网安 - 专业的网络安全产业、社区、知识平台

渗透测试中403/401页面绕过的思路总结

VSole2023-03-07 09:43:50

做渗透时经常会碰到扫到的资产403的情况,特别是资产微乎其微的情况下,面试有时也会问到,这里做个总结!

利用姿势

1.端口利用

故事扫描主机端口,其它开放web服务的端口,访问其端口,挑软柿子

2.修改HOST

Host在请求头中的作用:在一般情况下,几个网站可能会部署在同一个服务器上,或者几个 web 系统共享一个服务器,通过host头来指定应该由哪个网站或者web系统来处理用户的请求。

而很多WEB应用通过获取HTTP HOST头来获得当前请求访问的位置,但是很多开发人员并未意识到HTTP HOST头由用户控制,从安全角度来讲,任何用户输入都是认为不安全的。

修改客户端请求头中的 Host 可以通过修改 Host 值修改为子域名或者ip来绕过来进行绕过二级域名;

首先对该目标域名进行子域名收集,整理好子域名资产(host字段同样支持IP地址)。

先Fuzz测试跑一遍收集到的子域名,这里使用的是Burp的Intruder功能。若看到一个服务端返回200的状态码,即表面成功找到一个在HOST白名单中的子域名。我们利用firefox插件来修改HOST值,成功绕过访问限制。

3.覆盖请求 URL

尝试使用 X-Original-URL 和 X-Rewrite-URL 标头绕过 Web 服务器的限制。

通过支持 X-Original-URL 和 X-Rewrite-URL 标头,用户可以使用 X-Original-URL 或 X-Rewrite-URL HTTP 请求标头覆盖请求 URL 中的路径,尝试绕过对更高级别的缓存和 Web 服务器的限制

RequestGET /auth/login HTTP/1.1ResponseHTTP/1.1 403 Forbidden
ReqeustGET / HTTP/1.1X-Original-URL: /auth/loginResponseHTTP/1.1 200 OK
or:
ReqeustGET / HTTP/1.1X-Rewrite-URL: /auth/loginResponseHTTP/1.1 200 OK

4.Referer 标头绕过

尝试使用 Referer 标头绕过 Web 服务器的限制。

介绍:Referer 请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用 Referer 请求头识别访问来源。

RequestGET /auth/login HTTP/1.1Host: xxxResponseHTTP/1.1 403 Forbidden
ReqeustGET / HTTP/1.1Host: xxxReFerer:https://xxx/auth/loginResponseHTTP/1.1 200 OK
or
ReqeustGET /auth/login HTTP/1.1Host: xxxReFerer:https://xxx/auth/loginResponseHTTP/1.1 200 OK

5.代理 IP

一般开发者会通过 Nginx 代理识别访问端 IP 限制对接口的访问,尝试使用 X-Forwarded-For、X-Forwared-Host 等标头绕过 Web 服务器的限制。

X-Originating-IP: 127.0.0.1X-Remote-IP: 127.0.0.1X-Client-IP: 127.0.0.1X-Forwarded-For: 127.0.0.1X-Forwared-Host: 127.0.0.1X-Host: 127.0.0.1X-Custom-IP-Authorization: 127.0.0.1
如:
RequestGET /auth/login HTTP/1.1ResponseHTTP/1.1 401 Unauthorized
ReqeustGET /auth/login HTTP/1.1X-Custom-IP-Authorization: 127.0.0.1ResponseHTTP/1.1 200 OK

6.扩展名绕过

基于扩展名,用于绕过 403 受限制的目录。 

site.com/admin => 403site.com/admin/ => 200site.com/admin// => 200site.com//admin// => 200site.com/admin/* => 200site.com/admin/*/ => 200site.com/admin/. => 200site.com/admin/./ => 200site.com/./admin/./ => 200site.com/admin/./. => 200site.com/admin/./. => 200site.com/admin? => 200site.com/admin?? => 200site.com/admin??? => 200site.com/admin..;/ => 200site.com/admin/..;/ => 200site.com/%2f/admin => 200site.com/%2e/admin => 200site.com/admin%20/ => 200site.com/admin%09/ => 200site.com/%20admin%20/ => 200

7.扫描的时候

遇到 403 了,上目录扫描工具,扫目录,扫文件( 记住,扫描的时候要打开探测403,因为有些网站的目录没有权限访问会显示403,但是在这个目录下面的文件,我们或许能扫描到并访问 )

8.最后补充再一些401和403 bypass的tips(由HACK学习整理补充)

Github上一些bypass 403的脚本


https://github.com/sting8k/BurpSuite_403Bypasserhttps://github.com/yunemse48/403bypasserhttps://github.com/devploit/dontgo403https://github.com/daffainfo/bypass-403

以及403bypass的wiki


https://kathan19.gitbook.io/howtohunt/status-code-bypass/403bypass

渗透测试host
本作品采用《CC 协议》,转载必须注明作者和本文链接
渗透测试情报收集工具
2022-08-18 08:48:42
渗透测试情报收集工具
渗透测试中403/401页面绕过的思路
2023-05-04 09:21:07
先Fuzz测试跑一遍收集到的子域名,这里使用的是Burp的Intruder功能。若看到一个服务端返回200的状态码,即表面成功找到一个在HOST白名单中的子域名。和 X-Rewrite-URL 标头绕过 Web 服务器的限制。通过支持 X-Original-URL 和 X-Rewrite-URL 标头,用户可以使用 X-Original-URL 或 X-Rewrite-URL HTTP 请求标头覆盖请求 URL 中的路径,尝试绕过对更高级别的缓存和 Web 服务器的限制Request
渗透测试中403/401页面绕过的思路总结
2023-03-07 09:43:50
服务端一般使用 Referer 请求头识别访问来源。
渗透测试|玩转网络空间搜索引擎
2022-12-26 14:44:36
常用的网络空间搜索引擎:fofa、shodan、zoomeye、censys常见网络空间搜索引擎介绍网络空间搜索引擎有哪些目前国内外的网络空间搜索引擎有 shodan、zoomeye、cnesys、fofa,下面一一介绍。shodanShodan 是目前最为知名的黑客搜索引擎,它是由计算机程序员约翰·马瑟利于 2009 年推出的,他在 2003 年就提出了搜索与 Internet 链接的设备的想法。发展至今已经变成搜索资源最全,搜索性能最强,TOP1 级别的网络资产搜索引擎。# 搜索指定的主机或域名,例如 hostname:"google"
渗透测试 | 用友各种漏洞整理
2021-07-12 15:13:31
前段时间参加攻防演练的时候,发现目标系统有很多都使用了用友的产品,故整理一篇关于用友漏洞的文章。
渗透测试之冷门语言的利用
2022-07-18 08:00:00
主要介绍种被使用的不多的冷门语言来减少一些对抗AV的难度,就像现在的Nim和之前的Go、Python同理。
渗透测试之windows系统提权总结
2022-07-16 22:52:38
起因,由于前几天拿了一个菠菜站的webshell,但是只有iis权限,执行无法创建用户等操作,更无法对整个服务器进行控制了,于是此时便需要提权了,对于一个刚刚入门的小白来说,此刻真正意识到了提权的重要性,于是便开始学习提取相关知识,以拿下该菠菜的站点。提权前的准备工作1,通常来说,不同的脚本所处的权限是不一样的。
渗透测试Tips
2022-04-13 06:38:50
知己知彼,百战不殆1、如果提示缺少参数,如{msg:params error},可尝使用字典模糊测试构造参数,进一步攻击。
VSole
网络安全专家