5.9 KiB
Bypass de límite de velocidad
Utiliza Trickest para construir y automatizar fácilmente flujos de trabajo con las herramientas comunitarias más avanzadas del mundo.
Obtén acceso hoy mismo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres que tu empresa sea anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Obtén el merchandising oficial de PEASS y HackTricks
- Únete al 💬 grupo de Discord o al grupo de Telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.
Utilizando endpoints similares
Si estás atacando el endpoint /api/v3/sign-up
, intenta realizar un ataque de fuerza bruta a /Sing-up
, /SignUp
, /singup
...
También intenta agregar a los endpoints originales bytes como %00, %0d%0a, %0d, %0a, %09, %0C, %20
Caracteres en blanco en el código/parámetros
Intenta agregar algún byte en blanco como %00, %0d%0a, %0d, %0a, %09, %0C, %20
al código y/o parámetros. Por ejemplo, code=1234%0a
o si estás solicitando un código para un correo electrónico y solo tienes 5 intentos, utiliza los 5 intentos para example@email.com
, luego para example@email.com%0a
, luego para example@email.com%0a%0a
, y continúa...
Cambiando el origen de la IP utilizando encabezados
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1
#or use double X-Forwared-For header
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
Si están limitando a 10 intentos por IP, cada 10 intentos cambia la IP dentro del encabezado.
Cambiar otros encabezados
Intenta cambiar el user-agent, las cookies... cualquier cosa que pueda identificarte.
Agregar parámetros adicionales a la ruta
Si el límite está en la ruta /resetpwd
, intenta forzar esa ruta y una vez alcanzado el límite de velocidad, intenta /resetpwd?someparam=1
.
Iniciar sesión en tu cuenta antes de cada intento
Tal vez si inicias sesión en tu cuenta antes de cada intento (o cada conjunto de X intentos), el límite de velocidad se reinicia. Si estás atacando una funcionalidad de inicio de sesión, puedes hacer esto en Burp utilizando un ataque Pitchfork configurando tus credenciales cada X intentos (y marcando seguir redireccionamientos).
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Obtén el swag oficial de PEASS y HackTricks
- Únete al 💬 grupo de Discord o al grupo de Telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.
Utiliza Trickest para construir y automatizar flujos de trabajo con las herramientas comunitarias más avanzadas del mundo.
Obtén acceso hoy mismo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}