Goby新一代网络安全工具

Goby是一款新的网络安全测试工具，由赵武Zwell（Pangolin、JSky、FOFA作者）打造，它能够针对一个目标企业梳理最全的攻击面信息，同时能进行高效、实战化漏洞扫描，并快速的从一个验证入口点，切换到横向。我们希望通过智能自动化方式，帮助安全入门者熟悉靶场攻防，帮助攻防服务者、渗透人员更快的拿下目标。

Goby主要特性：

实战性：Goby并不关注漏洞库的数量有多么多，而是关注真正用于实际攻击的漏洞数量，以及漏洞的利用深度（最小精准集合体，打造权威性）；
体系性：打通渗透前，渗透中，以及渗透后的完整流程完整DOM事件收集，自动化触发。
高效性：利用积累的规则库，全自动的实现IT资产攻击面的梳理；效率提升数倍，发包更少速度更快、更精准；
平台性：发动广泛的安全人员的力量，完善上面提到的所有资源库；包括基于社区的数据共享，插件发布，漏洞共享等；
艺术性：安全工具原本就比较偏门，我们更多的关注功能而非美观度，所有大部分的安全工具都是其貌不扬；我们希望使用Goby能给大家带来感官上的享受。

0x001 安装

Goby目前是使用Go语言开发、采用Electron+VUE前端框架的绿色版本，支持windows/MacOS/Linux，无需安装。因Goby基于网络扫描，所以使用前，请先赋予goby识别网卡的权限。方式如下：

Windows用户
下载Npcap数据捕获包，安装完成后，启动goby。
下载地址 https://nmap.org/npcap/dist/npcap-0.9983.exe
MacOS用户
执行以下命令：

cd /dev
sudo chown $USER:admin bp*

0x002 使用

1. 资产收集
自动探测当前网络空间存活的IP及解析域名到IP，轻量且快速的分析出端口对应的协议、Mac地址、证书、应用产品、厂商等信息。

开启以下功能，将获取更多资产信息。

子域名扫描
自动爬取子域名，AXFR监测，二级域名字典爆破，关联域名查询。同时支持连接FOFA，扩大数据源。
网站截图
通过截图，快速判断网站系统应用，无须再一一打开。

注：该功能基于Chrome截图插件实现，需要预安装Chrome浏览器。

深度分析
发现非标准端口或非标准应用系统资产，进行深入的应用识别。在实战场景中非常有效。
代理扫描
通过socket5代理，快速进入内网，开启内网渗透。

注：支持Pcap及socket两种模式，请根据不同的场合动态切换。
pcap模式：支持协议识别和漏洞扫描，不支持端口扫描；
socket模式：支持端口扫描协议识别以及漏洞扫描，扫描速度慢。

2. 漏洞利用

对扫描出来的风险资产进行批量验证，验证成功后，可进行利用，利用成功后，不需要自己搭建服务器，直接进行shell管理。
支持自定义PoC及弱口令字典，让安全人员自定义属于自己的武器库，增强攻击力。

3. 生成报告
扫描完成后，生成分析报告，并支持PDF、Excel导出，方便本地分析及呈报传阅。

4. CS模式
远程服务，区分扫描模块及展示模块。
CS搭建：开启远端服务，然后配置服务端主机、端口、账户信息。

0x003 预置数据说明

1. 规则库
超过10万种规则识别引擎，硬件覆盖范围：网络设备，物联网设备，网络安全产品，办公设备等，软件覆盖范围：CRM，CMS，EMAIL，OA系统等。

2. 协议
超过200种协议识别引擎，覆盖网络协议，数据库协议，IoT协议，ICS协议等。

3. 端口
除了常用端口，我们还根据安全实战场景进行了端口分组，包括企业、咖啡馆、酒店、机场、数据库、物联网、SCADA、ICS、后门检测等。

4. 漏洞及弱口令
覆盖Weblogic，Tomcat等最严重漏洞及超过1000种设备的预置账号信息。

CVE-2020-2551
CVE-2020-2555
CVE-2019-10758
CVE-2011-3556
CVE-2017-5878
CVE-2018-1297
CVE-2019-19781
CVE-2020-10189
CVE-2016-4437
CVE-2018-1000861
CVE-2017-1000353
CVE-2020-1938
…
持续更新中

0x004 小结

Goby目前是Beta版本，还有很多功能正在按部就班的开发，如上面提到的插件市场及社区数据共享等。以及，之前在追求功能的时候，顾不上一些边边角角，导致遗留了很多bug。所以接下来的时间，Goby团队会重点完善如下几个方面：一）稳定性；二）实战型漏洞的补充完善；三）几个大功能的开发。完成这几点，争取今年Goby版本转正，发布正式版让大家批评指正。

下载goby，请访问官网https://gobies.org/