一个非常好用的攻击面测绘工具Goby快速入门使用指南
2022-9-25 11:43:47 Author: 网络安全自修室(查看原文) 阅读量:60 收藏

点击上方蓝字关注我们

1
免责声明
      本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,遵守国家相关法律法规,请勿用于违法用途如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。
2
内容速览

Goby下载

Goby是一个不需要安装的一款攻击面测绘工具,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描.

并快速地从一个验证入口点,切换到横向,实现快速安全应急,以及用新一代网络安全技术建立一个完整的资产数据库,并能够输出更具生命力的工具,能够对标黑客的实际能力,帮助企业来有效地理解和应对网络攻击

官网:https://gobysec.net/https://gobies.org/

Goby主要特性:

  • 实战性:Goby并不关注漏洞库的数量有多么多,而是关注真正用于实际攻击的漏洞数量,以及漏洞的利用深度(最小精准集合体,打造权威性);

  • 体系性:打通渗透前,渗透中,以及渗透后的完整流程完整DOM事件收集,自动化触发。

  • 高效性:利用积累的规则库,全自动的实现IT资产攻击面的梳理;效率提升数倍,发包更少速度更快、更精准;

  • 平台性:发动广泛的安全人员的力量,完善上面提到的所有资源库;包括基于社区的数据共享,插件发布,漏洞共享等;

  • 艺术性:安全工具原本就比较偏门,我们更多的关注功能而非美观度,所有大部分的安全工具都是其貌不扬;我们希望使用Goby能给大家带来感官上的享受。

Goby安装

进入官网就可以看到下载按钮,需要什么系统版本就下什么版本即可,这里以win为例

下载到安装包并解压,打开Goby.exe即可

Goby快速使用

1.打开Goby到首页,左下角可以切换语言

2.点击扫描,新建扫描任务。(不仅可以扫ip,还可以扫域名)

3.点击开始,任务便开始扫描。

4.还可以点击左下角的设置,设置相应的内容。

能开启很多功能,比如网站截图、结合fofa的apikey

5.扫描完毕后,可以查看资产。

6.查看报告,点击右上角可以下载报告。

扫描完成后,生成分析报告,并支持 PDF、Excel 导出,方便本地分析及呈报传阅。

简单的Goby 的  PoC 制作

实际上主要用到的功能在这里:

上图就能看到自定义PoC的界面样子了,具体填写的信息和填写标准参考上述的《Goby漏洞编写指南》,里边有命名规则等详细解释和参考

然后就是Requests的Response处理,Goby提供了“测试”功能可直接通过图形化界面自定义自己的Requests。

这里以CVE-2015-1427为例,再完整的RCE中一共需要发送两次Requests。

然后Goby的PoC编辑界面提供了可选的单个或多个Requests,也提供了AND和OR可选的发包逻辑,方便发送多个Requests的自定义

之后的“响应测试”可对Response进行判断可选有返回状态码,Header和Body,大家按照自己需求点一点即可。

CVE-2015-1427需要两个Requests,再来一个即可,这里需要一个RCE返回结果的判断,对于轮子达人来说点一点就好制作很方便。

到这里两次Requests好了,最终的RCE判断也好了剩下就是测试PoC可用性了,上图所示右上角提供了“单ip扫描”直接测试。

在资产扫描完成的界面,输入query点击放大镜可以进行资产匹配,用来确定自己写的query可以正确匹配。

但是仅有一个存在漏洞和不存在漏洞的结果提示,这个查询界面并没有显示Response,所有如果怀疑自己的PoC有问题还需要自己抓包去看

而且多次Requests时仅显示第一个Requests(所以建议该功能有待完善),我再测试PoC时无奈一直在Wireshark抓包看的,比较麻烦。

再去扫描中测试一番,这里每次对PoC进行修改之后都需要重启Goby(点左下角的重启也行)。

如果想要系统学习网络安全技术

不妨加入知识星球课程

《60天入门网络安全渗透测试》

从入门到案例,贴合实战

轻松易懂、好玩实用

限时领取

知识星球

超值 | 一起学网络安全! 授人以鱼不如授人以渔!

活动优惠券

跟着60天入门学习路线一起学

期待你的到来!

往期推荐

从入门到入狱的技术,可以学,别乱用!

网络安全学习方向和资源整理(建议收藏)

一个web安全工程师的基础学习规划

资源 | 渗透测试工程师入门教程(限时领取)

5年老鸟推荐10个玩Python必备的网站

推荐十个成为网络安全渗透测试大佬的学习必备网站!

那些社工师不为人知的秘密。。。

更多内容请关注公众号

网络安全自修室

点个在看你最好看


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NDYxMzk1Mg==&mid=2247496434&idx=1&sn=6b5400f906a29c6c3cfa92205ad5c00e&chksm=e959a4ddde2e2dcbf0cb3b82735af25af1e1df7cf1abdb41fa3df14acf047a08a333ff697612#rd
如有侵权请联系:admin#unsafe.sh