Goby是一款新的網絡安全測試工具,由趙武Zwell(Pangolin、JSky、FOFA作者)打造,它能夠針對一個目標企業梳理最全的攻擊面信息,同時能進行高效、實戰化漏洞掃描,並快速地從一個驗證入口點,切換到橫向。我們希望能夠輸出更具生命力的工具,能夠對標黑客的實際能力,幫助企業來有效地理解和應對網絡攻擊。
Goby主要特性:
實戰性:Goby並不關注漏洞庫的數量有多麼多,而是關注真正用於實際攻擊的漏洞數量,以及漏洞的利用深度;體系性:打通滲透前,滲透中,以及滲透後的完整流程完整DOM事件收集,自動化觸發。高效性:利用積累的規則庫,全自動的實現IT資產攻擊面的梳理;效率提升數倍,發包更少速度更快、更精準;平臺性:發動廣泛的安全人員的力量,完善上面提到的所有資源庫;包括基於社區的數據共享,插件發布,漏洞共享等;藝術性:安全工具原本就比較偏門,我們更多的關注功能而非美觀度,所有大部分的安全工具都是其貌不揚;我們希望使用Goby能給大家帶來感官上的享受。0×002 使用
1.資產收集
自動探測當前網絡空間存活的IP及解析域名到IP,輕量且快速的分析出埠對應的協議、Mac地址、證書、應用產品、廠商等信息。
在設置界面開啟以下功能,將獲取更多資產信息。
子域名掃描
自動爬取子域名,AXFR監測,二級域名字典爆破,關聯域名查詢。同時支持連接FOFA,擴大數據源。
網站截圖
通過截圖,快速判斷網站系統應用,無須再一一打開。
註:該功能基於Chrome截圖插件實現,需要預安裝Chrome瀏覽器。
深度分析
發現非標準埠或非標準應用系統資產,進行深入的應用識別。在實戰場景中非常有效。
代理掃描
通過socket5代理,快速進入內網,開啟內網滲透。
註:支持Pcap及socket兩種模式,請根據不同的場合動態切換。 pcap模式:支持協議識別和漏洞掃描,不支持埠掃描; socket模式:支持埠掃描協議識別以及漏洞掃描,掃描速度慢。
2.漏洞利用
對掃描出來的風險資產進行批量驗證,驗證成功後,可進行利用,利用成功後,不需要自己搭建伺服器,直接進行shell管理。
支持自定義PoC及弱口令字典,讓安全人員自定義屬於自己的武器庫,增強攻擊力。
3.生成報告
掃描完成後,生成分析報告,並支持PDF、Excel導出,方便本地分析及呈報傳閱。
4.CS模式
遠程服務,區分掃描模塊及展示模塊。 CS搭建:開啟遠端服務,然後配置服務端主機、埠、帳戶信息。 ![CS 圖]
0×003 預置數據說明
1.規則庫
超過10萬種規則識別引擎,硬體覆蓋範圍:網絡設備,物聯網設備,網絡安全產品,辦公設備等,軟體覆蓋範圍:CRM,CMS,EMAIL,OA系統等。
2.協議
超過200種協議識別引擎,覆蓋網絡協議,資料庫協議,IoT協議,ICS協議等。
3.埠
除了常用埠,我們還根據安全實戰場景進行了埠分組,包括企業、咖啡館、酒店、機場、資料庫、物聯網、SCADA、ICS、後門檢測等。
4.漏洞及弱口令
覆蓋Weblogic,Tomcat等最嚴重漏洞及超過1000種設備的預置帳號信息。
CVE-2020-2551CVE-2020-2555CVE-2019-10758CVE-2011-3556CVE-2017-5878CVE-2018-1297CVE-2019-19781CVE-2020-10189CVE-2016-4437CVE-2018-1000861CVE-2017-1000353CVE-2020-1938…持續更新中
0×004 小結
Goby目前是Beta版本,還有很多功能正在按部就班的開發,如上面提到的插件市場及社區數據共享等。以及,之前在追求功能的時候,顧不上一些邊邊角角,導致遺留了很多bug。所以接下來的時間,Goby團隊會重點完善如下幾個方面:一)穩定性;二)實戰型漏洞的補充完善;三)幾個大功能的開發。完成這幾點,爭取今年Goby版本轉正,發布正式版讓大家批評指正。
素材來自freebuf@cliekkas