Goby

渗透测试过程中发现存在文件上传漏洞时,我们往往会尝试通过上传木马文件获取一个 webshell。
作为安全小白的插件作者,曾经最困惑的就是,拿着自带强大靶标漏洞库的 Goby 去扫描,却总是很难找到漏洞的影子,这让起步去学习安全知识这件事变得困难,后来了解到靶场工具,开始使用 Vulfocus,一个想法随之产生。
之前在进行 Web 打点的资产收集时,总是手动的收集父子公司、手动或半自动化收集根域、子域、C 段,当目标资产较多或多个目标时往往非常繁琐。
为了进一步完善了漏洞的利用流程,优化用户体验,现在,ShellHub 插件来了~
安全人员在渗透测试、攻防演练的第一步就是信息收集,收集目标公司的域名、IP。近期 Goby 新版本添加了一个内测功能,叫 IP 库。
在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而是要进入后渗透阶段,那么对于 Windows 机器而言,上线 CS 是必不可少的操作,会让后渗透如鱼得水。
恰逢中国传统七夕节,不知各位表哥表姐如何度过?来看看 Goby 为大家带来的七夕活动噻!
站在红队的角度,Goby 是一款优秀的渗透测试工具,特点十分鲜明。
这几天师傅们都在提交 Goby 的 EXP,赶鸭子上架,一边研究一边写,也写出来几个,编写过程中遇到了很多问题,都记录了下来。
Dirsearch 是一款成熟的命令行工具,旨在暴力扫描页面结构,包括网页中的目录和文件。当我们在使用 Goby 扫描时,有一些网站打开是空白页面或者直觉告诉我们没有这么简单的页面,这时通过目录扫描或许能发现不一样的惊喜(网站后台、未授权访问页面等等),Dirsearch 插件助你能够更便捷的发现这些惊喜。