通过篡改请求方法、Body体、拓展、默认凭证、UA等方法绕过40X页面

admin
admin
admin
138883
文章
114
评论
2024年1月22日15:06:08评论21 views字数 1612阅读5分22秒阅读模式
 

本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。

添加星标不迷路

由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦通过篡改请求方法、Body体、拓展、默认凭证、UA等方法绕过40X页面

关于

通过篡改请求方法、Body体、拓展、默认凭证、UA等方法绕过40X页面

基于Go的40X/HTTP绕过。特征:篡改动词、请求头、#bugbountytips,用户代理,扩展,默认凭据

    __                __ __           
   / /_  __  ______  / // / _  ___  __
  / __ / / / / __ / // /_| |/_/ |/_/
 / /_/ / /_/ / /_/ /__  __/>  <_>  <  
/_.___/__, / .___/  /_/ /_/|_/_/|_|  
      /____/_/

使用方法:

byp4xx <cURL or byp4xx options> <URL or file>

Some cURL options you may use as example:
  -L follow redirections (30X responses)
  -x <ip>:<port> to set a proxy
  -m <seconds> to set a timeout
  -H for new headers. Escape double quotes.
  -d for data in the POST requests body
  -...
  
 Built-in options:
  --all Verbose mode (by default only 2xx and 3xx codes will be prompted)
  -t or --thread Set the maximum threads. Rate limit disabled when threads are enabled. Use carefully.
  --rate Set the maximum reqs/sec. Only one thread enforced, for low rate limits. (5 reqs/sec by default)
  -xV Exclude verb tampering
  -xH Exclude headers
  -xUA Exclude User-Agents
  -xX Exclude extensions
  -xD Exclude default creds
  -xS Exclude CaSe SeNsiTiVe
  -xM Exclude middle paths
  -xE Exclude end paths
  -xB Exclude #bugbountytips

示例如下:

常规用法:

byp4xx http://localhost/test
如果响应不是401,请避免默认信用:
byp4xx -xD http://localhost/test
如果URL以/结尾,请避免结束路径和扩展名:
byp4xx -xE -xX http://localhost/test
设置2秒超时,遵循重定向并使用代理
byp4xx -m 2 -L -x 127.0.0.1:8080 http://localhost/test
自定义头,你应该转义双引号:
byp4xx -H "Authorization: Bearer <JWT>" http://localhost/test
产品特点:
  • 多个HTTP动词/方法
  • #bugbountytips中提到的多种方法
  • 多个标题:Referer,X-Custom-IP-Authorization.
  • 接受任何cURL选项
  • 基于Seclist
    • UserAgents
    • 扩展
    • 默认凭证

项目地址

https://github.com/lobuhi/byp4xx/
 

原文始发于微信公众号(SecHub网络安全社区):通过篡改请求方法、Body体、拓展、默认凭证、UA等方法绕过40X页面

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月22日15:06:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过篡改请求方法、Body体、拓展、默认凭证、UA等方法绕过40X页面https://cn-sec.com/archives/2405959.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息