前言:本片主要介绍既能hvv又能联动漏扫挖src的Goby,详细讲解Goby在红蓝对抗中的使用场景
0x001 网络空间测绘
FOFA更多是利用白帽汇的服务器资源帮我们进行一个资产的测绘,从互联网上进行爬取
而相比较FOFA,Goby更多的是利用使用者自己的电脑资源进行一个爬取,与之带来的好处是企业、蓝方也可以对内网的空间进行测绘(如我在学校内网扫学校的B段,扫部分未对公网开放的端口)。但是仅仅只是空间测绘,了解一下企业网络资产就够了?
注意!Goby只能进行合法合规的扫描!
请大家不要做未授权测试行为!请大家不要做未授权测试行为!请大家不要做未授权测试行为!(重要的事情说三遍)
0x002 入门使用
**0x0021 **资产测绘-信息收集
无论是hvv还是src,厂商一般都会给域名,一般也有B段和C段,而Goby对于这部分的信息收集应有尽有:子域名爆破插件+FOFA插件+C段扫描(妈妈再也不用担心我用L工具爆破子域名,再用N工具扫C段了,再用D工具....)
插播来自某大师的使用思路分享:
“先子域名爆破一波,然后FOFA收集一波,得到的域名和IP,在自己添加B段和C段,直接开整。Goby默认3K的子域名爆破字典,且支持自定义。在线骗一波字典,爽!”
注:这是去年底在内网扫学校的B段结果。由于是内网,存活也挺多!这里主要是想展示下goby所扫到的:未授权,0708等漏洞。
0x0022 Web视图-手动挡
由于刚刚资产测绘的同时,基本上把主机漏洞及一些通用漏洞撸顺了一遍。(同时Goby支持自定义POC,基本上那些该有的漏洞都会过了一遍了。)
思路:直接切入web视图,web视图的话(手中的“小米范”瞬间不香了):首选先看网站title,看着好x的先x一下,如管理系统、后台登录系统等。再看下组件,如java struct 的试试struct 2,也可以看看java组件的请求包里有没有rememberMe(这个可以开发插件解决)。
最后就是把IP端口导出,交给漏扫自动化。当然也可以先导出IP到漏扫里面,然后一边漏扫自动化,一边xxxx!绝妙双线程体验!
0x0023 配合漏扫工具实现自动化
思路:利用上面导出的结果与漏洞扫描器联动。
1. FOFA+Xray高级版自动扫!
2. Awvs+Xray,或者360的Craw爬虫等!
3. Webhook输出和方糖server酱联动实现微信提醒:“漏洞已到账”很香!
还有很多漏扫的思路,具体网上文章也很多,欢迎大佬们评论区补充。
0x003 高级使用指南
0x**0031** 内网横向移动-代理功能
当红队拿到入口点,内网横向移动的时候,看到网上有的思路是采取msf挂代理扫,其实Goby也可以挂代理扫(自带POC,MS17-010等内网大杀器,以及网站title截图信息手机)。Goby用来做内网横向移动,香!
0x****0032** 自定义武器库**
Goby支持自定义POC,可以自定义属于自己的武器库,增强攻击力。除了自定义,Goby红队版还拥有内置的1500+高危漏洞库,,无需字写脚本一键验证,快速响应!
0x****0033** 团队协作**
扫描完成之后,扫的结果支持导出导入,避免团队的重复扫描浪费时间。同时可以生成分析报告,并支持PDF、Excel导出,方便本地分析及呈报传阅。
0x004 小结
0x00****41** 红蓝方**
蓝方在前期和红方是一致的,即模拟攻击预演一次。诚然,红方在公网上用Goby扫描到的IP存活远不如蓝方多,但是Goby能够更加清楚全面的对资产进行展示,同时其扫描的数据可以导出,避免团队的重复劳动,又何尝不是个很值得尝试的工具呢!
分享一下6月初的思路:一个队友负责用Goby扫资产,扫出的结果导出给团队,然后其他人负责分析目标资产,看看网站Title先挑看着软的柿子捏一捏,同时把导出的IP结果导入漏扫碰碰运气(真·碰运气,毕竟公司一般用的商业化的漏扫扫过几轮了)。
0x00****42** SRC**
Hvv一般都是给域名、对应的C段和B段,而各大SRC也差不多。信息收集的部分,网上思路千千万万,用Goby试一下如何?
回到最初的那个点:FOFA+Xray挖洞思路→通过语法从FOFA上面爬取IP,然后交给Xray进行自动化处理。
0****x005 加入Goby
Goby-资产攻击面绘测及自动化漏洞扫描工具
**下载地址:**gobysec.net/#dl
欢迎各位表哥表姐加入Goby大家庭~,关注微信公众号“Gobysec",发送暗号”加群“即可加入Goby社群,获得与网安行业大佬的学习交流机会,还能不定期参与活动”白嫖“红队版激活码哦~
