la bibliothèque `net/http`, est la conversion automatique du chemin de la requête en un format standardisé. Ce processus implique :

- Les chemins se terminant par un slash (`/`) comme `/flag/` sont redirigés vers leur contrepartie sans slash, `/flag`.
- Les chemins contenant des séquences de traversée de répertoire comme `/../flag` sont simplifiés et redirigés vers `/flag`.
- Les chemins avec un point final comme dans `/flag/.` sont également redirigés vers le chemin propre `/flag`.

Cependant, une exception est observée avec l'utilisation de la méthode `CONNECT`. Contrairement aux autres méthodes HTTP, `CONNECT` ne déclenche pas le processus de normalisation du chemin. Ce comportement ouvre une voie potentielle pour accéder à des ressources protégées. En utilisant la méthode `CONNECT` avec l'option `--path-as-is` dans `curl`, on peut contourner la normalisation standard du chemin et potentiellement accéder à des zones restreintes.

La commande suivante montre comment exploiter ce comportement :
```bash
curl --path-as-is -X CONNECT http://gofs.web.jctf.pro/../flag
```
[https://github.com/golang/go/blob/9bb97ea047890e900dae04202a231685492c4b18/src/net/http/server.go\#L2354-L2364](https://github.com/golang/go/blob/9bb97ea047890e900dae04202a231685492c4b18/src/net/http/server.go#L2354-L2364)


<details>

<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Expert de l'équipe rouge HackTricks AWS)</strong></a><strong>!</strong></summary>

Autres façons de soutenir HackTricks:

* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF** Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts github.

</details>
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:26:45 +00:00			`<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Expert en équipe rouge AWS de HackTricks)</strong></a><strong>!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:26:45 +00:00			`Autres façons de soutenir HackTricks :`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:26:45 +00:00			`* Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Découvrez [La famille PEASS](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Rejoignez le 💬 [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe Telegram](https://t.me/peass) ou suivez moi sur Twitter 🐦 [@carlospolopm](https://twitter.com/carlospolopm).`
			`* Partagez vos astuces de piratage en soumettant des PR aux [HackTricks](https://github.com/carlospolop/hacktricks) et [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`


Translated to French 2023-06-03 13:10:46 +00:00			`## Méthode CONNECT`
GitBook: [master] 2 pages modified 2021-02-01 09:01:16 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:26:45 +00:00			Dans le langage de programmation Go, une pratique courante lors de la manipulation des requêtes HTTP, en utilisant spécifiquement la bibliothèque `net/http`, est la conversion automatique du chemin de la requête en un format standardisé. Ce processus implique :
GitBook: [master] 2 pages modified 2021-02-01 09:01:16 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:26:45 +00:00			- Les chemins se terminant par un slash (`/`) comme `/flag/` sont redirigés vers leur contrepartie sans slash, `/flag`.
			- Les chemins contenant des séquences de traversée de répertoire comme `/../flag` sont simplifiés et redirigés vers `/flag`.
			- Les chemins avec un point final comme dans `/flag/.` sont également redirigés vers le chemin propre `/flag`.
GitBook: [master] 2 pages modified 2021-02-01 09:01:16 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:26:45 +00:00			Cependant, une exception est observée avec l'utilisation de la méthode `CONNECT`. Contrairement aux autres méthodes HTTP, `CONNECT` ne déclenche pas le processus de normalisation du chemin. Ce comportement ouvre une voie potentielle pour accéder à des ressources protégées. En utilisant la méthode `CONNECT` avec l'option `--path-as-is` dans `curl`, on peut contourner la normalisation standard du chemin et potentiellement accéder à des zones restreintes.

			`La commande suivante montre comment exploiter ce comportement :`
			```bash
GitBook: [master] 2 pages modified 2021-02-01 09:01:16 +00:00			`curl --path-as-is -X CONNECT http://gofs.web.jctf.pro/../flag`
			```
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:26:45 +00:00			`[https://github.com/golang/go/blob/9bb97ea047890e900dae04202a231685492c4b18/src/net/http/server.go\#L2354-L2364](https://github.com/golang/go/blob/9bb97ea047890e900dae04202a231685492c4b18/src/net/http/server.go#L2354-L2364)`


Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:06:19 +00:00
			`<details>`
GitBook: [master] 2 pages modified 2021-02-01 09:01:16 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:26:45 +00:00			`<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Expert de l'équipe rouge HackTricks AWS)</strong></a><strong>!</strong></summary>`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:06:19 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:26:45 +00:00			`Autres façons de soutenir HackTricks:`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:06:19 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:26:45 +00:00			`* Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop)!`
			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Découvrez [La famille PEASS](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Rejoignez le 💬 [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe Telegram](https://t.me/peass) ou suivez moi sur Twitter 🐦 [@carlospolopm](https://twitter.com/carlospolopm).`
			`* Partagez vos astuces de piratage en soumettant des PR aux [HackTricks](https://github.com/carlospolop/hacktricks) et [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) dépôts github.`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:06:19 +00:00
			`</details>`