Goby

Apache Tomcat默认安装包含examples目录,里面存着众多的样例,其中session样例(目标/examples/servlets/servlet/SessionExample)允许用户对session进行操纵,因为session是全局通用的,所以用户可以通过操纵session获取管理员权限。
本人参加了2020届A市、B市及C市的hvv,此次分享下在地市hvv中Goby的使用技巧。本人为合法合规扫描!请大家不要做未授权测试!请大家不要做未授权测试!请大家不要做未授权测试!
Goby内置有暴力破解漏洞字典,但是由于内置的字典较为简单,直接使用会导致这些漏洞几乎发挥不了作用。所以这次在插件里内置了不同等级的漏洞字典,我们可以选择字典保存,批量替换及自定义替换字典,从而使这些漏洞在扫描时发挥作用。
最近网上爆出Apache Flink漏洞CVE-2020-17518,影响范围从1.5.1到1.11.2,漏洞版本周期超过两年,看了一些网上的漏洞复现文章里提到的EXP主要只停留在写文件后登录服务器里验证。为了在实战中能够发挥作用,于是想尝试构造能够Getshell的EXP。
最近从一名技术潜移默化的成为了文档工程师,心情复杂的去当初我奔着来的工控实验室。
在以往hvv场景中使用Goby的过程总是存在一个痛点:时间短,目标多,只能盯着扫描进度结束后才能手动返回到初始界面开启下一个扫描任务(内心极度狂躁)。
双节将至,圣诞主题的皮肤也即将上线和大家见面,除此之外,还有超大福利!
Packer Fuzzer是一款对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。当我们在Goby中遇到前端打包器所生成的站点时,联动Packer Fuzzer可以自动解析全部JS文件并提取该站点所有API及API参数,从而进行高效漏洞模糊检测。
该插件可以统计扫描任务中获取到的数据并进行筛选,筛选出用户需要显示的数据库信息。
RapidDNS.io 是一个秒级在线子域名和同IP域名的查询工具。目前拥有25亿条DNS记录,支持A、AAAA、CNAME、MX4种DNS记录类型。