hacktricks/network-services-pentesting/pentesting-web/403-and-401-bypasses.md

155 lines
9.1 KiB
Markdown
Raw Normal View History

# Bypass-ovi 403 & 401
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 13:11:20 +00:00
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 13:11:20 +00:00
Drugi načini podrške HackTricks-u:
2024-01-02 18:28:27 +00:00
* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
2024-02-10 13:11:20 +00:00
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**Porodicu PEASS**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
2022-04-28 16:01:33 +00:00
</details>
<figure><img src="../../.gitbook/assets/image (14).png" alt=""><figcaption></figcaption></figure>
**Instantno dostupno podešavanje za procenu ranjivosti & testiranje proboja**. Pokrenite kompletan pentest od bilo kog mesta sa 20+ alata i funkcija koje idu od rekonstrukcije do izveštavanja. Mi ne zamenjujemo pentestere - mi razvijamo prilagođene alate, detekciju & module za eksploataciju kako bismo im vratili neko vreme da dublje kopaju, otvaraju školjke i zabavljaju se.
2024-01-11 13:23:18 +00:00
{% embed url="https://pentest-tools.com/" %}
## Faziranje HTTP glagola/metoda
2024-02-10 13:11:20 +00:00
Pokušajte koristiti **različite glagole** za pristup fajlu: `GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK`
2024-02-10 13:11:20 +00:00
* Proverite odgovor zaglavlja, možda se može dobiti neke informacije. Na primer, **200 odgovor** na **HEAD** sa `Content-Length: 55` znači da **HEAD glagol može pristupiti informacijama**. Ali i dalje morate pronaći način da te informacije izvučete.
* Korišćenje HTTP zaglavlja poput `X-HTTP-Method-Override: PUT` može prebrisati korišćeni glagol.
* Koristite **`TRACE`** glagol i ako imate sreće možda u odgovoru možete videti i **zaglavlja dodata od strane posredničkih proxy-ja** što može biti korisno.
2024-02-10 13:11:20 +00:00
## Faziranje HTTP zaglavlja
2024-02-10 13:11:20 +00:00
* **Promenite Host zaglavlje** u neku proizvoljnu vrednost ([koja je ovde radila](https://medium.com/@sechunter/exploiting-admin-panel-like-a-boss-fc2dd2499d31))
* Pokušajte [**koristiti druge korisničke agente**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/User-Agents/UserAgents.fuzz.txt) za pristup resursu.
* **Fazirajte HTTP zaglavlja**: Pokušajte korišćenje HTTP Proxy **zaglavlja**, HTTP Authentication Basic i NTLM brute-force (samo sa nekoliko kombinacija) i druge tehnike. Za sve ovo sam kreirao alat [**fuzzhttpbypass**](https://github.com/carlospolop/fuzzhttpbypass).
2024-02-10 13:11:20 +00:00
* `X-Originating-IP: 127.0.0.1`
* `X-Forwarded-For: 127.0.0.1`
* `X-Forwarded: 127.0.0.1`
* `Forwarded-For: 127.0.0.1`
* `X-Remote-IP: 127.0.0.1`
* `X-Remote-Addr: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `X-Original-URL: 127.0.0.1`
* `Client-IP: 127.0.0.1`
* `True-Client-IP: 127.0.0.1`
* `Cluster-Client-IP: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `Host: localhost`
Ako je **putanja zaštićena** možete pokušati da zaobiđete zaštitu putanje koristeći ova druga zaglavlja:
2024-02-10 13:11:20 +00:00
* `X-Original-URL: /admin/console`
* `X-Rewrite-URL: /admin/console`
* Ako je stranica **iza proxy-ja**, možda je proxy taj koji vam sprečava pristup privatnim informacijama. Pokušajte zloupotrebiti [**HTTP Request Smuggling**](../../pentesting-web/http-request-smuggling/) **ili** [**hop-by-hop zaglavlja**](../../pentesting-web/abusing-hop-by-hop-headers.md)**.**
* Fazirajte [**specijalna HTTP zaglavlja**](special-http-headers.md) tražeći različite odgovore.
* **Fazirajte specijalna HTTP zaglavlja** dok fazirate **HTTP Metode**.
* **Uklonite Host zaglavlje** i možda ćete moći da zaobiđete zaštitu.
2024-02-10 13:11:20 +00:00
## Faziranje Putanje
2024-02-10 13:11:20 +00:00
Ako je _/putanja_ blokirana:
* Pokušajte koristiti _**/**_**%2e/putanja \_(ako je pristup blokiran od strane proxy-ja, ovo bi moglo da zaobiđe zaštitu). Pokušajte takođe**\_\*\* /%252e\*\*/putanja (dvostruko URL enkodirano)
* Pokušajte **Unicode zaobilaženje**: _/**%ef%bc%8f**putanja_ (URL enkodirani karakteri su poput "/") tako da kada se enkodiraju nazad biće _//putanja_ i možda ste već zaobišli proveru imena _/putanja_
2024-02-10 13:11:20 +00:00
* **Druga zaobilaženja putanje**:
* sajt.com/tajna > HTTP 403 Forbidden
* sajt.com/TAJNA > HTTP 200 OK
* sajt.com/tajna/ > HTTP 200 OK
* sajt.com/tajna/. > HTTP 200 OK
* sajt.com//tajna// > HTTP 200 OK
* sajt.com/./tajna/.. > HTTP 200 OK
* sajt.com/;/tajna > HTTP 200 OK
* sajt.com/.;/tajna > HTTP 200 OK
* sajt.com//;//tajna > HTTP 200 OK
* sajt.com/tajna.json > HTTP 200 OK (ruby)
* Koristite sve [**ovu listu**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/Unicode.txt) u sledećim situacijama:
* /FUZZtajna
* /FUZZ/tajna
* /tajnaFUZZ
* **Druga API zaobilaženja:**
* /v3/podaci\_korisnika/1234 --> 403 Forbidden
* /v1/podaci\_korisnika/1234 --> 200 OK
* {“id”:111} --> 401 Neovlašćeno
2024-02-10 13:11:20 +00:00
* {“id”:\[111]} --> 200 OK
* {“id”:111} --> 401 Neovlašćeno
2024-02-10 13:11:20 +00:00
* {“id”:{“id”:111\}} --> 200 OK
* {"user\_id":"\<legit\_id>","user\_id":"\<victims\_id>"} (Zagađenje JSON parametara)
* user\_id=ID_NAPADACA\&user\_id=ID_ZRTVE (Zagađenje parametara)
2024-02-10 13:11:20 +00:00
## **Manipulacija parametrima**
* Promenite **vrednost parametra**: Od **`id=123` --> `id=124`**
2024-02-10 13:11:20 +00:00
* Dodajte dodatne parametre u URL: `?`**`id=124` —-> `id=124&isAdmin=true`**
* Uklonite parametre
* Preuredite parametre
* Koristite specijalne karaktere.
* Izvršite testiranje granica u parametrima - pružite vrednosti poput _-234_ ili _0_ ili _99999999_ (samo neke primer vrednosti).
2024-02-10 13:11:20 +00:00
## **Verzija protokola**
Ako koristite HTTP/1.1 **pokušajte da koristite 1.0** ili čak testirajte da li **podržava 2.0**.
2024-02-10 13:11:20 +00:00
## **Ostali načini zaobilaženja**
2024-02-10 13:11:20 +00:00
* Dobijte **IP** ili **CNAME** domena i pokušajte da ga **kontaktirate direktno**.
2024-02-10 13:11:20 +00:00
* Pokušajte da **opteretite server** slanjem uobičajenih GET zahteva ([To je uspelo ovom momku sa Facebookom](https://medium.com/@amineaboud/story-of-a-weird-vulnerability-i-found-on-facebook-fc0875eb5125)).
* **Promenite protokol**: od http do https, ili sa https na http
* Idite na [**https://archive.org/web/**](https://archive.org/web/) i proverite da li je ta datoteka **bila dostupna širom sveta** u prošlosti.
2021-09-19 15:52:48 +00:00
2022-05-01 13:25:53 +00:00
## **Brute Force**
2021-09-19 15:52:48 +00:00
* **Pogodite lozinku**: Testirajte sledeće uobičajene akreditive. Da li znate nešto o žrtvi? Ili ime izazova CTF?
2024-02-10 13:11:20 +00:00
* [**Brute force**](../../generic-methodologies-and-resources/brute-force.md#http-brute)**:** Pokušajte osnovnu, digest i NTLM autentifikaciju.
2022-05-01 13:25:53 +00:00
{% code title="Uobičajeni akreditivi" %}
2022-05-01 13:25:53 +00:00
```
admin admin
admin password
admin 1234
admin admin1234
admin 123456
root toor
test test
guest guest
```
{% endcode %}
2024-02-10 13:11:20 +00:00
## Automatski alati
2022-04-22 08:32:18 +00:00
* [https://github.com/lobuhi/byp4xx](https://github.com/lobuhi/byp4xx)
* [https://github.com/iamj0ker/bypass-403](https://github.com/iamj0ker/bypass-403)
* [https://github.com/gotr00t0day/forbiddenpass](https://github.com/gotr00t0day/forbiddenpass)
2024-02-10 13:11:20 +00:00
* [Burp Ekstenzija - 403 Bypasser](https://portswigger.net/bappstore/444407b96d9c4de0adb7aed89e826122)
2023-10-21 12:30:38 +00:00
* [Forbidden Buster](https://github.com/Sn1r/Forbidden-Buster)
2022-04-28 16:01:33 +00:00
<figure><img src="../../.gitbook/assets/image (14).png" alt=""><figcaption></figcaption></figure>
**Trenutno dostupno podešavanje za procenu ranjivosti i testiranje proboja**. Pokrenite kompletan pentest od bilo kog mesta sa preko 20 alata i funkcija koje idu od izviđanja do izveštavanja. Ne zamenjujemo pentestere - razvijamo prilagođene alate, module za otkrivanje i eksploataciju kako bismo im vratili nešto vremena da dublje kopaju, otvaraju ljuske i zabavljaju se.
2024-01-11 13:23:18 +00:00
{% embed url="https://pentest-tools.com/" %}
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 13:11:20 +00:00
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
Drugi načini podrške HackTricks-u:
2024-01-02 18:28:27 +00:00
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** Proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
2024-02-10 13:11:20 +00:00
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
2024-02-10 13:11:20 +00:00
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
2022-04-28 16:01:33 +00:00
</details>