从CTFHUB SSRF题看Gopher协议：一个被遗忘但强大的内网攻击工具

Gopher协议：从历史遗珠到现代内网渗透的隐秘利器

在1991年，当Tim Berners-Lee还在为万维网（WWW）的雏形编写代码时，明尼苏达大学的一群研究者开发了另一种信息检索系统——Gopher。这个以学校吉祥物命名的协议，曾一度与HTTP分庭抗礼，却在互联网商业化浪潮中逐渐被遗忘。然而在安全领域，这个"过时"的协议却以一种出人意料的方式重获新生，成为SSRF攻击和内网渗透中不可忽视的武器。

1. Gopher协议的技术解剖

Gopher协议本质上是一种客户端-服务器协议，设计初衷是为了在校园网络中高效地组织和检索文档。与HTTP不同，Gopher采用菜单驱动的界面，通过简单的文本命令实现导航。这种看似原始的设计，却蕴含着几个关键特性：

• 极简的协议结构：Gopher请求通常只有一行文本，格式为<选择器字符串><制表符><主机名><制表符><端口>
• 协议无关性：可以封装多种请求类型，包括文件检索、搜索查询甚至其他协议
• 无状态设计：与早期HTTP类似，每个请求都是独立的

典型Gopher请求示例： 1Menu_Item<TAB>example.com<TAB>70

正是这种简单性，使得Gopher在现代Web应用中成为了一个危险的"协议转换器"。当服务器端请求伪造(SSRF)漏洞存在时，攻击者可以利用Gopher协议构造出各种复杂的内部请求。

2. Gopher在SSRF攻击中的独特优势

在CTF比赛和实际渗透测试中，Gopher协议逐渐成为绕过SSRF限制的首选工具。与其他协议相比，它具有几个不可替代的优势：

通过CTFHUB的SSRF题目，我们可以清晰地看到Gopher的实战价值。题目中要求通过SSRF发送POST请求和文件上传，这正是Gopher大显身手的场景：

1. POST请求构造：Gopher可以完美封装完整的HTTP POST请求
2. 协议转换：将HTTP请求转换为Gopher协议请求，绕过某些SSRF过滤器
3. 内网穿透：通过精心构造的Gopher请求，攻击内网中不直接暴露的服务

// 典型Gopher攻击向量构造过程 $payload = "POST /flag.php HTTP/1.1\r\n"; $payload .= "Host: 127.0.0.1\r\n"; $payload .= "Content-Type: application/x-www-form-urlencoded\r\n"; $payload .= "Content-Length: 36\r\n\r\n"; $payload .= "key=md5hashvalue"; $gopher = "gopher://127.0.0.1:80/_".urlencode($payload);

3. 高级攻击技巧与防御策略

随着安全防护的升级，Gopher协议的利用也需要更精细的技巧。以下是几种进阶攻击手法：

• 协议嵌套：在Gopher中封装其他协议请求，如Redis、Memcached等
• 编码混淆：多重URL编码绕过WAF检测
• 时间延迟利用：通过响应时间差异探测内网服务

防御方面，现代Web应用应当采取多层防护策略：

1. 输入验证：

   • 严格校验用户提供的URL
   • 使用白名单机制限制允许的协议

2. 网络隔离：

   • 关键内网服务实施网络分段
   • 限制服务器出站连接

3. 运行时防护：

   • 监控异常的协议使用
   • 实施请求速率限制

重要提示：即使禁用Gopher协议，也要注意其他类似协议(如DICT、TFTP)可能带来的风险

4. 从CTF到实战：Gopher的渗透测试应用

脱离CTF环境，Gopher协议在真实渗透测试中同样价值显著。红队评估中常见的应用场景包括：

• 内网服务探测：通过响应差异判断端口开放情况
• 数据库攻击：针对Redis、Memcached等服务的未授权访问
• API滥用：攻击内部RESTful API接口
• 中间件利用：攻击Jenkins、Docker Registry等管理界面

一个典型的Redis未授权访问利用示例：

# 构造Redis命令 echo -e "*1\r\n$4\r\ninfo\r\n" > redis.txt # 转换为Gopher格式 gopher://target:6379/_$(cat redis.txt | xxd -ps | tr -d '\n')

这种攻击可以完全绕过网络层的防护，直接与内网服务交互。在一次内部测试中，我们曾通过这种方式在受限的SSRF漏洞上实现了内网横向移动，最终获取了核心数据库的访问权限。