hacktricks/network-services-pentesting/pentesting-web/403-and-401-bypasses.md

# 403和401绕过

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 YouTube 🎥</strong></a></summary>

* 你在一家**网络安全公司**工作吗？想要在HackTricks中看到你的**公司广告**吗？或者你想要获得**PEASS的最新版本或下载PDF格式的HackTricks**吗？请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 发现我们的独家[**NFT收藏品The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**

</details>

<figure><img src="../../.gitbook/assets/image (1) (1) (2) (4).png" alt=""><figcaption></figcaption></figure>

[**DragonJAR Security Conference是一场国际网络安全活动**](https://www.dragonjarcon.org/)，已经举办了十多年，将于2023年9月7日至8日在哥伦比亚波哥大举行。这是一个内容丰富的技术活动，展示了吸引全球黑客和研究人员的最新西班牙语研究成果。
立即在以下链接注册，不要错过这个重要的会议！：

{% embed url="https://www.dragonjarcon.org/" %}

## HTTP动词/方法模糊测试

尝试使用**不同的动词**访问文件：`GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK`

* 检查响应头，可能会提供一些信息。例如，对于带有`Content-Length: 55`的**HEAD响应**，意味着**HEAD动词可以访问信息**。但你仍然需要找到一种方法来提取该信息。
* 使用类似`X-HTTP-Method-Override: PUT`的HTTP头可以覆盖使用的动词。
* 使用**`TRACE`**动词，如果你非常幸运，也许在响应中你还可以看到由中间代理添加的**头部信息**，这可能会有用。

## HTTP头部模糊测试

* 将**Host头部更改**为任意值（[在这里有效](https://medium.com/@sechunter/exploiting-admin-panel-like-a-boss-fc2dd2499d31)）。
* 尝试[**使用其他用户代理**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/User-Agents/UserAgents.fuzz.txt)访问资源。
* **模糊测试HTTP头部**：尝试使用HTTP代理**头部**、HTTP身份验证基本认证和NTLM暴力破解（仅使用少量组合）以及其他技术。为了做到这一点，我创建了工具[**fuzzhttpbypass**](https://github.com/carlospolop/fuzzhttpbypass)。

* `X-Originating-IP: 127.0.0.1`
* `X-Forwarded-For: 127.0.0.1`
* `X-Forwarded: 127.0.0.1`
* `Forwarded-For: 127.0.0.1`
* `X-Remote-IP: 127.0.0.1`
* `X-Remote-Addr: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `X-Original-URL: 127.0.0.1`
* `Client-IP: 127.0.0.1`
* `True-Client-IP: 127.0.0.1`
* `Cluster-Client-IP: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `Host: localhost`

如果**路径受保护**，你可以尝试使用以下其他头部绕过路径保护：

* `X-Original-URL: /admin/console`
* `X-Rewrite-URL: /admin/console`
* 如果页面**位于代理后面**，也许是代理阻止你访问私有信息。尝试滥用[**HTTP请求走私**](../../pentesting-web/http-request-smuggling/) **或** [**逐跳头部**](../../pentesting-web/abusing-hop-by-hop-headers.md)**。**
* 模糊测试[**特殊HTTP头部**](special-http-headers.md)以寻找不同的响应。
* 在模糊测试**HTTP方法**时，**模糊测试特殊HTTP头部**。
* **删除Host头部**，也许你将能够绕过保护。

## 路径模糊测试

如果_/path_被阻止：

* 尝试使用_**/**_**%2e/path \_(如果访问被代理阻止，这可能会绕过保护)。还可以尝试**\_\*\* /%252e\*\*/path（双重URL编码）。
* 尝试**Unicode绕过**：_/**%ef%bc%8f**path_（URL编码的字符类似于“/”），因此当编码回来时，它将成为_//path_，也许你已经绕过了_path_名称检查。
* **其他路径绕过**：
* site.com/secret –> HTTP 403 Forbidden
* site.com/SECRET –> HTTP 200 OK
* site.com/secret/ –> HTTP 200 OK
* site.com/secret/. –> HTTP 200 OK
* site.com//secret// –> HTTP 200 OK
* site.com/./secret/.. –> HTTP 200 OK
* site.com/;/secret –> HTTP 200 OK
* site.com/.;/secret –> HTTP 200 OK
* site.com//;//secret –> HTTP 200 OK
* site.com/secret.json –> HTTP 200 OK (ruby)
* 在以下情况下使用[**此列表**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/Unicode.txt)：
* /FUZZsecret
* /FUZZ/secret
* /secretFUZZ
* **其他API绕过**：
* /v3/users\_data/1234 --> 403 Forbidden
* /v1/users\_data/1234 --> 200 OK
* {“id”:111} --> 401 Unauthorized
* {“id”:\[111]} --> 200 OK
* {“id”:111} --> 401 Unauthorized
* {“id”:{“id”:111\}} --> 200 OK
* {"user\_id":"\<legit\_id>","user\_id":"\<victims\_id>"} (JSON Parameter Pollution)
* user\_id=ATTACKER\_ID\&user\_id=VICTIM\_ID (Parameter Pollution)

## **参数操纵**

* 更改**参数值**：从**`id=123` --> `id=124`**
* 在URL中添加额外的参数：`?`**`id=124` —-> `id=124&isAdmin=true`**
* 删除参数
* 重新排序参数
* 使用特殊字符。
* 在参数中进行边界测试-提供像_-234_或_0_或_99999999_这样的值（只是一些示例值）。

## **协议版本**

如果使用HTTP/1.1，请尝试使用1.0，甚至测试是否支持2.0。

## **其他绕过方式**

* 获取域的**IP**或**CNAME**，并尝试**直接联系**。
* 尝试**压力测试服务器**，发送常见的GET请求（[这个家伙在Facebook上成功了](https://medium.com/@amineaboud/story-of-a-weird-vulnerability-i-found-on-facebook-fc0875eb5125)）。
* **更改协议**：从http更改为https，或从https更改为http。
* 前往[**https://archive.org/web/**](https://archive.org/web/)，并检查过去该文件是否**全球可访问**。

## **暴力破解**

* **猜测密码**：尝试以下常见凭据。您对受害者了解一些信息吗？或者CTF挑战的名称？
* [**暴力破解**](../../generic-methodologies-and-resources/brute-force.md#http-brute)**：**尝试基本、摘要和NTLM身份验证。

{% code title="常见凭据" %}
```
admin    admin
admin    password
admin    1234
admin    admin1234
admin    123456
root     toor
test     test
guest    guest
```
{% endcode %}

## 自动化工具

* [https://github.com/lobuhi/byp4xx](https://github.com/lobuhi/byp4xx)
* [https://github.com/iamj0ker/bypass-403](https://github.com/iamj0ker/bypass-403)
* [https://github.com/gotr00t0day/forbiddenpass](https://github.com/gotr00t0day/forbiddenpass)
* [Burp扩展 - 403 Bypasser](https://portswigger.net/bappstore/444407b96d9c4de0adb7aed89e826122)
* [Forbidden Buster](https://github.com/Sn1r/Forbidden-Buster)

<figure><img src="../../.gitbook/assets/image (1) (1) (2) (4).png" alt=""><figcaption></figcaption></figure>

[**DragonJAR Security Conference是一场国际网络安全活动**](https://www.dragonjarcon.org/)，已经举办了十多年，将于2023年9月7日至8日在哥伦比亚波哥大举行。这是一个内容丰富的技术活动，展示了最新的西班牙语研究成果，吸引了来自世界各地的黑客和研究人员。\
立即在以下链接注册，不要错过这个重要的会议！:

{% embed url="https://www.dragonjarcon.org/" %}

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* 你在一家**网络安全公司**工作吗？想要在HackTricks中**宣传你的公司**吗？或者想要**获取PEASS的最新版本或下载PDF格式的HackTricks**吗？请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 发现我们的独家[**NFT收藏品**](https://opensea.io/collection/the-peass-family)——[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)，或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**

</details>