# 403和401绕过
☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 YouTube 🎥
* 你在一家**网络安全公司**工作吗?想要在HackTricks中看到你的**公司广告**吗?或者你想要获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 发现我们的独家[**NFT收藏品The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
 (1) (2) (4).png)
[**DragonJAR Security Conference是一场国际网络安全活动**](https://www.dragonjarcon.org/),已经举办了十多年,将于2023年9月7日至8日在哥伦比亚波哥大举行。这是一个内容丰富的技术活动,展示了吸引全球黑客和研究人员的最新西班牙语研究成果。
立即在以下链接注册,不要错过这个重要的会议!:
{% embed url="https://www.dragonjarcon.org/" %}
## HTTP动词/方法模糊测试
尝试使用**不同的动词**访问文件:`GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK`
* 检查响应头,可能会提供一些信息。例如,对于带有`Content-Length: 55`的**HEAD响应**,意味着**HEAD动词可以访问信息**。但你仍然需要找到一种方法来提取该信息。
* 使用类似`X-HTTP-Method-Override: PUT`的HTTP头可以覆盖使用的动词。
* 使用**`TRACE`**动词,如果你非常幸运,也许在响应中你还可以看到由中间代理添加的**头部信息**,这可能会有用。
## HTTP头部模糊测试
* 将**Host头部更改**为任意值([在这里有效](https://medium.com/@sechunter/exploiting-admin-panel-like-a-boss-fc2dd2499d31))。
* 尝试[**使用其他用户代理**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/User-Agents/UserAgents.fuzz.txt)访问资源。
* **模糊测试HTTP头部**:尝试使用HTTP代理**头部**、HTTP身份验证基本认证和NTLM暴力破解(仅使用少量组合)以及其他技术。为了做到这一点,我创建了工具[**fuzzhttpbypass**](https://github.com/carlospolop/fuzzhttpbypass)。
* `X-Originating-IP: 127.0.0.1`
* `X-Forwarded-For: 127.0.0.1`
* `X-Forwarded: 127.0.0.1`
* `Forwarded-For: 127.0.0.1`
* `X-Remote-IP: 127.0.0.1`
* `X-Remote-Addr: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `X-Original-URL: 127.0.0.1`
* `Client-IP: 127.0.0.1`
* `True-Client-IP: 127.0.0.1`
* `Cluster-Client-IP: 127.0.0.1`
* `X-ProxyUser-Ip: 127.0.0.1`
* `Host: localhost`
如果**路径受保护**,你可以尝试使用以下其他头部绕过路径保护:
* `X-Original-URL: /admin/console`
* `X-Rewrite-URL: /admin/console`
* 如果页面**位于代理后面**,也许是代理阻止你访问私有信息。尝试滥用[**HTTP请求走私**](../../pentesting-web/http-request-smuggling/) **或** [**逐跳头部**](../../pentesting-web/abusing-hop-by-hop-headers.md)**。**
* 模糊测试[**特殊HTTP头部**](special-http-headers.md)以寻找不同的响应。
* 在模糊测试**HTTP方法**时,**模糊测试特殊HTTP头部**。
* **删除Host头部**,也许你将能够绕过保护。
## 路径模糊测试
如果_/path_被阻止:
* 尝试使用_**/**_**%2e/path \_(如果访问被代理阻止,这可能会绕过保护)。还可以尝试**\_\*\* /%252e\*\*/path(双重URL编码)。
* 尝试**Unicode绕过**:_/**%ef%bc%8f**path_(URL编码的字符类似于“/”),因此当编码回来时,它将成为_//path_,也许你已经绕过了_path_名称检查。
* **其他路径绕过**:
* site.com/secret –> HTTP 403 Forbidden
* site.com/SECRET –> HTTP 200 OK
* site.com/secret/ –> HTTP 200 OK
* site.com/secret/. –> HTTP 200 OK
* site.com//secret// –> HTTP 200 OK
* site.com/./secret/.. –> HTTP 200 OK
* site.com/;/secret –> HTTP 200 OK
* site.com/.;/secret –> HTTP 200 OK
* site.com//;//secret –> HTTP 200 OK
* site.com/secret.json –> HTTP 200 OK (ruby)
* 在以下情况下使用[**此列表**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/Unicode.txt):
* /FUZZsecret
* /FUZZ/secret
* /secretFUZZ
* **其他API绕过**:
* /v3/users\_data/1234 --> 403 Forbidden
* /v1/users\_data/1234 --> 200 OK
* {“id”:111} --> 401 Unauthorized
* {“id”:\[111]} --> 200 OK
* {“id”:111} --> 401 Unauthorized
* {“id”:{“id”:111\}} --> 200 OK
* {"user\_id":"\","user\_id":"\"} (JSON Parameter Pollution)
* user\_id=ATTACKER\_ID\&user\_id=VICTIM\_ID (Parameter Pollution)
## **参数操纵**
* 更改**参数值**:从**`id=123` --> `id=124`**
* 在URL中添加额外的参数:`?`**`id=124` —-> `id=124&isAdmin=true`**
* 删除参数
* 重新排序参数
* 使用特殊字符。
* 在参数中进行边界测试-提供像_-234_或_0_或_99999999_这样的值(只是一些示例值)。
## **协议版本**
如果使用HTTP/1.1,请尝试使用1.0,甚至测试是否支持2.0。
## **其他绕过方式**
* 获取域的**IP**或**CNAME**,并尝试**直接联系**。
* 尝试**压力测试服务器**,发送常见的GET请求([这个家伙在Facebook上成功了](https://medium.com/@amineaboud/story-of-a-weird-vulnerability-i-found-on-facebook-fc0875eb5125))。
* **更改协议**:从http更改为https,或从https更改为http。
* 前往[**https://archive.org/web/**](https://archive.org/web/),并检查过去该文件是否**全球可访问**。
## **暴力破解**
* **猜测密码**:尝试以下常见凭据。您对受害者了解一些信息吗?或者CTF挑战的名称?
* [**暴力破解**](../../generic-methodologies-and-resources/brute-force.md#http-brute)**:**尝试基本、摘要和NTLM身份验证。
{% code title="常见凭据" %}
```
admin admin
admin password
admin 1234
admin admin1234
admin 123456
root toor
test test
guest guest
```
{% endcode %}
## 自动化工具
* [https://github.com/lobuhi/byp4xx](https://github.com/lobuhi/byp4xx)
* [https://github.com/iamj0ker/bypass-403](https://github.com/iamj0ker/bypass-403)
* [https://github.com/gotr00t0day/forbiddenpass](https://github.com/gotr00t0day/forbiddenpass)
* [Burp扩展 - 403 Bypasser](https://portswigger.net/bappstore/444407b96d9c4de0adb7aed89e826122)
* [Forbidden Buster](https://github.com/Sn1r/Forbidden-Buster)
[**DragonJAR Security Conference是一场国际网络安全活动**](https://www.dragonjarcon.org/),已经举办了十多年,将于2023年9月7日至8日在哥伦比亚波哥大举行。这是一个内容丰富的技术活动,展示了最新的西班牙语研究成果,吸引了来自世界各地的黑客和研究人员。\
立即在以下链接注册,不要错过这个重要的会议!:
{% embed url="https://www.dragonjarcon.org/" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
* 你在一家**网络安全公司**工作吗?想要在HackTricks中**宣传你的公司**吗?或者想要**获取PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 发现我们的独家[**NFT收藏品**](https://opensea.io/collection/the-peass-family)——[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**