SSRF漏洞绕过与漏洞解决

一.gopher协议

gopher协议是在www出现之前在Internet上最主要的信息检索工具,也是信息查找系统,将Internet上的文件构成索引,将用户从一端带到另一端。

gopher协议的限制:php版本高于5.3 java的jdk版本小于1.7

gopher协议作用:可以向内网输送文件

gopher协议格式:URL:gopher://\<host>\<port>/\<gopher-path>

二.什么是Redis

redis是一款内存高速缓存的数据库

0.0.0.0:6379 0.0.0.0表示任何ip地址都可以访问 默认开启保护模式 默认没有密码

攻击redis数据库的条件:redis.config配置文件中没有密码或是弱口令,关闭保护模式,#127.0.0.1

Redis搭建:

1.远程下载redis安装包: wget http://download.redis.io/releases/redis-4.0.10.tar.gz

2.下载后解压:tar -zxf redis-4.0.10.tar.gz

3.解压后编译:

cd ./redis-4.0.10 #进入当前文件

sudo make install #下载编译包

sudo make #进行编译

4.建立快捷模式

cd src cp ./redis-server /bin

5.将redis配置文件复制到/etc目录下

cd ../

cp /redis.conf /etc

6.使用命令启动redis

sudo redis-server /etc/redis.conf

7.查看是否运行成功

ps -aux | grep redis

8.配置redis

sudo vim /etc/redis.conf #127.0.0.1改为0.0.0.0 保护模式yes改为no,保存退出

然后ctrl+c退出redis再重启 redis-server /etc/redis.conf

9.使用reids-cli远程连接,即可成功

redis-cli -h ip地址 -p 6379

三.知识扩展

1.在kali上下载好小p并搭建网站

2.一句话mu ma也叫小马,<?php @eval($_REQUEST'cmd'); ?>

cmd内写什么都可以,主要是自己知道

例如:<?php @eval($_REQUEST'ya'); ?>

空白才是正常的

phpinfo可以把很多网站信息展示出来

system('dir'); 可以带出文件信息

3.大马可以让别人服务器变得像自己服务器

四.实践

使用工具,将命令进行编码,因为url会进行解码,所以运用bp进行二次编码,然后将命令放入url中

相关推荐
网络研究院16 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智16 天前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest16 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_16 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
2601_9618451516 天前
粉笔行测题库|系统班|刷题
网络·百度·微信·微信公众平台·facebook·新浪微博
零零信安16 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
程序猿阿伟16 天前
《Chrome离线扩展安装的底层逻辑与场景落地指南》
服务器·网络·chrome
InHand云飞小白16 天前
无人值守站点网络困境?工业级路由器IR315破解连接难题
网络·物联网·4g·工业路由器·4g路由器·iiot·蜂窝路由器
森G16 天前
75、服务器源码解析---------云视频服务项目
linux·服务器·网络·c++·qt
江华森16 天前
TCP/IP 协议栈实战 — 7 个实验详解
网络·tcp/ip·智能路由器