403绕过技巧

前言

偶然刷到一个非常有趣且自己曾经遇到过的漏洞案例，当时是工具Fuzz偶然发现，觉得是运气成分占比较多，直到后面，才意识到原来漏洞的多样性是可以与生物多样式相媲美的，下面让我们一起开始来好好学习吧。

正文

我将分享我是如何成功绕过某个 API 上的 403 Forbidden 限制的技巧。

我当时在参与一个私人漏洞赏金项目。在对子域名进行 fuzz（模糊测试）时，我发现了一些“子子域名”，其中一个域名是 admin.redacted.com，它引起了我的注意。

出于隐私考虑，我们假设目标组织为 redacted.com。当我尝试访问该域名时，收到了一个 403 Forbidden 响应。

我对这个子域名产生了浓厚兴趣，于是将我的 FFUF 工具设置为递归模式开始 fuzz。过了一段时间，我发现了一些空目录，例如：

https://admin.redacted.com/cpanel/view-credentials/，

但我依然收到 403 Forbidden 响应。

我下定决心要绕过这个 403，于是我迅速尝试使用 Python 工具 [byp4xx] 和 Bash 工具 [bypass-403]，但都没能成功。我还尝试了一些常见技巧，比如 URL 大小写变换、伪造 X-Forwarded-IP、修改 User-Agent，但这些方法对我来说都没有奏效。

这个时候我感觉自己可能只是在浪费时间，但我还是决定试试看能否找到一些隐藏参数。

我使用 param-miner 工具对该接口进行测试，仅仅几分钟内我就发现了一个参数：[userId]，但我既没有用户 ID，也不知道这个参数的有效值。

思考片刻后，我决定使用 [waybackurls] 工具，从 Wayback Machine 上抓取了 admin.redacted.com 的所有历史 URL。由于 URL 太多无法一一手动检查，我用 grep 命令筛选了含有 "?userId=" 的 URL，果然找到了几个泄露 userId 的链接。

我顿时非常兴奋，立刻构造了一个 [POST] 请求，把 userId 放在请求体中发送，但返回的是 404 错误。

尽管如此，我仍然坚定要绕过这个 403 Forbidden。

突然我灵机一动，想着换个请求方式，于是将请求改为 [GET]，并将 userId 作为 URL 参数发送，结果依然返回 403 Forbidden。

发送了一个 GET 请求，结果竟然返回了 200 OK！没错，就这么简单，我当时又惊又喜，仿佛运气突然来了。

发生了什么？！为了搞清楚原因，我再次发送相同的 GET 请求，结果这次又收到了 403 Forbidden。

我意识到事情没那么简单……于是我开始查看自己在 Burp 中的请求日志，逐条认真比对，但依然无法从请求头或参数中看出为什么服务器会返回一次 200 OK。

花了我几个小时分析后，我终于发现了真正的原因：

每连续发送 12 个未经授权（返回 403 Forbidden）的请求后，接下来的 4 个请求会返回 200 OK，从而绕过了认证限制。

我立刻整理了一份报告并提交了该漏洞问题。对方响应非常迅速，在一周内就修复了漏洞。

该漏洞被评定为 P2 - 高危（High Severity），因为该页面暴露了管理员数据。我因此获得了 1800 美元的赏金奖励。

thanks for：https://medium.com/@driccosec/403-forbidden-bypass-leading-to-admin-endpoint-access-b696a36665ed

点评

这个漏洞相比我以前遇到的那个漏洞还不算很明显，因为返回的Server信息是一致的，而我以前遇到的漏洞，返回的信息是不一致的。

所以我当时就猜到后端可能是有负载均衡，当然一般来说，做的比较好的负载均衡系统，你一般也很难看出来返回头不一样。

至于真正的漏洞成因，其实也有很多种可能性，但我个人觉得这类型的漏洞很多时候是因为负载均衡的后端服务存在差异导致的，当然你说有没有可能是代码出现问题，导致意外"放行"未授权请求也是可能的。

最后，如果想要挖到这类型漏洞，你觉得需不需要运气成分呢？ 你有什么样的实力能覆盖掉这种漏洞？

原文始发于微信公众号（迪哥讲事）：403绕过技巧