listSupport
listSupportPage
live
rescanVulnerability // poc检测
resumeScan
ruleVuls
setEnvi
stopScan // 停止当前进行的任务
tasks // 获取所有的历史任务
tasksPage
verifyPoc // 验证导入的poc
version
vulnerabilitySearch // 可以获取存在漏洞的host信息
vulnerabilitySearchPage
vulnerabilityStatisticsData
这些API根据名字还是很好猜测其功能,比如getEnvi,就是获取一些系统配置环境。
首先第一步获取PoC的列表,通过/api/v1/getPOCList或者/api/v1/getPocs都可以获得,我们的目的是获取filename。
获取了filename之后就可以进行下一步的操作了。
我们需要的是PoC检测功能,也就是下图红框中的按钮。
抓包发现如下所示,使用了/api/v1/rescanVulnerabilityAPI
大胆猜测与尝试构造如下data后点击发送(只保留options字段也可以正常发包,但是不知道该如何呈现漏洞):
可以看到我们在[]中输入的URL都被检测了,与此同时也产生了上面说过的两个缺陷。
1.好像没有扫描检测进度的API供我们调用。(下图为正常流程下的漏洞检测,猜测是此检测进度条没有API实现)
2.通过API调用实际上是通过goby-cmd检测漏洞,但是没有找到合适的API去单独呈现扫描到的漏洞,/api/v1/rescanVulnerability这个API也和大多数PoC检测一样,分为有回显检测和无回显检测。有回显不用多说,返回包匹配一下字符判断即可,无回显的这里用到了DNSLog的方式去判断,在Goby中有一个godserver就是用来判断这一类无回显的漏洞,以及反弹shell之类的操作,以上面的shiro检测为例,我们解密一下rememberMe可以发现:
所以在进行漏洞检测之后,goby-cmd会通过https://gobygo.net/api/v1/pull?gid=3d358d3a2aaccaf4进行DNSLog的查询,来判断是否存在漏洞,其中gid在Goby启动时就已经生成。
2.2 EXP用到的API
EXP用的到API为/api/v1/debugExp相比上面的PoC检测API,因为不用用到TaskId,感觉上更加独立。如下调用一个st2045的EXP执行命令:
但是这个EXP是有点问题的whoami;echo be4ea51d962be8308a0099ae1eb3ec63,在wins下会报错,再大胆猜测一下,之所以要执行两句是因为想通过匹配这一串md5,来确定命令执行是否成功,如果匹配成功,回包中的output字段就会回显代码执行的结果,如果匹配失败,output将为空。于是发包->拦截->修改->放行,就可以得到上图的结果了:
AttackType除了cmd代码执行外,还有goby_shell_linux的反弹shell的方式,还以045为例:
会发现有一条这个请求https://gobygo.net/api/v1/bind?magic=true&key=84e32117d16abdf8&type=reverse_linux。
会去GodServer获取一个监听的端口,获取到端口后,将会对目标发送反弹的EXP,如果成功就会获得一个session。
如果反弹成功,/api/v1/debugExp的回包中的output字段就会包含远程会话的地址,同时左侧导航页也会弹出一个会话提示,如下图:
2.3 开发
通过上面的一大串话,我们可以知道,因为没办法呈现漏洞,所以我们得利用/api/v1/importAssetsAPI导入一个报告模板,其余用到的API也基本在上面讲到了,确定了要使用的API之后就是用node.js的request模块,或者ajax完成对API的调用即可。
例:
this.request({
url: http://${this.host}:${this.port}/api/v1/getPOCInfo,
method: ‘POST’,
auth: {
‘user’: this.username,
‘pass’: this.password,
},
proxy: proxystr,
json: { “vulname”: vulname }
}, function (error, response, body) {
if (!error && response.statusCode == 200) {
//输出返回的内容
// console.log(body);
resolve(body);
} else {
reject(error)
}
});
0x003 小结
这次写这个插件也算是一次突发奇想,整个开发过程也没有什么难点。但是总体来说,插件还是存在一些不足,以及通过这次对Goby API调用尝试发现的一些问题,相信后续会让插件更加完美哒~
插件开发文档及Goby开发版下载:
https://gobies.org/docs.html
关于插件开发在B站都有详细的教学,欢迎大家到弹幕区合影~
https://www.bilibili.com/video/BV1u54y147PF/
如果表哥/表姐也想把自己上交给Goby社区(获取超级内测版),戳这里领取一份插件任务?
https://github.com/gobysec/GobyExtension/projects
文章来自Goby社区成员:go0p,转载请注明出处。
下载Goby内测版,请关注微信公众号:GobySec
下载Goby正式版,请关注网址:https://gobies.org
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Go语言工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Go语言全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Golang知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Go)
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
以添加V获取:vip1024b (备注Go)**
[外链图片转存中…(img-fO75gOyk-1713020151819)]
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1085
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
