年度大更新，内容超级超级多，主要亮点：ICON查询→加强目标信息确认，定时任务→提高渗透效率），弱口令字典库→拿分永远滴神，以及终于支持了在线升级！

文章看到底，找此版本的获取方式↓

0x001 新增漏洞

新增漏洞37条实战漏洞：包含Apache Flink Upload(CVE-2020-17518)、lanproxy Directory Traversal(CVE-2021-3019)、Ruijie EG RCE、致远OA A8等等，几乎都可以利用！感谢表哥们 @职业搬砖 @lenihaoa @菜 @Cool-000 @白鱼danger 贡献的漏洞，众人拾柴火焰高，本次更新漏洞数量创新高，尽情享用吧！

漏洞演示Demo:

https://github.com/gobysec/GobyVuls

0x002 新增功能

1. 新增在线升级功能

支持扫描任务、自定义PoC、插件等数据保留的基础上进行在线热升级，升级成功后重启Goby即可。注：此版本依旧需要重新下载，下次升级生效。

2. 新增ICON测绘功能

新增ICON查询，并支持语法查询当前任务资产，如查询ip，port，app, protocol，title等:

3. 新增插件/更新插件

对Goby内置的弱口令字典进行替换，字典库更大。支持批量替换及自定义替换。

插件开发文档: https://cn.gobies.org/docs.html#%E6%8F%92%E4%BB%B6%E7%A4%BA%E4%BE%8B

• 弱口令字典 DictionaryConfig

  众所周知：弱口令是攻防场景拿分的神！Goby内置的弱口令字典库不够？这个插件安排上。支持批量替换及自定义替换。

• 定时任务功能（任务队列 TaskQueue）

  开启定时功能后，选定某个时间开始扫描一波任务。支持将之前的任务收到拖动到定时队列。接下来，嗯，夜黑风高，你懂得~                                                                                                                      

4. 新增服务器管理

支持增加多个远程服务器，并支持对服务器管理：开启、停用及更改配置信息（如被占用端口），开启远程服务器后，Goby会自动重启生效：

5. 新增多个操作系统支持

紧跟国产化的步伐→新增windows 32位、mips及arm版本支持。目前仅限命令行启动，启动方式与windows 64位一样，运行goby-cmd：

./goby-cmd -apiauth user:pass -mode api -bind 0.0.0.0:8361

0x003 优化

此次主要优化内容：

• 新增协议：新增asterisk，barracuda-bcp，beacon ccnet，ceph，daap，firebird，nomachine-nx，remoting，rtmp，stun，svrloc，varnish-cli等协议识别 。

• 优化漏洞利用的编码显示。

• 精简调试输出。

• 优化部分隐藏深但常用的功能交互。

0x004 修复/解决问题

此次主要解决问题：

• 解决https协议都识别成了http的问题。由@mojie 表哥反馈。
• 解决fofakey打码的问题。由@李大壮 表哥反馈。
• 解决单个插件重复显示问题，由@Crocodile Pa 表哥反馈。
• 解决任务队列插件的敏感字符过滤问题。由@卡拉尼科夫 表哥反馈。
• 解决开启爬虫后，MacOS版本报错问题。由@default 表哥反馈。
• 解决远程服务扫描无法获取icon及截图问题。由@墨落成白 表哥反馈。
  

注：之前表哥们常反馈的扫描报错“not any target to scan”，经分析是开启Goby的ping功能，但内网又禁ping，导致目标都无法扫描。解决方案是 设置> 高级设置 勾掉Ping即可。

0x005 2020年终总结

2020第一个版本vs2020最后一个版本

这大概是春节前最后一次更新啦，回顾2020，Goby获得巨大的成长，一方面产品实战性口碑超出预期：我们一共发布了25个版本，11个公网版（官网），8个内测版（Community），5个超级内测版（Puls），1个红队专版（Red），平均每月至少2次更新，每次更新都代表我们团队的探索更前进了一步，最终在2020年大大小小的战场上经受住了考验，帮表哥/表姐们拿到了分，受到了分布式的点赞及肯定，成就感满满~  另一方面，Goby社区的安全力量超出预期。

这一年，Goby社区人数从10+增长到3500+，从1群到8群，每天表哥/表姐们在群里沟通安全技术并反馈使用问题，很大程度上加速了Goby的成长，感恩！还有来自社区的贡献：功能插件、技术文章、PoC、EXP、指纹特征、甚至礼品等等... 共享安全力量的社区生态得到良好循环的发展，于一位技术出身的Boss而言，成就感超过赚钱，于是Zwell最近都飘了，指路移步他微博→白帽汇赵武

这一年，我们也收到许多表哥/表姐想要现金打赏的鼓励，以及一直把Goby做下去的寄予，再次感恩！同希望与表哥/表姐们一起一直走下去，毕竟我们还留了两个礼物（未完成的遗憾）交给2021——Goby转正式版及开放PoC框架，除去这些，今年还准备小范围开放API供社区的表哥/表姐们玩耍，还有一些想法待与社区群主们商讨后，慢慢说于大家听~ 总之，一起期待吧！

2020实属不易，坚持下来，都属牛！

Goby团队全体成员祝大家2021「牛转乾坤」！

产品经理：耳东

2021年01月22日

如果您对2021年的Goby也有想法，欢迎通过以下渠道反馈给我们：

• GitHub issue: https://github.com/gobysec/Goby/issues

• 微信群：公众号发暗号“加群”。

如果您想加入社区群主团共谋大事，欢迎私聊各群群主自荐：1群主@yifan， 2群主@李大壮' ，3群主@JR.D ，4群主@Vanila ，5群主@nice，6群主@evil，7群及8群...嗯，群主有可能就是你~

版本下载：关注微信公众号gobysec，回复：加群