技术分享 | Goby食用指南之红蓝对抗
毫无疑问当然是:网络空间测绘。
我认为FOFA更多是利用白帽汇的服务器资源帮我们进行一个资产的测绘,从互联网上进行爬取(当然Zwell最近发博好像是苦于爬取到某司后台管理系统所造成的的纠纷,看到这条微博,心里喊着:FOFA牛逼,这都能爬到,放开那管理系统,让我xxxx!)
0x002 食用部分
无论是hvv还是src,厂商一般都会给域名,一般也有B段和C段,而Goby对于这部分的信息收集应有尽有:子域名爆破插件+FOFA插件+C段扫描(妈妈再也不用担心我用L工具爆破子域名,再用N工具扫C段了,再用D工具....)
注:这是去年底在内网扫学校的B段结果。由于是内网,存活也挺多!这里主要是想展示下goby所扫到的:未授权,0708等漏洞。
2.2 Web视图-手动挡
由于刚刚资产测绘的同时,基本上把主机漏洞及一些通用漏洞撸顺了一遍。(同时Goby支持自定义POC,基本上那些该有的漏洞都会过了一遍了。)
我的思路:直接切入web视图,web视图的话(手中的“小米范”瞬间不香了):首选先看网站title,看着好x的先x一下,如管理系统、后台登录系统等。再看下组件,如java struct 的试试struct 2,也可以看看java组件的请求包里有没有rememberMe(这个可以开发插件解决)。
2.3 配合漏扫工具实现自动化
我的思路:利用上面导出的结果与漏洞扫描器联动。
1. Xray高级版自动扫!因为如文章开头所说,我同学是FOFA+Xray!
2. Awvs+Xray,或者360的Craw爬虫等!
3. Webhook输出和方糖server酱联动实现微信提醒:“漏洞已到账”很香!
还有很多漏扫的思路,具体网上文章也很多,欢迎大佬们补充。
3.1 内网横向移动-代理功能
3.2 自定义武器库
Goby支持自定义POC,可以自定义属于自己的武器库,增强攻击力。随着社区人数的增多,多多贡献插件,一键X卫星再也不是梦!(在线等一个一键X卫星的插件,急!)
3.3 团队协作
扫描完成之后,扫的结果支持导出导入,避免团队的重复扫描浪费时间。同时可以生成分析报告,并支持PDF、Excel导出,方便本地分析及呈报传阅。
4.1 红蓝方
蓝方在前期和红方是一致的,即模拟攻击预演一次。诚然,红方在公网上用Goby扫描到的IP存活远不如蓝方多,但是Goby能够更加清楚全面的对资产进行展示,同时其扫描的数据可以导出,避免团队的重复劳动,又何尝不是个很值得尝试的工具呢!
4.2 SRC
Hvv一般都是给域名、对应的C段和B段,而各大SRC也差不多。信息收集的部分,网上思路千千万万,用Goby试一下如何?
上述是我作为蓝方使用Goby的一点小经验,其实也不全是。但相信无论是蓝方还是红方,或者各大挖洞的表哥,Goby对大家而言是一款很实用的网(信)络(息)空(收)间(集)测绘工具。
写了一手《安全经》送给大家: