开源项目推荐:Gopherus —— SSRF漏洞的终极武器

于 2024-08-08 08:06:07 发布
阅读量909 收藏 10
点赞数 16
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00771/article/details/141013128
版权

开源项目推荐:Gopherus —— SSRF漏洞的终极武器

GopherusThis tool generates gopher link for exploiting SSRF and gaining RCE in various servers项目地址:https://gitcode.com/gh_mirrors/go/Gopherus

在网络安全领域,SSRF(服务器端请求伪造)是一种不容忽视的安全威胁。如果你正在寻找一种能够有效利用SSRF漏洞并进行深度渗透测试的工具,那么Gopherus将会是你必不可少的选择。

项目介绍

Gopherus是一个强大的开源工具,专为安全研究人员和白帽黑客设计,旨在帮助他们生成针对SSRF漏洞的Gopher载荷。无论是远程代码执行(RCE),还是获取目标服务器上的反向Shell,Gopherus都能提供强有力的支持。通过详细的博客了解更多信息,深入探索其功能与技巧。

技术分析

支持多种协议服务

Gopherus覆盖了广泛的协议和服务:

  • MySQL(端口3306)
  • PostgreSQL(端口5432)
  • FastCGI(端口9000)
  • Memcached(端口11211),支持Python、Ruby和PHP反序列化攻击
  • Redis(端口6379)
  • Zabbix(端口10050)
  • SMTP(端口25)

简便的安装与使用

只需简单的几步命令即可完成安装,并且可以通过直观的命令行接口来选择目标服务类型进行攻击准备,简化了整个工作流程。

应用场景

  • 企业网络审计中识别并验证潜在的SSRF风险点。
  • 对于Web应用安全测试而言,Gopherus能辅助检测应用程序对第三方服务调用时是否正确处理用户输入。
  • 红队操作中模拟真实攻击情景,提升防御机制的有效性。

特点概览

  • 高定制性: 根据不同的服务配置,灵活地生成特定类型的Gopher链接。
  • 易上手: 提供详尽的帮助文档和示例,让初次接触者也能迅速掌握使用方法。
  • 多用途: 不仅适用于渗透测试,还能用于日常的安全检查和培训教学。

Gopherus是安全研究领域的前沿利器,无论你是专业安全人员还是有志于此的学习者,它都值得你深入了解和实践。赶紧加入我们,一起开启网络安全的新篇章!

如果你对该项目感兴趣或者有任何疑问建议,请联系作者Tarunkant Gupta(SpyD3r),获取更多详情:

  • 网站: https://spyclub.tech
  • 邮箱: tarunkant05@gmail.com
  • Twitter: https://twitter.com/TarunkantG
  • LinkedIn: https://linkedin.com/in/tarunkant-g-215830129/

此外,参考以下资源以获得更全面的理解:

  • http://legalhackers.com/advisories/vBulletin-SSRF-Vulnerability-Exploit.txt
  • http://blog.safebuff.com/2016/07/03/SSRF-Tips/
  • https://hackerone.com/reports/115748
  • https://www.blackhat.com/docs/us-14/materials/us-14-Novikov-The-New-Page-Of-Injections-Book-Memcached-Injections-WP.pdf
  • https://www.exploit-db.com/exploits/42392/

快来体验Gopherus的强大功能,助力你的安全研究之旅!

GopherusThis tool generates gopher link for exploiting SSRF and gaining RCE in various servers项目地址:https://gitcode.com/gh_mirrors/go/Gopherus

龙肠浪
关注
漏洞挖掘】——35、SSRF工具Gopher载荷构造
Fly_鹏程万里
06-06 33
如果您知道某个地方存在SSRF漏洞,那么这个工具将帮助您生成Gopher载荷以利用SSRF(服务器端请求伪造)和实现RCE(远程代码执行),它还可以帮助您在受害者服务器上获取反向shell。
SSRF 漏洞记录
热门推荐
发哥微课堂
04-02 1万+
0x00:漏洞原理 SSRF(Server-Side Request Forgery)也属于应用层上的一个漏洞类型,用一个最简单的例子来理解这个漏洞:比如一个添加图文的功能,填入标题内容和封面图然后提交在网站前台显示,对于这个功能的图片它除了可以让你上传以外,还支持填入远程图片地址,如果你填入了远程的图片地址,则该网站会加载远程图过来进行显示,而如果程序写法不严谨或者过滤不严格,则加载图片地址的...
SSRF漏洞理解进阶&SSRF+gopher打内网(redis、mysql、fastcgi)& SSRF相关基础概念
东隅的博客
10-25 8475
SSRF漏洞理解进阶&SSRF+gopher打内网(redis、mysql、fastcgi)& SSRF相关基础概念。首先要了解几个概念:内网&外网代理curlgopher、ftp、dict伪协议file_get_contents()、 fsockopen() 、curl_exec() 等函数。
Gopherus-master.zip
11-13
好用的gopher协议工具,两种模式(反弹shell&phpshell),可以自动生成payload,使用payload时请注意再次进行url编码
Gopherus 项目使用教程
最新发布
gitblog_00650的博客
08-08 621
Gopherus 项目使用教程 GopherusThis tool generates gopher link for exploiting SSRF and gaining RCE in various servers项目地址:https://gitcode.com/gh_mirrors/go/Gopherus 项目介绍 Gopherus 是一个开源工具,主要用于生成 Gopher 链接,以利...
gopher协议利用
西部壮仔的博客
11-12 6579
原理 ​ Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它; gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,在构成符合gopher协议的请求。gopher协议
Gopherus工具的下载、使用
weixin_68416970的博客
06-08 1382
Gopherus工具是网络安全领域中针对SSRF漏洞的一种有效利用手段,通过自动化地生成Gopher协议Payload,攻击者能够在一定程度上简化内网资源的探测和利用过程。然而,需要注意的是,此类工具的使用应当严格遵守法律法规,仅在授权情况下用于正当的安全评估目的。
Gopherus项目安装与使用指南
gitblog_00990的博客
08-08 779
Gopherus项目安装与使用指南 GopherusThis tool generates gopher link for exploiting SSRF and gaining RCE in various servers项目地址:https://gitcode.com/gh_mirrors/go/Gopherus 项目概述 Gopherus 是一个基于 GitHub 的开源项目,由 taru...
SSRF漏洞
weixin_49472648的博客
09-02 2306
因为fastcgi一个record的大小是有限的,作用也是单一的,所以我们需要在一个TCP流里传输多个record。PHP-FPM未授权访问漏洞,PHP-FPM默认监听9000端口,如果这个端口暴露在公网,则我们可以自己构造fastcgi协议,和fpm进行通信。也就是接收POST的内容,这个我们可以在FastCGI协议的body控制为恶意代码,这样就在理论上实现了php-fpm任意代码执行的攻击。(1)攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据;
Gopherus-开源
04-13
Gopherus是一个免费的,多平台,控制台模式的gopher客户端,可用于DOS,Linux和Windows。 它为gopherspace提供了经典的文本界面。 虽然主要针对DOS,但也可以使用Windows和Linux的端口。 它们使用SDL2模拟伪终端。
探索Gopherus:Go语言的高效静态代码分析工具
gitblog_00019的博客
03-23 435
探索Gopherus:Go语言的高效静态代码分析工具 GopherusThis tool generates gopher link for exploiting SSRF and gaining RCE in various servers项目地址:https://gitcode.com/gh_mirrors/go/Gopherus 项目简介 是一个开源的、由Go语言编写的静态代码分析工具,旨...
CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
qq_75120258的博客
03-29 2371
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php。FastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
SSRF利用协议中的万金油——Gopher
qq_57172130的博客
08-07 7624
使用gopher协议进一步利用ssrf
Day57:WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
qq_61553520的博客
03-30 1949
小迪安全-Day57:WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
关于gopher协议的ssrf攻击
qq_69775412的博客
04-26 3198
Gopher协议浅析 Gopher协议是internet的一个信息查找系统,俗称万能协议,可以通过gopher访问对应计算机上的其他资源,例如利用gopher实现:GET请求,POST请求,内网的redis,mysql(以及各类关系型数据库)未授权访问,以及MongoDB,Memcache等。 协议详情 端口 默认为70端口,可以自定义 协议格式 gopher://127.0.0.1:70/_[data] “
Kali中常用打靶工具及命令(随时补充)
zg_111的博客
04-14 1912
Gopherus工具是用来专门生成gopher协议的payload工具,通过gopher协议的以及各种被攻击应用的tcp包特点来构造payload。
SSRF工具
mingyqf的博客
11-06 1128
Gopherus - https://github.com/tarunkant/Gopherus Gopherus可以帮助我们直接生成Gopher payload,以利用SSRF(服务器端请求伪造)并获得RCE(远程代码执行), 常用的还有以下两个工具 SSRFmap - https://github.com/swisskyrepo/SSRFmap shellver - https://github.com/0xR0/shellver ......
SSRF利用 Gopher 协议拓展攻击面
BerL1n
11-25 9977
1 概述 Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。 gopher:gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是s...
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHub—SSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龙肠浪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值