CTF gopher协议

0x01 例题

这儿举例安恒的一道月题

tips:利用ssrf，gopher打内网

0x02 贴出代码

highlight_file(__FILE__);
$x = $_GET['x'];
$pos = strpos($x,"php");
if($pos){
        exit("denied");
}
$ch = curl_init();
curl_setopt($ch,CURLOPT_URL,"$x");
curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
$result = curl_exec($ch);
echo $result;

0x03分析过程

首先x我们可以控制，
x可利用的协议有gopher、dict、http、https、file等
file协议可以用于查看文件
dict协议可以用于刺探端口
gopher协议支持GET&POST请求，常用于攻击内网ftp、redis、telnet、smtp等服务，还可以利用gopher协议访问redis反弹shell

首先我们利用file读取文件

先上脚本扫描一下目录，得到flag.php。
一般我们还可以读取/etc/hosts，/etc/passwd，~/.bash_history等文件查看线索

但是代码中有strpos的限制（利用%2570绕过）

最后我们读取/var/www/html/flag.php时发现线索

继续读取/etc/hosts得到一个内网地址

这儿我们得到内网段，我们可以继续扫描，发现只有172.18.0.1|2|3可以访问。
http://101.71.29.5:10012/?x=http://172.18.0.2的返回结果如下图，存在LFI漏洞。

这只是80端口的结果，接下来我们看看其他端口的开放情况，可以看到，25端口也开放了，25对应的就是smtp服务。
于是可以联想到利用gopher协议打smtp，然后再结合之前发现的LFI漏洞，得出这样的思路
利用gopher打smtp，在日志文件中留下一句话木马，然后用LFI包含日志文件获取webshell
思路清晰了后，就开始执行了，先用gopherus脚本生成payload，gopherus地址:https://github.com/tarunkant/Gopherus，里面有详细用法。

将127.0.0.1:25改为内网地址，然后url编码发送过去

然后我们利用包含日志文件
于是我们现在可以去找smtp的日志文件位置了，一般来讲linux中的邮件日志文件路径为

• /var/log/maillog
• /var/log/mail.log
• /var/adm/maillog
• /var/adm/syslog/mail.log

然后我们直接连接菜刀查看flag

0x04 总结

1、https://bugs.php.net这是一个包含php漏洞的网址

例如我们可以利用谷歌语法搜索
site: [https://bugs.php.net](https://bugs.php.net) strpos

2、ssrf一般先探测主机，然后探测端口，找到对应服务，再利用相应的payload

0x05 链接

复现的题目的时候，环境关了，所以直接用了另外一名师傅的writeup图片，这儿贴出链接，见谅！
链接