AS
Примеры как работает
Size: a a a
2019 October 25
PP
ipv6 или алиас пробовали?
k
https://github.com/buglloc/http-nose
у нас коллега целый тестиовый фреймворк для этого делал
у нас коллега целый тестиовый фреймворк для этого делал
AS
да, не кактит
AS
https://github.com/buglloc/http-nose
у нас коллега целый тестиовый фреймворк для этого делал
у нас коллега целый тестиовый фреймворк для этого делал
Клевые наушник, спасибо гляну!
AS
@i_bo0om еще технику 0дей скиунл, модет доресчат доклад сделают)
PP
можно попробовать еще с пробелами и табами поффазить, как
https://portswigger.net/web-security/request-smugglingс TE.TE кейсом
AS
можно попробовать еще с пробелами и табами поффазить, как
https://portswigger.net/web-security/request-smugglingс TE.TE кейсом
угу
AS
сделал
AS
Клевые наушник, спасибо гляну!
Документации не хватает)
S
Alexey Sintsov, [25.10.19 12:44]
X-Forwarded-For: 127.0.2.1, 127.0.1.1
Alexey Sintsov, [25.10.19 12:44]
Error: is not allowed to login from remote address: 127.0.2.1
Alexey Sintsov, [25.10.19 12:45]
а 127.0.0.1 перетирает
Alexey Sintsov, [25.10.19 12:45]
X-Forwarded-For: 127.0.0.1, 127.0.3.1
Alexey Sintsov, [25.10.19 12:46]
Error: is not allowed to login from remote address: 127.0.3.1
X-Forwarded-For: 127.0.2.1, 127.0.1.1
Alexey Sintsov, [25.10.19 12:44]
Error: is not allowed to login from remote address: 127.0.2.1
Alexey Sintsov, [25.10.19 12:45]
а 127.0.0.1 перетирает
Alexey Sintsov, [25.10.19 12:45]
X-Forwarded-For: 127.0.0.1, 127.0.3.1
Alexey Sintsov, [25.10.19 12:46]
Error: is not allowed to login from remote address: 127.0.3.1
хм, а сервак от всех что-ли принимает X-Forwarded-For, а не только от доверенного списка IP ?
AS
в этом же идея хака
AS
заспуфить локалхост и получить админ доступ)
ZD
Alexey Sintsov, [25.10.19 12:44]
X-Forwarded-For: 127.0.2.1, 127.0.1.1
Alexey Sintsov, [25.10.19 12:44]
Error: is not allowed to login from remote address: 127.0.2.1
Alexey Sintsov, [25.10.19 12:45]
а 127.0.0.1 перетирает
Alexey Sintsov, [25.10.19 12:45]
X-Forwarded-For: 127.0.0.1, 127.0.3.1
Alexey Sintsov, [25.10.19 12:46]
Error: is not allowed to login from remote address: 127.0.3.1
X-Forwarded-For: 127.0.2.1, 127.0.1.1
Alexey Sintsov, [25.10.19 12:44]
Error: is not allowed to login from remote address: 127.0.2.1
Alexey Sintsov, [25.10.19 12:45]
а 127.0.0.1 перетирает
Alexey Sintsov, [25.10.19 12:45]
X-Forwarded-For: 127.0.0.1, 127.0.3.1
Alexey Sintsov, [25.10.19 12:46]
Error: is not allowed to login from remote address: 127.0.3.1
Можно попробовать 127.1 127.0.1,
Восьмеричное или шестнадцатиричные представления.
DNS-rebidding
Тайваньские техники @@##: на обход парсера ака New era SSRF
Восьмеричное или шестнадцатиричные представления.
DNS-rebidding
Тайваньские техники @@##: на обход парсера ака New era SSRF
AS
Zakhar D4D
Можно попробовать 127.1 127.0.1,
Восьмеричное или шестнадцатиричные представления.
DNS-rebidding
Тайваньские техники @@##: на обход парсера ака New era SSRF
Восьмеричное или шестнадцатиричные представления.
DNS-rebidding
Тайваньские техники @@##: на обход парсера ака New era SSRF
да, спасибо, к сожаления не пашет
GD
гайз, кто-то делал Json на HTB? Не могу пейлоад докрутить уже овердохера часов
A
Gott sei Dank
гайз, кто-то делал Json на HTB? Не могу пейлоад докрутить уже овердохера часов
Я сделалЪ
ZD
да, спасибо, к сожаления не пашет
Как вариант нужен другой заголовок, например, X-Real-Ip X-Forwarded-Host etc (чем там ещё Waf обходят в наше время)
AS
Zakhar D4D
Как вариант нужен другой заголовок, например, X-Real-Ip X-Forwarded-Host etc (чем там ещё Waf обходят в наше время)
Пробовал