Gopherus 项目使用教程

于 2024-08-08 07:53:01 发布
阅读量423 收藏 14
点赞数 9
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00650/article/details/141011761
版权

Gopherus 项目使用教程

GopherusThis tool generates gopher link for exploiting SSRF and gaining RCE in various servers项目地址:https://gitcode.com/gh_mirrors/go/Gopherus

项目介绍

Gopherus 是一个开源工具,主要用于生成 Gopher 链接,以利用服务器端请求伪造(SSRF)漏洞并实现远程代码执行(RCE)。该项目在 GitHub 上托管,由 tarunkant 维护。Gopherus 支持多种服务器类型,包括但不限于 MySQL、FastCGI、Redis 等。

项目快速启动

要快速启动 Gopherus 项目,请按照以下步骤操作:

  1. 克隆仓库

    git clone https://github.com/tarunkant/Gopherus.git
cd Gopherus

  2. 安装依赖

    sudo apt-get install ruby-full
sudo gem install bundler
bundle install

  3. 运行工具

    ./gopherus.py --help

以下是一个简单的示例,展示如何生成一个针对 MySQL 的 Gopher 链接:

./gopherus.py --exploit mysql

应用案例和最佳实践

Gopherus 主要用于渗透测试和安全研究。以下是一些应用案例和最佳实践:

  • 渗透测试:在渗透测试过程中,可以使用 Gopherus 生成 Gopher 链接,以测试目标服务器是否存在 SSRF 漏洞。
  • 安全研究:安全研究人员可以使用 Gopherus 来研究不同服务器类型对 SSRF 漏洞的响应,从而更好地理解这些漏洞的利用方式。

最佳实践包括:

  • 谨慎使用:Gopherus 是一个强大的工具,使用时应遵守相关法律法规,仅在授权的环境中使用。
  • 定期更新:保持 Gopherus 和其依赖项的最新状态,以确保工具的安全性和有效性。

典型生态项目

Gopherus 作为安全工具,与以下一些典型的生态项目相关:

  • Metasploit:一个广泛使用的渗透测试框架,可以与 Gopherus 结合使用,以扩展其漏洞利用能力。
  • Burp Suite:一个流行的 Web 应用安全测试工具,可以用于拦截和修改 HTTP 请求,配合 Gopherus 进行更深入的 SSRF 测试。

通过这些生态项目的结合使用,可以更全面地评估和利用 SSRF 漏洞,提高安全测试的效率和深度。

GopherusThis tool generates gopher link for exploiting SSRF and gaining RCE in various servers项目地址:https://gitcode.com/gh_mirrors/go/Gopherus

龚盼韬
关注
  • 9
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SSRF漏洞
weixin_49472648的博客
09-02 1778
因为fastcgi一个record的大小是有限的,作用也是单一的,所以我们需要在一个TCP流里传输多个record。PHP-FPM未授权访问漏洞,PHP-FPM默认监听9000端口,如果这个端口暴露在公网,则我们可以自己构造fastcgi协议,和fpm进行通信。也就是接收POST的内容,这个我们可以在FastCGI协议的body控制为恶意代码,这样就在理论上实现了php-fpm任意代码执行的攻击。(1)攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据;
----已搬运------浅入深出 Fastcgi 协议分析与 PHP-FPM 攻击方法--------学习子自大佬的教程 ftp那里没做完
Zero_Adam的博客
06-12 6696
目录:0. 前面的一些基础知识,从中摘抄的一些。1.利用 fcgi_exp.go 攻击使用条件:2. 本地实验:2.利用 phith0n 大神的 fpm.py3.SSRF 中对 FPM/FastCGI 的攻击使用条件:2. 本地实验:4. FTP - SSRF 攻击 FPM/FastCGI 学习自:WHOAMI大佬的。 过程中有报错,也能够解决了。很棒很棒的教程。!!! 0. 前面的一些基础知识,从中摘抄的一些。 Fastcgi是一个通信协议,和HTTP协议一样,进行数据交换的一个通道。 默认php-fpm
gopher协议利用
西部壮仔的博客
11-12 6446
原理 ​ Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它; gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,在构成符合gopher协议的请求。gopher协议
Windows10完美安装Go环境教程图解
二当家的
01-04 3170
1、首先下载安装golang: 下载安装包,国内地址:https://golang.google.cn/dl/ 直接傻瓜试操作,下一步,下一步 2、验证是否安装成功,cmd里面输入 go version如下图: 3、Window10安装golang环境变量 首先,打开“此电脑”====>属性 如下图 找到“高级系统设置”如下图: 再找到环境变量如下图: 新建系统变量,也就是你的安装目录,比如我安装到F盘,如下图: 最后配制一下go项目目录路径,如...
「每周译Go」Windows 系统的Gopher们久等了!!
Go中国
07-14 326
Windows 系统的用户们久等了 !!周一我们介绍了《如何在 macOS 上安装 Go 和设置本地编程环境的操作》,具体请参考「每周译Go」Hello , Gophers !《How to Code in Go》第二弹来了。今天我们将介绍《如何在 Windows 10 上安装 Go 和设置本地编程环境》,以供不同系统使用者选择学习。话不多说,我们开始 :如何在 Wind...
SSRF工具
mingyqf的博客
11-06 1103
Gopherus - https://github.com/tarunkant/Gopherus Gopherus可以帮助我们直接生成Gopher payload,以利用SSRF(服务器端请求伪造)并获得RCE(远程代码执行), 常用的还有以下两个工具 SSRFmap - https://github.com/swisskyrepo/SSRFmap shellver - https://github.com/0xR0/shellver ......
红队专题-漏洞挖掘代码审计-RCE-SSRF
aming小老弟
11-30 1312
可以进行批量存活扫描和目录扫描 ------>在好几个站下面发现web.zip备份文件。可以看到,传入进来的密码是RSA类型,先进行了一次RSA解密,然后进行了一次DES加密。经过之前的审计,发现了很多接口都存在漏洞,现在成功登录了。岂不是随便getshell。但是登录过程中,密码是RSA加密过后传输的,而后端居然是33位的md5加密。密码传入后,调用了CommFun.EnPwd进行了一次加密。某方法接收了两个参数,却只对一个参数进行了过滤。该方法需要提供绝对路径----->跟踪相关参数。
SSRF之GOPHER协议利用
qq_61553520的博客
05-22 505
GOPHER协议是一种比HTTP协议还要古老的协议,默认工作端口70,但是gopher协议在SSRF漏洞利用上比HTTP协议更有优势。
2024年最全网络安全-SSRF漏洞原理、攻击与防御,2024网络安全开发社招面试解答之性能优化
2401_84264244的博客
05-05 658
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Gopherus-开源
04-13
Gopherus是一个免费的,多平台,控制台模式的gopher客户端,可用于DOS,Linux和Windows。 它为gopherspace提供了经典的文本界面。 虽然主要针对DOS,但也可以使用Windows和Linux的端口。 它们使用SDL2模拟伪终端。
Gopherus-master.zip
11-13
好用的gopher协议工具,两种模式(反弹shell&phpshell),可以自动生成payload,使用payload时请注意再次进行url编码
master kali
09-20
This book is dedicated to the use of Kali Linux in performing penetration tests against networks. A penetration test simulates an attack against a network or a system by a malicious outsider or ...
QTQTQTQTQTQTQTQTQTQTQTQTQTQTQT
最新发布
08-07
QTQTQTQTQTQTQTQTQTQTQTQTQTQTQT
薪酬设计薪资规划与晋升制度.ppt
08-07
薪酬设计薪资规划与晋升制度.ppt
Exaros(艾克萨罗斯),C 语言开发的基于 RISCV 的操作系统.zip
08-07
优质项目,资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目。 本人系统开发经验充足,有任何使用问题欢迎随时与我联系,我会及时为你解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(若有),项目具体内容可查看下方的资源详情。 【附带帮助】: 若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步。 【本人专注计算机领域】: 有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为你提供帮助,CSDN博客端可私信,为你解惑,欢迎交流。 【适合场景】: 相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可以基于此项目进行扩展来开发出更多功能 【无积分此资源可联系获取】 # 注意 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担。 2. 部分字体以及插图等来自网络,若是侵权请联系删除。积分/付费仅作为资源整理辛苦费用。
杰出班组长训练营.ppt
08-07
杰出班组长训练营.ppt
基于Java的视频会议系统模块项目(程序+论文).zip
08-07
JAVA; 毕业设计;MVC模式; JSP; SQL Server 2000 数据库管理系统; J2EE
[毕业设计]VB+Access企业库存管理系统(源代码+论文+开题报告+目录).zip
08-07
[毕业设计]VB+Access企业库存管理系统(源代码+论文+开题报告+目录)
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHub—SSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龚盼韬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值