Goby是一款新的網絡安全測試工具,由趙武Zwell(Pangolin、JSky、FOFA作者)打造,它能夠針對一個目标企業梳理最全的攻擊面資訊,同時能進行高效、實戰化漏洞掃描,并快速的從一個驗證入口點,切換到橫向。我們希望能夠輸出更具生命力的工具,能夠對标黑客的實際能力,幫助企業來有效地了解和應對網絡攻擊。
Goby主要特性:
實戰性:Goby并不關注漏洞庫的數量有多麼多,而是關注真正用于實際攻擊的漏洞數量,以及漏洞的利用深度;
體系性:打通滲透前,滲透中,以及滲透後的完整流程完整DOM事件收集,自動化觸發。
高效性:利用積累的規則庫,全自動的實作IT資産攻擊面的梳理;效率提升數倍,發包更少速度更快、更精準;
平台性:發動廣泛的安全人員的力量,完善上面提到的所有資源庫;包括基于社群的資料共享,插件釋出,漏洞共享等;
藝術性:安全工具原本就比較偏門,我們更多的關注功能而非美觀度,所有大部分的安全工具都是其貌不揚;我們希望使用Goby能給大家帶來感官上的享受。
0x001 安裝
Goby目前是使用Go語言開發、采用Electron+VUE前端架構的綠色版本,支援windows/MacOS/Linux,無需安裝。因Goby基于網絡掃描,是以使用前,請先賦予goby識别網卡的權限。方式如下:
1.Windows使用者
下載下傳Npcap資料捕獲包,安裝完成後,啟動goby。下載下傳位址:https://nmap.org/npcap/dist/npcap-0.9983.exe
2.MacOS使用者
執行以下指令:
cd /devsudo chown $USER:admin bp* 0x002 使用
1.資産收集
自動探測目前網絡空間存活的IP及解析域名到IP,輕量且快速的分析出端口對應的協定、Mac位址、證書、應用産品、廠商等資訊。
在設定界面開啟以下功能,将擷取更多資産資訊。
子域名掃描
自動爬取子域名,AXFR監測,二級域名字典爆破,關聯域名查詢。同時支援連接配接FOFA,擴大資料源。
網站截圖
通過截圖,快速判斷網站系統應用,無須再一一打開。
注:該功能基于Chrome截圖插件實作,需要預安裝Chrome浏覽器。
深度分析
發現非标準端口或非标準應用系統資産,進行深入的應用識别。在實戰場景中非常有效。
代理掃描
通過socket5代理,快速進入内網,開啟内網滲透。
注:支援Pcap及socket兩種模式,請根據不同的場合動态切換。pcap模式:支援協定識别和漏洞掃描,不支援端口掃描;socket模式:支援端口掃描協定識别以及漏洞掃描,掃描速度慢。
2.漏洞利用
對掃描出來的風險資産進行批量驗證,驗證成功後,可進行利用,利用成功後,不需要自己搭建伺服器,直接進行shell管理。
支援自定義PoC及弱密碼字典,讓安全人員自定義屬于自己的武器庫,增強攻擊力。
3.生成報告
掃描完成後,生成分析報告,并支援PDF、Excel導出,友善本地分析及呈報傳閱。
4.CS模式
遠端服務,區分掃描子產品及展示子產品。CS搭建:開啟遠端服務,然後配置服務端主機、端口、賬戶資訊。![CS 圖]
0x003 預置資料說明
1.規則庫
超過10萬種規則識别引擎,硬體覆寫範圍:網絡裝置,物聯網裝置,網絡安全産品,辦公裝置等,軟體覆寫範圍:CRM,CMS,EMAIL,OA系統等。
2.協定
超過200種協定識别引擎,覆寫網絡協定,資料庫協定,IoT協定,ICS協定等。
3.端口
除了常用端口,我們還根據安全實戰場景進行了端口分組,包括企業、咖啡館、酒店、機場、資料庫、物聯網、SCADA、ICS、後門檢測等。
4.漏洞及弱密碼
覆寫Weblogic,Tomcat等最嚴重漏洞及超過1000種裝置的預置賬号資訊。
CVE-2020-2551
CVE-2020-2555
CVE-2019-10758
CVE-2011-3556
CVE-2017-5878
CVE-2018-1297
CVE-2019-19781
CVE-2020-10189
CVE-2016-4437
CVE-2018-1000861
CVE-2017-1000353
CVE-2020-1938…
持續更新中
0x004 小結
Goby目前是Beta版本,還有很多功能正在按部就班的開發,如上面提到的插件市場及社群資料共享等。以及,之前在追求功能的時候,顧不上一些邊邊角角,導緻遺留了很多bug。是以接下來的時間,Goby團隊會重點完善如下幾個方面:一)穩定性;二)實戰型漏洞的補充完善;三)幾個大功能的開發。完成這幾點,争取今年Goby版本轉正,釋出正式版讓大家批評指正。