mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-30 08:30:57 +00:00
3.6 KiB
3.6 KiB
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
CONNECT metoda
U Go programskom jeziku, uobičajena praksa pri rukovanju HTTP zahtevima, posebno korišćenjem net/http
biblioteke, je automatska konverzija putanje zahteva u standardizovan format. Ovaj proces uključuje:
- Putanje koje se završavaju kosom crtom (
/
) poput/flag/
se preusmeravaju na njihovu verziju bez kose crte,/flag
. - Putanje koje sadrže sekvence pretrage direktorijuma poput
/../flag
se pojednostavljuju i preusmeravaju na/flag
. - Putanje sa tačkom na kraju kao što je
/flag/.
takođe se preusmeravaju na čistu putanju/flag
.
Međutim, primećuje se izuzetak pri korišćenju CONNECT
metode. Za razliku od drugih HTTP metoda, CONNECT
ne pokreće proces normalizacije putanje. Ovo ponašanje otvara potencijalnu mogućnost pristupa zaštićenim resursima. Korišćenjem CONNECT
metode zajedno sa opcijom --path-as-is
u curl
-u, moguće je zaobići standardni proces normalizacije putanje i potencijalno pristupiti ograničenim područjima.
Sledeća komanda demonstrira kako iskoristiti ovo ponašanje:
curl --path-as-is -X CONNECT http://gofs.web.jctf.pro/../flag
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju oglašenu u HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.