针对近期连续性的地方hvv,本次更新继续助力红队队员!除了一大大大波近期新爆出的漏洞及hvv漏洞,还新增了蜜罐识别类型及特征,以及终于支持了网页爬虫!

文章看到底,找此版本的获取方式↓文章看到底,找此版本的获取方式↓

0x001 新增漏洞

新增漏洞高达30条:包含CVE-2020-14882/CVE-2020-14750、CVE-2020-14883、XXL-JOB API Unauthenticated RCE、VMware等新爆漏洞, Weaver_e-Bridge_File_Read、Yonyou_GRP-U8_RCE等近期hvv实战漏洞,Fastjon和stucts2等需要爬虫支持的漏洞!请享用!

漏洞演示Demo: https://github.com/gobysec/GobyVuls

0x002 新增功能

1. 新增网页爬虫功能

需预先前往设置 > 资产测绘 开启。并通过配置爬虫并发数、爬虫最大链接数、爬虫最大分析连接数优化性能。默认爬取当前主机,可选择只爬取主页。

爬虫支持的Fastjson漏洞:


支持树形图展示爬虫信息:

2. 新增漏洞扫描类型

在原有的通用PoC及暴力破解两种类型上,新增Web通用漏洞(如sql注入等漏洞)、应用程序漏洞(如weblogic等漏洞)两种类型。通用PoC包含web通用漏洞及应用程序漏洞。

3. 支持配置Socket代理发包率

默认100,建议配置小一点,可改善因发包过大导致代理服务器异常进而扫描崩溃的情况。

4. 新增语言支持——法语

欢迎更多海外安全从业者加入。由@Poc Sir 表哥贡献翻译,此处掌声致谢。

0x003 优化

  • 新增物联网协议识别:ddp、jt808/809、sl651。
  • 新增蜜罐:新增cowrie蜜罐识别;以及新增两个蜜罐特征,由@Sp4cea 表哥提供,此处掌声致谢。
  • 支持漏洞扫描自动排出蜜罐资产。由@mojie 表哥提出建议,此处掌声致谢。
  • 支持批量删除历史任务。由@Sp4cea 表哥提出建议,此处掌声致谢。
  • IP聚合页支持全局内容搜索,方便查找应用组件。由@7ry_f1y 表哥提出建议,此处掌声致谢。

0x004 修复/解决问题

针对表哥/表姐反馈的问题,此版本做了大量修复:

  • 修复单IP测试PoC失败问题。由@影舞者 表哥反馈,此处掌声致谢。
  • 解决代理连接失败的误报。由@叶 @wjqqwj0819 表哥反馈,此处掌声致谢。
  • 解决域名提取hostinfo失败的问题。由@米勒 @Crocodile Pa 表哥反馈,此处掌声致谢。
  • 解决IBM漏洞漏报问题。由@脚踏禹步的青云 表哥反馈,此处掌声致谢。
  • 修复CVE-2020-2551的误报问题。
  • 修复反弹shell不稳定问题。
  • 修复开启网站截图后扫描超时导致扫描进程卡在70%、84%的问题。
  • 修复DNS获取失败导致扫描停止没有提示的问题。
  • 修复ip详情页面显示不了域名漏洞的问题。
  • 修复爬虫对应漏洞统计数据没有的问题。
  • 修改报告PDF上的文案错误。@Zero 表哥反馈,此处掌声致谢。

注:部分表哥/表姐反馈本地已安装Chrome浏览器,但开启网站截图及蜜罐识别功能,依旧提示未安装。当遇到此情况时,请提供您的安装路径给我们,以加入识别机制,不胜感激。

0x005 小结

自上次发布版本后,一方面我们继续打磨Goby在hvv中的实战性,另一方面继续研发插件新方向(新入口点、数据API等),希望实现更多场景的应用。如,扫描过程中实时统计数据库信息等,敬请期待!

如果你在使用中遇到问题/建议,或指纹/蜜罐需求,欢迎通过以下渠道反馈给我们:

  • GitHub issue: https://github.com/gobysec/Goby/issues
  • 微信群:公众号发暗号“加群”。

版本下载:关注微信公众号gobysec,回复:加群

Goby 内测版1.8.221 | 启动爬虫,继续助力红队相关推荐

  1. Goby 内测版1.9.314|代理全局状态切换、报告支持插件数据显示、新增47种 UDP 协议支持

    上周 Log4j 大杀器的爆出,让安全圈同仁们提前过年一样热闹非凡.Goby 团队反应迅敏,凭借已打通渗透全流程的产品优势和领先的技术攻坚能力,快速在红队版中针对 Log4j 做出了应急更新,是行业内 ...

  2. Goby内测版1.8.292|后台扫描、导出截图等功能上线(文末福利等你~)

    上一次端午节的用户调研,社区的热心成员和优秀用户们给 Goby 提出了大量具有建设性意义的建议,Goby 听到了大家的声音,并深感肩上的使命不可辜负,未来将会通过更高质量的功能更新和更紧凑的迭代节奏来 ...

  3. 如何编写合格的 PoC 领取 Goby 红队专版

    前言: Goby已经上了某榜(滑稽)的top10了,足以证明Goby的实用性,众所周知Goby还分为内测版.超级内测版.红队专版等等,其中最强大的莫过于红队专版,但红队版的获取是严格限制的,当然也是有 ...

  4. 《渗透测试实战第三版(红队版)》翻译完成

    译者雪茗是我的一位朋友,看到她翻译的这个教程后,我觉得非常不错. 译者:Snowming(雪茗) 时间:北京时间 2019-03-17 本书英文名:The Hacker Playbook 3 阅读及 ...

  5. 奥拉星插件flash下载手机版下载安装_终于等到你!安卓微信7.0.13内测版发布 支持夜间模式 附下载地址!...

    3月22日,iOS版微信迎来了7.0.12正式版更新,最大的亮点在于为iOS13设备加入了"深色模式"功能,虽然没有独立的控制开关,但可以跟随系统开启或关闭夜间模式.此外,iOS版 ...

  6. 阿里云盘电脑客户端内测版

    01 阿里云盘 PC/Mac 客户端 大概一个月前,阿里云旗下Teambition网盘与阿里云盘实现数据合并,两款网盘合并为阿里云网盘,发布了手机客户端,阿里云盘的网页版.近日,阿里云盘的PC端内测版 ...

  7. NFT Insider #48:The Sandbox发布内测版第二季,FTX Gaming与YGGIndia达成合作

    引言:NFT Insider由WHALE社区.BeepCrypto联合出品,浓缩每周NFT新闻,为大家带来关于NFT最全面.最新鲜.最有价值的讯息.每期周报将从NFT市场数据,艺术新闻类,游戏新闻类, ...

  8. 微信3.3.0内测版发布,Windows电脑可以刷朋友圈了

    早在3月份,Mac平台微信迎来 3.0.0 正式版更新,最大的看点在于,电脑版微信终于可以浏览朋友圈了.此外,该版本还加入深色模式.可以浏览聊天中分享的视频号视频和视频号直播支持. 不过,此前仅 Ma ...

  9. redmi 6 android 9.0,小米为红米Note 5发布Android 9.0 Pie内测版

    原标题:小米为红米Note 5发布Android 9.0 Pie内测版 玩懂手机网资讯,根据消息,小米刚刚宣布为红米Note 5发布Android 9.0 Pie内测版补丁,对于目前是正式版的用户来说 ...

最新文章

  1. virsh 常用操作
  2. linux基础-网络基础知识篇
  3. linux中probe函数中传递的参数来源(上)
  4. 【cropper】介绍:JavaScript图片裁切
  5. A的大小是多少c语言中,C/C+中字符(A)的大小
  6. python中continue格式_python自学(3)--for 、 while、 break、continue、字符格式化输出...
  7. python可以做科学计算吗_用 Python 做科学计算之最小二乘
  8. java中转为整形的编码_java中Unicode编码转化为中文
  9. 实体类在set字段时报空指针异常
  10. python取余什么意思_基于python 取余问题(%)详解
  11. 关于this指向问题及改变this指向的方法
  12. 橡胶支座抗压弹性模量计算公式_橡胶支座计算
  13. 贾又福大象鸿蒙,2016贾又福工作室师生优秀作品全国巡展
  14. python判定固定时长固定频率的音频是否连续
  15. Office服务器意外响应,Office 所有使用过程中未响应,崩溃,意外关闭
  16. 京东双十一活动执行总结
  17. charles抓包一直返回unkown的解决方法
  18. Neither --kubeconfig nor --master was specified. Using the inClusterConfig. This might not work
  19. 英语学习单词篇(15)
  20. 2021管理类联考真题pdf-文都管联院

热门文章

  1. Unity-业余2D游戏制作笔记01-Dialogue System for Unity使用
  2. 腾讯云存储产品介绍第三章-云存储服务
  3. 太赫兹电波传播及信道特性
  4. javaweb汽车租赁系统案例
  5. 中M22春C、Java入门练习-7.17
  6. Windows 10「设置」应用完整MS-Settings快捷方式汇总
  7. 15、渗透测试基本流程
  8. 像素缓冲对象(PBO)
  9. 原来谷歌浏览器皮肤也和我们一样派生的CButton类吗
  10. JDBC 的 setTimestamp 性能问题