插件預熱 | 且看安全小白如何輕松利用Goby插件快速上分

0×01 前言

各位師傅們好，首先強調一遍我可沒做壞事，我只是想學技術，我有什么壞心思呢
在這里插入圖片描述

回到正題，作為一個初學者，我想和大家分享一下我是如何利用 Goby 進行刷分的經歷。大家都知道，剛開始學習的時候，通常會選擇挖掘 src 來鍛煉自己的實戰能力，我也不例外，緊隨前輩們的步伐。

某個平凡的周二，我正在埋頭苦干信息收集，突然一位不愿透露姓名的肖師傅走了過來。他看了一眼我的工作，搖搖頭，嘆口氣說：“就憑你這速度，怕是不行啊。別人早就把分刷完了。來，給你看個好東西，我新開發的Goby插件-Foradar。”他把我帶到他的電腦面前，自豪地說：“這個插件可以自動搜集互聯網資產進行打點掃描，能讓你事半功倍！不過強調一遍哈，我可是申請了內部 Foradar 和 fofa 企業版的測試賬號，你可得小心使用。”

好家伙，竟然藏著掖著，趕快讓我試用試用，話不多說上號！（我才不管那么多，直接薅哈哈哈）

在這里插入圖片描述

0x02 功能使用

接下來看我是如何使用Foradar插件進行刷分的（嘿嘿嘿嘿白嫖就是香）

1、開掃準備：

首先Foradar插件需要登錄才能進行體驗，感謝肖師傅提供的賬號，讓我一把梭！

在這里插入圖片描

2、資產導入：

我將src的一部分資產進行整理，通過Foradar的多任務掃描功能，同時導入多個目標進行查詢，查詢完后一鍵導入Goby進行漏洞掃描，之后就等著Goby出洞啦！沒想到這么容易操作，簡直太太太節約時間了，利用這個時間去找小姐姐聊技術去。
在這里插入圖片描述

由于我的亂點，我又發現了一個單掃功能，我想如果在其他實戰中遇到指定性的資產，就可以進行單個掃描。沒想到還可以根據資產的高、中、低可信度進行篩選查詢，肖師傅真是把我們的需求拿捏的死死的，一個字絕！
在這里插入圖片描述

3、完成：

經過了幾天的掃描，我滿懷著激動的心顫抖的手打開了Goby界面，看到界面利用！利用！利用的字眼，心落下來了。接下來我只要像個猴子一樣點鼠標就行了哈哈哈哈哈哈哈。
在這里插入圖片描述

在這里插入圖片描述

4、整體展示：

接下來通過完整視頻來看看利用Goby插件實現快速掃描，坐著收洞的效果吧！注：懶得裁剪視頻了就只錄制了一個目標展示視頻。

公眾號展示

0x03 成果

本來我對這個嘗試并沒有抱太大的期望，畢竟并沒有投入太多精力，只是輕松地點擊了幾下鼠標。然而，出乎我的意料，效果還不錯（悄悄告訴大家，我進行了對1600個目標的掃描，發現了77個有結果的目標，其中31個居然可以直接利用）

對于這個結果，不禁讓我感嘆，太強了！實在是太強了！能夠輕松獲取shell，確實讓我感受到了漏洞挖掘帶來的快感，但同時也不可否認地揭示了我們的網絡防御體系可能存在一些薄弱之處，這令我深感擔憂。在沉浸于這個工具所帶來便利的同時，我們必須深刻認識到維護網絡安全的重要性，以有效防范潛在的風險和威脅。

先給大伙看看Foradar快速掃描后的利用展示頁面：
在這里插入圖片描述

牛逼，直接反彈shell拿下：

下一步就是提交報告啦，人生第一份src報告已通過！（記錄一下，再接再厲圖片）：

0x04 插件由來

插件如此好用，自然要去向一位不愿意透露姓名的肖師傅請教學習一番（渴望知識的力量）。

肖師傅深思熟慮地說：“之前收到了不少師傅的反饋，實戰下掃描大量資產速度慢、卡，而且成果效果不盡如人意。我們就在思考，從哪些方面進行改進呢？信息收集？漏洞掃描？漏洞驗證？總的來說，我們追求的效果就是要又快又準又狠。”
我瘋狂點頭，深有感觸地表示同感，因為我也遇到 Goby 的大資產掃描確實太慢的問題。
肖師傅繼續分享：“因此，我集成了 Foradar 和 fofa 的功能。Foradar 接口的調用可以幫我們節省大量信息收集時間，快速定位企業資產（IP，域名，端口）；而 fofa 接口的調用則使我們可以開啟快速掃描模式。之前若不調用 fofa 接口，就得直接依賴 Goby 本地數據庫進行資產掃描，時間成本大大增加。現在通過 fofa 元數據，我們可以直接進行漏洞掃描。為了實現絲滑的效果，我主要利用了兩個接口：

goby.debugPoc 判斷目標是否存在漏洞，并返回驗證的交互數據包以及驗證結果；
goby.openExp 打開對應Exp的驗證界面；

這兩個接口的組合，成就了fordar這款插件的強大。我兩眼崇拜的看著肖師傅，給他點贊，如果我也能像肖師傅那樣，簡直就是太酷啦！

全體起立，為肖師傅鼓掌👏👏👏

0x05 總結

沒想到我這個小白，借用了這個神器第一次嘗試居然取得了出乎意料的效果，果然技術才是第一生產力呀！再次感謝肖師傅的慷慨分享，話不多說了，學技術去了。如果各位師傅們能夠借助這三大神器，也可以像我一樣坐等收洞了。順便透露一下，肖師傅說下個版本將為大家準備一些福利。

Goby 歡迎表哥/表姐們加入我們的社區大家庭，一起交流技術、生活趣事、奇聞八卦，結交無數白帽好友。

也歡迎投稿到 Goby（Goby 介紹/掃描/口令爆破/漏洞利用/插件開發/ PoC 編寫/ IP 庫使用場景/ Webshell /漏洞分析等文章均可），審核通過后可獎勵 Goby 紅隊版，快來加入微信群體驗吧~~~

文章來自Goby團隊，轉載請注明出處。
微信群：公眾號發暗號“加群”，參與積分商城、抽獎等眾多有趣的活動
獲取版本：https://gobysec.net/sale

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/167778.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/167778.shtml
英文地址，請注明出處：http://en.pswp.cn/news/167778.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！