网站建设销售话术,网站开发 书,一个app的开发流程,wordpress网站管理插件001 前言
各位师傅们好#xff0c;首先强调一遍我可没做坏事#xff0c;我只是想学技术#xff0c;我有什么坏心思呢
回到正题#xff0c;作为一个初学者#xff0c;我想和大家分享一下我是如何利用 Goby 进行刷分的经历。大家都知道#xff0c;刚开始学习的时候…0×01 前言
各位师傅们好首先强调一遍我可没做坏事我只是想学技术我有什么坏心思呢
回到正题作为一个初学者我想和大家分享一下我是如何利用 Goby 进行刷分的经历。大家都知道刚开始学习的时候通常会选择挖掘 src 来锻炼自己的实战能力我也不例外紧随前辈们的步伐。
某个平凡的周二我正在埋头苦干信息收集突然一位不愿透露姓名的肖师傅走了过来。他看了一眼我的工作摇摇头叹口气说“就凭你这速度怕是不行啊。别人早就把分刷完了。来给你看个好东西我新开发的Goby插件-Foradar。”他把我带到他的电脑面前自豪地说“这个插件可以自动搜集互联网资产进行打点扫描能让你事半功倍不过强调一遍哈我可是申请了内部 Foradar 和 fofa 企业版的测试账号你可得小心使用。”
好家伙竟然藏着掖着赶快让我试用试用话不多说上号我才不管那么多直接薅哈哈哈 0x02 功能使用
接下来看我是如何使用Foradar插件进行刷分的嘿嘿嘿嘿白嫖就是香
1、开扫准备
首先Foradar插件需要登录才能进行体验感谢肖师傅提供的账号让我一把梭 2、资产导入
我将src的一部分资产进行整理通过Foradar的多任务扫描功能同时导入多个目标进行查询查询完后一键导入Goby进行漏洞扫描之后就等着Goby出洞啦没想到这么容易操作简直太太太节约时间了利用这个时间去找小姐姐聊技术去。
由于我的乱点我又发现了一个单扫功能我想如果在其他实战中遇到指定性的资产就可以进行单个扫描。没想到还可以根据资产的高、中、低可信度进行筛选查询肖师傅真是把我们的需求拿捏的死死的一个字绝
3、完成
经过了几天的扫描我满怀着激动的心颤抖的手打开了Goby界面看到界面利用利用利用的字眼心落下来了。接下来我只要像个猴子一样点鼠标就行了哈哈哈哈哈哈哈。 4、整体展示
接下来通过完整视频来看看利用Goby插件实现快速扫描坐着收洞的效果吧注懒得裁剪视频了就只录制了一个目标展示视频。 公众号展示 0x03 成果
本来我对这个尝试并没有抱太大的期望毕竟并没有投入太多精力只是轻松地点击了几下鼠标。然而出乎我的意料效果还不错悄悄告诉大家我进行了对1600个目标的扫描发现了77个有结果的目标其中31个居然可以直接利用
对于这个结果不禁让我感叹太强了实在是太强了能够轻松获取shell确实让我感受到了漏洞挖掘带来的快感但同时也不可否认地揭示了我们的网络防御体系可能存在一些薄弱之处这令我深感担忧。在沉浸于这个工具所带来便利的同时我们必须深刻认识到维护网络安全的重要性以有效防范潜在的风险和威胁。
先给大伙看看Foradar快速扫描后的利用展示页面
牛逼直接反弹shell拿下 下一步就是提交报告啦人生第一份src报告已通过记录一下再接再厉图片 0x04 插件由来
插件如此好用自然要去向一位不愿意透露姓名的肖师傅请教学习一番渴望知识的力量。
肖师傅深思熟虑地说“之前收到了不少师傅的反馈实战下扫描大量资产速度慢、卡而且成果效果不尽如人意。我们就在思考从哪些方面进行改进呢信息收集漏洞扫描漏洞验证总的来说我们追求的效果就是要又快又准又狠。” 我疯狂点头深有感触地表示同感因为我也遇到 Goby 的大资产扫描确实太慢的问题。 肖师傅继续分享“因此我集成了 Foradar 和 fofa 的功能。Foradar 接口的调用可以帮我们节省大量信息收集时间快速定位企业资产IP域名端口而 fofa 接口的调用则使我们可以开启快速扫描模式。之前若不调用 fofa 接口就得直接依赖 Goby 本地数据库进行资产扫描时间成本大大增加。现在通过 fofa 元数据我们可以直接进行漏洞扫描。为了实现丝滑的效果我主要利用了两个接口
goby.debugPoc 判断目标是否存在漏洞并返回验证的交互数据包以及验证结果
goby.openExp 打开对应Exp的验证界面这两个接口的组合成就了fordar这款插件的强大。我两眼崇拜的看着肖师傅给他点赞如果我也能像肖师傅那样简直就是太酷啦 全体起立为肖师傅鼓掌
0x05 总结
没想到我这个小白借用了这个神器第一次尝试居然取得了出乎意料的效果果然技术才是第一生产力呀再次感谢肖师傅的慷慨分享话不多说了学技术去了。如果各位师傅们能够借助这三大神器也可以像我一样坐等收洞了。顺便透露一下肖师傅说下个版本将为大家准备一些福利。 Goby 欢迎表哥/表姐们加入我们的社区大家庭一起交流技术、生活趣事、奇闻八卦结交无数白帽好友。
也欢迎投稿到 GobyGoby 介绍/扫描/口令爆破/漏洞利用/插件开发/ PoC 编写/ IP 库使用场景/ Webshell /漏洞分析 等文章均可审核通过后可奖励 Goby 红队版快来加入微信群体验吧~~~
文章来自Goby团队转载请注明出处。 微信群公众号发暗号“加群”参与积分商城、抽奖等众多有趣的活动 获取版本https://gobysec.net/sale
