大家好👋👋，今天分享我的发现之一“绕过 403 限制并获得管理后台的访问权限”

每当访问某些受限资源时，您通常会收到403-Forbidden消息。

现在要直接放弃吗🤔？显然不是😈，当然是试图打破这些限制来获取敏感数据或访问受限资源。

如何绕过403？

可以你使用修改Header和URL路径来绕过 403 限制。

1. 添加URL路径：在URL和禁止文件的路径中添加
   

   /*
   /%2f/
   /./
   /
   /*/

2. 在请求中添加：请求时在header中添加值为 127.0.0.1 的不同标头也有助于绕过限制。

X-Custom-IP-Authorization
X-Forwarded-For
X-Forward-For
X-Remote-IP
X-Originating-IP
X-Remote-Addr
X-Client-IP
X-Real-IP

参考：https: //github.com/yunemse48/403bypasser

3. 改变请求方法类型：将方法从 GET 更改为 POST 等也可以导致绕过。

参考：https://infosecwriteups.com/403-forbidden-bypass-leads-to-hall-of-fame-ff61ccd0a71e

以上这些是绕过 403 的一般方法，接下来继续我在真实案例中的操作。

我做的步骤：

1）首先访问pagespeed 管理面板位置http://target.com/pagespeed_admin/返回 403-Forbidden。

受限的 Pagespeed 管理面板

2）通过一个自动化 403 绕过工具尝试绕过

链接：https: //github.com/iamj0ker/bypass-403

发现在一种情况下响应代码从 403 -> 200 ，所以我在浏览器中手动测试它并最终绕过！！😈

3）方法是在http://target.com//pagespeed_admin/添加单斜杠绕过 403 并直接获得对 pagespeed admin 的完全访问权限。

BBypassed Pagespeed 管理面板

这就是关于这篇文章的全部内容，希望你喜欢，感谢阅读😊

知识星球

QQ吹牛群

微信群

想成为凯文·米特尼克一模一样的

黑客教父？不存在的

想成为透透之神？醒吧

看了无数入门视频，依然搞不到Shell

不姨看《安全帮Live》

原文始发于微信公众号（安全帮Live）：实战 | 绕过 403获取管理员权限