Goby 内测版1.8.237 | ICON测绘功能来了

GobySec  1430天前

youdu图片20210122122602.png


年度大更新,内容超级超级多,主要亮点:ICON查询→加强目标信息确认,定时任务→提高渗透效率),弱口令字典库→拿分永远滴神,以及终于支持了在线升级!

文章看到底,找此版本的获取方式↓

0x001 新增漏洞


新增漏洞37条实战漏洞:包含Apache Flink Upload(CVE-2020-17518)、lanproxy Directory Traversal(CVE-2021-3019)、Ruijie EG RCE、致远OA A8等等,几乎都可以利用!感谢表哥们 @职业搬砖 @lenihaoa @菜 @Cool-000 @白鱼danger 贡献的漏洞,众人拾柴火焰高,本次更新漏洞数量创新高,尽情享用吧!

漏洞演示Demo:

https://github.com/gobysec/GobyVuls

QQ图片20210121164315.png

0x002 新增功能


1. 新增在线升级功能

支持扫描任务、自定义PoC、插件等数据保留的基础上进行在线热升级,升级成功后重启Goby即可。注:此版本依旧需要重新下载,下次升级生效。

Image

2. 新增ICON测绘功能

新增ICON查询,并支持语法查询当前任务资产,如查询ip,port,app, protocol,title等:

Image

3. 新增插件/更新插件

对Goby内置的弱口令字典进行替换,字典库更大。支持批量替换及自定义替换。

插件开发文档: https://cn.gobies.org/docs.html#%E6%8F%92%E4%BB%B6%E7%A4%BA%E4%BE%8B

  • 弱口令字典 DictionaryConfig

    众所周知:弱口令是攻防场景拿分的神!Goby内置的弱口令字典库不够?这个插件安排上。支持批量替换及自定义替换。Image

  • 定时任务功能(任务队列 TaskQueue)

    开启定时功能后,选定某个时间开始扫描一波任务。支持将之前的任务收到拖动到定时队列。接下来,嗯,夜黑风高,你懂得~                                                                                                                      Image

4. 新增服务器管理

支持增加多个远程服务器,并支持对服务器管理:开启、停用及更改配置信息(如被占用端口),开启远程服务器后,Goby会自动重启生效:

Image

5. 新增多个操作系统支持

紧跟国产化的步伐→新增windows 32位、mips及arm版本支持。目前仅限命令行启动,启动方式与windows 64位一样,运行goby-cmd:

./goby-cmd -apiauth user:pass -mode api -bind 0.0.0.0:8361

0x003 优化


此次主要优化内容:

  • 新增协议:新增asterisk,barracuda-bcp,beacon ccnet,ceph,daap,firebird,nomachine-nx,remoting,rtmp,stun,svrloc,varnish-cli等协议识别 。

  • 优化漏洞利用的编码显示。

  • 精简调试输出。

  • 优化部分隐藏深但常用的功能交互。

0x004 修复/解决问题


此次主要解决问题:

  • 解决https协议都识别成了http的问题。由@mojie 表哥反馈
  • 解决fofakey打码的问题。由@李大壮 表哥反馈
  • 解决单个插件重复显示问题,由@Crocodile Pa 表哥反馈
  • 解决任务队列插件的敏感字符过滤问题。由@卡拉尼科夫 表哥反馈
  • 解决开启爬虫后,MacOS版本报错问题。由@default 表哥反馈
  • 解决远程服务扫描无法获取icon及截图问题。由@墨落成白 表哥反馈

注:之前表哥们常反馈的扫描报错“not any target to scan”,经分析是开启Goby的ping功能,但内网又禁ping,导致目标都无法扫描。解决方案是 设置> 高级设置 勾掉Ping即可。

0x005 2020年终总结


微信图片_20210123002831.jpg

2020第一个版本vs2020最后一个版本

这大概是春节前最后一次更新啦,回顾2020,Goby获得巨大的成长,一方面产品实战性口碑超出预期:我们一共发布了25个版本,11个公网版(官网),8个内测版(Community),5个超级内测版(Puls),1个红队专版(Red),平均每月至少2次更新,每次更新都代表我们团队的探索更前进了一步,最终在2020年大大小小的战场上经受住了考验,帮表哥/表姐们拿到了分,受到了分布式的点赞及肯定,成就感满满~  另一方面,Goby社区的安全力量超出预期。

这一年,Goby社区人数从10+增长到3500+,从1群到8群,每天表哥/表姐们在群里沟通安全技术并反馈使用问题,很大程度上加速了Goby的成长,感恩!还有来自社区的贡献:功能插件、技术文章、PoC、EXP、指纹特征、甚至礼品等等... 共享安全力量的社区生态得到良好循环的发展,于一位技术出身的Boss而言,成就感超过赚钱,于是Zwell最近都飘了,指路移步他微博→白帽汇赵武

这一年,我们也收到许多表哥/表姐想要现金打赏的鼓励,以及一直把Goby做下去的寄予,再次感恩!同希望与表哥/表姐们一起一直走下去,毕竟我们还留了两个礼物(未完成的遗憾)交给2021——Goby转正式版及开放PoC框架,除去这些,今年还准备小范围开放API供社区的表哥/表姐们玩耍,还有一些想法待与社区群主们商讨后,慢慢说于大家听~ 总之,一起期待吧!


2020实属不易,坚持下来,都属牛!

Goby团队全体成员祝大家2021「牛转乾坤」!

产品经理:耳东

2021年01月22日



如果您对2021年的Goby也有想法,欢迎通过以下渠道反馈给我们:

如果您想加入社区群主团共谋大事,欢迎私聊各群群主自荐:1群主@yifan, 2群主@李大壮' ,3群主@JR.D ,4群主@Vanila ,5群主@nice,6群主@evil,7群及8群...嗯,群主有可能就是你~


版本下载:关注微信公众号gobysec,回复:加群

最新评论

昵称
邮箱
提交评论