【网络安全 | HTTP】 gopher协议原理、语法及利用总结

已于 2025-09-14 08:31:15 修改
阅读量1.2w 收藏 13
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: web安全 gopher协议
于 2023-08-01 23:03:11 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/132052102
本文介绍了Gopher协议的历史、工作原理,以及其在早期互联网中的作用。着重讲述了如何利用Gopher协议进行内网攻击,包括对Redis、Mysql等服务的潜在威胁。同时,文中给出了Gopher协议的语法示例和实际应用案例,强调了网络安全防范的重要性。

文章目录

什么是gopher协议

Gopher协议是一种早期的互联网协议,用于在网络上获取文本信息。它于1991年提出,旨在提供一种简单、高效的方式来浏览和访问文件。

Gopher协议使用类似于文件系统的层次结构来组织数据,其中每个项目都有一个唯一的标识符。通过Gopher客户端软件,用户可以浏览目录并选择下载或查看文件。Gopher服务器可以提供文本文件、图像文件、二进制文件等。

与HTTP相比,Gopher协议具有更简单的设计和较少的功能。它基于传输控制协议(TCP)进行通信,默认端口号为70。然而,随着万维网的崛起和HTTP的普及,Gopher协议逐渐被取代。

gopher协议利用

利用gopher协议可以攻击内网的 Redis、Mysql、FastCGI、Ftp 等,也可以发送 GET、POST 请求,这可以拓宽 SSRF 的攻击面。

语法

gopher协议的格式通常为:

gopher://hostname:port/请求方法(get、post等)/path

其中,hostname 表示 Gopher 服务器的主机名或 IP 地址,port 表示 Gopher 服务器监听的端口号(默认为 70),而 path 则是资源的路径。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 1万+
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
关于gopher协议
xiaoka__的博客
11-09 1751
一、gopher协议的使用方法(注意请求开头加个_或任意字符),例如/_,不然会丢失一个字节) 使用Gopher协议发送一个请求,环境为:nc起一个监听,curl发送gopher请求 nc启动监听,监听2333端口: root@Ubuntu ~# nc -lp 2333 使用curl发送http请求,命令为 root@kali ~# curl gopher://192.168.17.129:2333/abcd 此时nc收到的消息为: root@Ubuntu ~# nc -lp 2333 bcd 可以发
CTFHub技能树笔记之SSRF:POST请求、文件上传
weixin_48799157的博客
04-03 9915
知识点: 1.什么是gopher协议 1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。 2.它只支持文本,不支持图像 3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。 2.gopher使用结
gopher在ssrf中的应用
2302_76827504的博客
04-10 412
gopherhttp协议出现以前常用的协议。它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。它可以发送GET、POST请求,攻击内网的redis以及ftp。
gopher协议
qq_50613938的博客
11-02 1156
gopher协议gopher协议 :互联网上使用的分布型的文件搜集获取网络协议,是一种分布式文档传递服务。利用该服务,用户可以无缝地浏览、搜索和检索驻留在不同位置的信息 使用方法:gopher://ip:port/_payload Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端
Gopher协议
qq_43665434的博客
03-26 4762
Gopher协议 本文参考Margin大佬文章 什么是Gopher协议? 定义:Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它; gopher协议支持发出GET、POST请求:可以先截获get请
DAY57WEB 攻防-SSRF 服务端请求&Gopher协议&无回显利用&黑白盒挖掘&业务功能点
m0_74402888的博客
10-19 1113
一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。Web常见访问,如http://127.0.0.1、http://127.0.0.1:8080、http://192.168.1.1、http://192.168.1.2等。可以防止类似于file:///,gopher://,ftp:// 等引起的问题。从文件系统中获取文件内容,如,file:///etc/passwd、file:///D:/1.txt。file:/// 从文件系统中获取文件内容,如,file:///etc/passwd。
Linux网络协议原理
流楚丶格念的博客
07-28 4587
文章目录网络协议术语简介组成要素工作方式层次结构层次划分常用协议TCP/IP协议NetBEUIIPX/SPX协议划分网络安全协议 网络协议 网络协议为计算机网络中进行数据交换而建立的规则、标准或约定的集 合。例如,网络中一个微机用户和一个大型主机的操作员进行通信,由于这两个数据终端所用字符集不同,因此操作员所输入的命令彼此不认识. 为了能进行通信,规定每个终端都要将各自字符集中的字符先变换为标 准字符集的字符后,才进入网络传送,到达目的终端之后,再变换为该 终端字符集的字符。当然,对于不相容终端,除了需变换
史上最全网络安全面试题总结
热门推荐
03-17 2万+
新的一年,难免有不少小伙伴面临跳槽或者找工作,本文总结了常见的安全岗位面试题,方便各位复习。祝各位事业顺利,财运亨通。 php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php 利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件 你常用的渗
flask-gopher:Flask扩展,支持Gopher协议
02-05
烧瓶地鼠 扩展以支持协议。 内容 演示版 在以下URL的gopherspace中提供了Flask-Gopher服务器的实时演示: gopher://mozz.us:7005 关于 什么是地鼠? Gopher是万维网的替代方案,后者在90年代初达到顶峰。 狂热者仍然维护着少数的地鼠站点。 您可以在了解有关其历史的更多信息。 什么是烧瓶球? Flask-Gopher是Flask扩展,它在内置的Web服务器周围添加了一个薄的Gopher-> HTTP兼容性层。 它允许您构建完全符合gopher服务器,并完全访问Flask的路由,模板引擎,调试器等! 这是给谁的 我创建此扩展是因为我想尝试构
Gopher协议使用总结1
08-03
1. 明尼苏达大学的吉祥物是地鼠 2. 一个跑腿的助手就像地鼠一样在地下挖洞总能到达它想要的位置 1. 如果第一个字符是 > 或者 < 那么丢弃该行字符串,表示
gopher协议总结
unexpectedthing的博客
12-01 6882
定义 gopher协议是一种信息查0找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。利用协议可以攻击内网的 Redis、Mysql、FastCGI、Ftp等等,也可以发送 GET、POST 请求。这拓宽了 SSRF 的攻击面 利用: 攻击内网的 Redis、Mysql、FastCGI、Ftp等等,也可以发送 GET、POST 请求
SSRF-gopher 协议扩展利用:突破网络限制的利器
weixin_43822401的博客
06-11 1129
Gopher 是一种在 HTTP 协议之前非常流行的信息查找系统,虽然现在已经被 HTTP 协议取代,但在 SSRF 漏洞利用中仍然发挥着重要作用。Gopher 协议可以将 HTTP 请求转换为 TCP 数据流,从而突破一些网络限制,例如防火墙。Gopher 协议作为 SSRF 漏洞利用的利器,可以帮助攻击者突破网络限制,实现更高级的攻击目标。为了防止 SSRF-gopher 协议漏洞,需要对用户输入进行严格的校验,并使用安全的编码和解码库。
curl和gopher协议(ssrf的利用
Z_Grant的博客
11-05 8243
文章目录一、基础知识的学习(1) cURL(2) PHP的curl函数(3) gopher协议3.1 用gopher协议get传数据3.2 用gopher协议post传数据3.3 在ssrf中使用gopher协议(4) file协议和dict协议 一、基础知识的学习 (1) cURL cURL是一个利用URL语法在命令行下工作的文件传输工具。它支持文件上传和下载,所以是综合传输工具。cURL还包...
gopher协议及ssrf
UserNick157的博客
08-24 1399
gopher curl ssrf
基础知识《Gopher协议
qq_46143339的博客
03-14 728
在万维网(WWW)普及前,Gopher曾是主要的互联网信息检索工具。其简洁的文本驱动界面和高效的层级结构使其在早期广受欢迎。然而,随着HTTP和HTML的兴起,Gopher逐渐被取代,但其设计理念(如结构化信息组织)对现代技术仍有影响。,通过TCP协议通信,默认端口为70。用户通过Gopher客户端浏览类似文件系统的目录结构,访问文本、图像等资源。Gopher是一种早期的互联网协议,设计于1991年,用于在网络上通过层次化菜单系统高效检索文本信息。
CTFHUB--SRRF(上)--gopher协议
qq_75120258的博客
03-28 1361
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
gopherhttp协议区别
最新发布
09-05
<think> 嗯,用户想了解gopherhttp协议的区别。结合用户提供的站内引用材料,我需要系统性地比较这两个协议的特点。 用户引用的材料中提到gopher协议使用层次结构组织数据[^1],类似于文件系统目录树,而http是超文本链接的网状结构。这点很关键,说明两者的信息组织方式有本质不同。 材料[^2]还提到gopher出现在http之前,这说明历史背景差异。我可以补充时间线:gopher是1991年诞生,而http/0.9在1991年提出,但直到1993年才被广泛采纳。 引用[^3]特别强调了gopher在SSRF攻击中的作用,这说明协议设计差异导致了安全特性不同。gopher协议简单原始,没有现代协议安全机制,使它成为渗透测试中危险的"万能协议"。 关于交互方式,材料[^4]展示了gopher请求的构造示例,它把整个http请求进行URL编码后作为参数传递。这印证了gopher本质上是通过单次连接传输完整请求包,而http支持持久连接和分块传输。 我还注意到用户引用的材料都侧重安全角度,所以回答时要突出gopher在SSRF攻击中的风险点。不过用户直接问的是协议区别,所以安全部分放在最后作为补充说明可能更合适。 在组织答案结构时,考虑按"背景起源→核心特性→交互模型→安全影响"的脉络展开。特别要对比三点:信息架构差异(树形vs超文本)、交互方式差异(菜单驱动vs方法调用)、设计哲学差异(轻量vs功能丰富)。 最后准备的问题要兼顾历史和技术:用户可能是安全研究人员,所以加入攻击面分析的问题;但也要覆盖普通开发者可能关心的协议演进和技术对比。 </think> 根据引用资料和协议特性,Gopher协议HTTP协议的主要区别如下: --- ### 一、设计目标与历史背景 1. **Gopher协议** - 1991年由明尼苏达大学开发,旨在**组织学术资源** - 采用**分层菜单驱动模型**,结构类似文件目录树[^1] - 主要用于访问文本文件、图像等静态资源 2. **HTTP协议** - 1990年由Tim Berners-Lee提出,核心是**超文本链接** - 支持网状结构(超文本),可直接跳转任意资源 - 设计目标为**动态内容交互**(如表单提交) --- ### 二、协议特性对比 | **特性** | **Gopher协议** | **HTTP协议** | |------------------|----------------------------------------|---------------------------------------| | **数据组织** | 树状目录结构,需逐级访问[^1] | 超文本网状结构,支持任意跳转 | | **交互方式** | 仅支持简单菜单选择 | 支持GET/POST/PUT等多种请求方法[^3] | | **元数据传输** | 无头部(header)概念 | 通过HTTP Header传递元数据(如Cookie) | | **协议复杂度** | 轻量级,报文简单 | 复杂,支持持久连接、缓存等机制 | | **默认端口** | TCP 70 | TCP 80/443 | --- ### 三、技术实现差异 1. **请求格式** - **Gopher**:单行指令,如: ```bash gopher://server:70/0/path/to/file ``` `/0`表示文本文件类型(1=目录,9=二进制等)[^1] - **HTTP**:结构化请求头 + 可选消息体: ```http GET /path HTTP/1.1 Host: example.com ``` 2. **响应处理** - Gopher返回资源时**不带元数据描述** - HTTP通过状态码(如200 OK)和头部字段精确控制行为 --- ### 四、安全性差异 1. **SSRF攻击风险** - Gopher因其原始设计,可封装任意TCP流量(如Redis命令、SMTP请求),被广泛用于**SSRF攻击内网服务**[^2][^3] - HTTP在SSRF中利用受限于应用层协议约束 2. **现代支持** - Gopher协议已被主流浏览器**弃用**(Firefox 4+移除支持) - HTTP(S)仍是互联网核心协议,持续演进(HTTP/2、HTTP/3) --- ### 五、典型应用场景 - **Gopher**: 内网渗透测试中构造攻击流量(如向Redis发送`FLUSHDB`)[^4] - **HTTP**: 现代Web应用交互、API通信、实时数据传输 > ⚠️ **安全警示**:Gopher协议由于其协议原语过于底层,在SSRF漏洞利用中危害性显著高于HTTP[^3]。开发中需严格过滤包含`gopher://`的用户输入。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值