Go v1.15+
发布版本
源码安装
git clone https://github.com/devploit/nomore403
cd nomore403
go get
go build
./nomore403 -h
Command line application that automates different ways to bypass 40X codes.
Usage:
nomore403 [flags]
Flags:
-i, --bypass-ip(字符串):使用一个指定的IP地址或主机名实现访问控制绕过,将这个IP注入到类似'X-Forwarded-For'的Header中;
-d, --delay(整型):指定请求之间的延迟时间,单位为毫秒,默认为0ms;
-f, --folder(字符串):指定Payload的目录路径;
-H, --header(字符串):为请求添加一个或多个自定义Header;
-h, --help:查看工具帮助信息;
--http:使用HTTP发送请求;
-t, --http-method(字符串):指定请求使用的HTTP方法,默认为'GET';
-m, --max-goroutines(整型):限制并发goroutines的最大数量,默认为50;
--no-banner:禁用现实启动Banner,默认为banner shown;
-x, --proxy(字符串):指定请求使用的代理服务器,例如'http://server:port';
--random-agent:使用随机选择的User-Agent;
-l, --rate-limit:遇到429 HTTP状态码时停止请求;
-r, --redirect:自动跟踪请求中的重定向;
--request-file(字符串):从指定文件加载配置和参数选项;
-k, --technique(字符串):指定要使用的技术策略,默认为[verbs,verbs-case,headers,endpaths,midpaths,http-versions,path-case];
--timeout(整型):指定最大超时时间,单位为ms,默认为6000;
-u, --uri(字符串):指定请求的目标URL地址;
-a, --user-agent(字符串):指定请求使用的自定义User-Agent字符串,默认为'nomore403';
-v, --verbose:启用Verbose模式输出详细的请求/响应日志;
./nomore403 -u https://domain.com/admin
Verbose模式+代理+指定技术策略
./nomore403 -u https://domain.com/admin -x http://127.0.0.1:8080 -k headers,http-versions -v
./nomore403 --request-file request.txt
使用自定义Header+指定IP地址实现绕过
./nomore403 -u https://domain.com/admin -H "Environment: Staging" -b 8.8.8.8
设置最大goroutines+添加请求之间的延迟
./nomore403 -u https://domain.com/admin -m 10 -d 200
原文始发于微信公众号(FreeBuf):如何使用NoMore403在网络安全评估中绕过HTTP 40X错误
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论