神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具

admin 2022年6月17日13:01:27评论188 views字数 1364阅读4分32秒阅读模式

虾虎鱼Goby,一款攻击面测绘工具。通过新一代网络安全技术为目标建立完整的资产数据库,实现快速安全应急。

神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具

🍃个人看法

首先,Goby提供了可以自定义的漏洞扫描框架,这一点可以通过自建个人的POC来保持紧急响应能力,其次就是大家可以共享自己的POC

其次,我们在其他工具的美观和艺术性上讲:我们更多的关注功能而非美观度,所有大部分的安全工具都是注重功能而非反馈界面,Goby带给了我们很好的体验。

🥦开发者zwell

对这款产品,赵武本人的想法:

https://mp.weixin.qq.com/s/hW0A1jwq-pm4M-4LGUZIrA

🥕Goby特性

实战性:Goby并不关注漏洞库的数量,而是关注真正用于实际攻击的漏洞数量,以及漏洞的利用深度(最小精准集合体,打造权威性)

体系性:打通渗透前,渗透中,以及渗透后的完整流程完整DOM事件收集,自动化触发

高效性:利用积累的规则库,全自动的实现IT资产攻击面的梳理;效率提升数倍,发包更少速度更快、更精准

平台性:发动广泛的安全人员的力量,完善上面提到的所有资源库;包括基于社区的数据共享,插件发布,漏洞共享等

                                                           **————CSDN博主 关键_词**

♻️下载地址

https://gobies.org/#dl

🍊Goby功能

1.扫描

资产扫描

自动检测当前网络空间中存在的IP地址

端口扫描

涵盖近300个主流端口并支持不同情况下的端口分组

2.协议识别

预设了200多种协议识别引擎,涵盖网络协议数据库协议IoT协议ICS协议等,可通过非常轻量化的传输快速分析与端口相对应的协议信息。

3.产品识别

预设了100,000多个规则识别引擎,以自动识别和分类硬件设备和软件业务系统,并全面分析网络中存在的业务系统。

4.Web页面查找

支持web渗透所需的重要信息:包括IP,端口,服务器,标题等

5.漏洞扫描

预设最具攻击性的漏洞引擎,涵盖最严重的漏洞,例如WeblogicTomcat

6.网站截图

可以获得服务器上的网站屏幕截图,并且在详细信息页面上可以查看更多屏幕截图

7.域扫描

支持根域和子域扫描,并支持子域名的自动爬虫。

8.漏洞

自定义PoC

漏洞扫描更加灵活

自定义词典

暴力破解攻击更容易

🍀基本使用

Goby的重头在于扫描

可以根据情形定制一些常见端口扫描

不仅可以扫IP ,还可以扫域名

扫描的时候也可以加上想测试是否存在的漏洞的POC

神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具

右上角点开能查看IP矩阵图网络结构图

神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具

设置中可以选择pcap还是socket

神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具

还能开启很多功能,比如网站截图、结合fofaapikey

支持深度测试可能会发现非标准端口的资产

神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具

有很多的poc,甚至能定制一些自定义poc

神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具

还可以自定义暴破字典

最后报告还可以导入导出

🍉扩展功能

Goby支持很多的扩展插件

有一些比较实用的插件

比如FOFA、shodan、Xray、MSF、子域名爆破

神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具

🌦️POC

https://pan.baidu.com/s/14JHGYEM2jYoIN5Moe--e0Q 

提取码:1234

来自于大佬的POC

神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具


直接将压缩包导入即可

🐯总结

Goby的真正用途个人感觉

是大型的hw内网渗透

天天拿来扫外网是何等居心呢(滑稽保命)?

还有各位大哥们,本人菜鸟一个,有啥直接加我批评就好

别恶意举报行吗?

神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具

原文始发于微信公众号(猫因的安全):神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月17日13:01:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   神兵利器 | Goby:【虾虎鱼】新一代资产发现&漏洞扫描工具https://cn-sec.com/archives/1124604.html

发表评论

匿名网友 填写信息