本文介绍了一位技术专家分享的关于Golang的学习资料,包括从零基础到进阶的全面内容,以及如何利用Goby进行路由器命令交互和安全测试。同时鼓励读者加入技术交流社区,共同学习和成长。
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新Golang全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip1024b (备注go)
正文
Authorization: Basic Z3Vlc3Q6Z3Vlc3Q=
Data部分
command=show clock&strurl=exec%04&mode=%02PRIV_EXEC&signname=Red-Giant.
还有一些可以执行的命令:
查看配置
show run
查看LAN和WAN口
show sys-mod
查看用户等等
show webmaster users
2.3 POC编写
首先,路由器的goby规则是app=“Ruijie-NBR-Router”,完成这两个必填项即可。
下一步,测试部分的四个必填项。漏洞简介里面咱们已经知道了这四项参数,逐一添加进去。
剩下就是响应测试部分的填写了,一个判断存在漏洞的部分,在漏洞简介里面截图,可以看到响应的部分,找一个比较唯一的准确的关键参数作为存在漏洞的标识,然后保存。
POC部分就写好了!其实EXP部分也就完成80%了。
2.4 EXP编写
首先,找到刚才编写的POC自动生成的JSON文件。
路径:\goby-win-x64-1.8.202\golib\exploits\user
打开json文件?没错,因为UI里没有地方写,咱们只能在json里写了!
在Scanstep上面添加语句:
其实这部分,要是细心的小伙伴就能发现Goby和FOFA写EXP是一个样子的。
所以接下来,和FOFA一样有个ExploitSteps部分,但是goby相对于FOFA来说好写的很多,只需要将Scanstep部分复制下来即可,这就是说为什么写完PoC部分相当于完成EXP的80%了,然后添加output|lastbody把响应的body展示出来,OK了。
看一下结果,show webmaster users看的是账号的明文密码,ruijie@2017
结果是支持正则匹配,但是因为还不算完善,不能做多个匹配,这里就直接显示admin的密码就好了:
效果如下图,这次看起来比较清爽了!(考考你们中文那部分加在哪里拉?)
2.5 交互命令编写
在ExpParams处我们有个参数就是cmd:
现在需要改两处就可以,直接调用cmd也就是:
show webmaster users
因为cmd的类型是input,也就是说,输入什么执行什么,从而达到命令交互。大概就这个意思。至于output输出部分,因为是每个命令执行返回的内容都不一样,没法用同一种正则去匹配所有响应结果,所以只能把整个body展示出来。
0x003 小结
正则真是菜出天际了!各位见笑了。我觉得Exp部分还是挺有意思的,利用漏洞的时候方便一些!也能更好的理解Goby吧!还是那句话,我很喜欢Goby,特别适合我这种又菜又懒又严重依赖工具的脚本小子,软件又不会写,但是工具咱必须要用明白哈哈!祝Goby越来越好。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Go)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
:vip1024b (备注Go)**
[外链图片转存中…(img-myp7nMtD-1713129744566)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
658
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
