插件分享 | 可进行互联网资产梳理服务的火器

最新推荐文章于 2024-05-20 17:56:19 发布
最新推荐文章于 2024-05-20 17:56:19 发布
阅读量716 收藏 3
点赞数 1
分类专栏: Goby 工具 插件 文章标签: js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/115527653
版权
Goby 同时被 3 个专栏收录
182 篇文章 30 订阅
订阅专栏
工具
49 篇文章 2 订阅
订阅专栏
插件
24 篇文章 0 订阅
订阅专栏

在这里插入图片描述
前言: 实战攻击行动中信息收集往往显得尤为重要,攻击者们通常需要耗费大量的时间去收集攻击目标的组织架构、IT资产、敏感信息泄露、供应商信息、对外暴露邮箱、资产指纹等等各类复杂的信息,这些前期工作往往需要持续非常久的时间,信息收集的是否完备直接影响攻击队伍的攻击计划,火器以攻击者视角帮助攻击队伍完成前期的基础信息收集工作,此次和火器的合作也将助力红队成员快速找到脆弱点攻下城池。

0x001 插件效果

1.1 插件使用

在这里插入图片描述

1.2 插件使用

1.在Goby中安装“火器-互联网资产梳理服务”插件

在这里插入图片描述
2. 登录"火线安全平台"企业账号获取API KEY

在这里插入图片描述
3.配置Goby中“火器”插件的API KEY

在这里插入图片描述
4. 开始使用火器-互联网资产梳理服务&&Goby插件快速进行目标打点吧!


0x002 火器-互联网资产梳理服务

火线-互联网攻击面梳理服务:火线-互联网攻击面梳理服务是火线平台开发的以企业视角进行互联网资产梳理的数据服务平台,主要提供给平台白帽子和企业以提高安全风险的发现效率。

2.1 申请“火器-互联网资产梳理服务”数据

1.访问火线安全平台官方地址(https://www.huoxian.cn),点击“申请服务”注册企业账号
在这里插入图片描述
2.企业身份认证

获取攻击目标数据的前提必须是企业身份,可通过“企业认证” 功能对企业身份进行认证,可以通过营业执照或企业邮箱二选一的方式进行身份认证,申请认证后会向邮箱发送资产服务授权协议请点击邮件中的 确认签署 按钮确认资产授权,确认后等待后台企业身份资质审核即可!

注意:申请目标客户资产必须进行企业身份认证

在这里插入图片描述
3.目标客户资产申请

通过第二步的企业认证后可以通过当前认证的企业身份进一步申请目标客户资产数据,授权协议可以选择提供以下三类信息

•服务合同封面页和盖章页

•双方企业邮箱往来邮件截图(必须公司企业邮箱后缀和客户企业邮箱后缀)

• HW现场队伍编号照片认证(必须露出攻击队伍名称和组织方名称)

申请认证后会向邮箱发送资产服务授权协议请点击邮件中的 确认签署 按钮确认资产授权,确认后等待后台工作人员对申请的客户资产授权信息进行审核即可!

在这里插入图片描述


插件开发文档及Goby开发版下载:
https://gobies.org/docs.html

关于插件开发在B站都有详细的教学,欢迎大家到弹幕区合影~
https://www.bilibili.com/video/BV1u54y147PF/

如果表哥/表姐也想把自己上交给Goby社区(获取超级内测版),戳这里领取一份插件任务?
https://github.com/gobysec/GobyExtension/projects

文章来自Goby社区成员:火器Team,转载请注明出处。
下载Goby内测版,请关注微信公众号:GobySec
下载Goby正式版,请关注网址:https://gobies.org

Gobysec
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用流量分析系统进行资产梳理
MCZH_Networks的博客
03-17 8568
很多网络管理人员都接触资产梳理,也有很多软件和系统附带资产梳理工具,但是根据明辰智航统计,很多企事业单位资产梳理工作是以前进行的,没有及时更新。网络管理人员甚至不了解企业网络中有多少个MAC地址、IP地址、端口、协议、应用、网络设备在网络中运行。有人说,每天都在做台账,台账上有呀。虽然台账用于统计和管理,但是台账是流水账,无法实时、一天、七天、一月、一年呈现资产运行和变化状况。 那么为什么要进行资产梳理? GB/T 20984《信息安全技术 信息安全风险评估规范》中是这么定义资产的:“对组织具有价值的信息
网络资产配置管理工具-BlueBox (64位版)
08-02
非常实用的网络资产及配置管理工具,收集网络配置、设备资产信息、动态批量配置、ARPMAC信息收集,轻松导出Excel信息报表。对超过300台网络设备,最快用时不到10分钟!支持Cisco IOS, PIX/ASA, H3C, HuaWei VRP 3.0以上, Fortigate,并可通过设备模板来扩展对设备的支持能力,来支持更多品牌、更多型号的设备
AsamF:一款集成多个平台的网络资产信息收集工具。
m0_65028588的博客
09-01 1334
Asamf集成了:fofa、zoomeye、quake、hunter、shodan、爱企查、masscan、subfinder。 可以直接通过搜索公司名称获取url,获取到的url会直接进行子域名收集。也可以批量进行搜索。也可以对单个url进行子域名收集。 对fofa、hunter、zoomeye、quake的部分语法进行了整合,部分选项可以聚合各个平台一并搜索。 还有很多功能,并且把各个平台的高级用法都进行一定程度的整合。打造一体化的资产收集梳理工具。 github.com/Kento-Sec/
网络空间资产梳理
最新发布
05-20 938
网络安全建设的实质是对风险的管理,古人云:知己知彼百战不殆。所谓知己,就是要了解自己的资产以及这些资产的脆弱性,知彼就是了解外部威胁及威胁所使用的手段。要做到知己,首先就要对自身的资产进行梳理
局域网电脑资产搜集管理软件
11-22
局域网电脑硬件管理V4.0 资产盘点利器 新版本功能更强大! 链接:https://pan.baidu.com/s/18QnBFfLzuwBOk6mq5QtG1A  提取码:f47i  读取硬件信息需要使用管理员权限打开软件。遇到杀毒软件拦截请添加信任。 试用版只能接受本机配置。 可以搜集 显示器、主板、CPU、内存、显卡、硬盘、MAC地址、IP地址、计算机名、操作系统、硬件序列号、软件列表等 信息 信息更全面,可以识别多个内存,显卡,硬盘的详细信息。 操作步骤: 1.打开服务器端软件,启动服务。 2.将生成的cfg.config文件和客户端一起发送至客户端机器,(服务器端左上角有显示),填入相关信息 ,然后点击获取信息并发送。 3.服务器端左侧收到信息提示。 4.点击刷新数据。 5.导出excel。 如果需要修改数据,可以修改后点击保存。
Pixel Arsenal 像素武器特效库Unity动效插件资源unitypackage
04-19
Pixel Arsenal 像素武器特效库Unity动效插件资源unitypackage 版本1.51 支持Unity版本5.3.4或更高 Pixel Arsenal 包含约 500 个复古粒子特效。 支持标准管线和 LWRP 该资源包包含导弹、爆炸、喷火器以及多种其他战斗...
ts-mysql-plugin:Typescript语言服务插件,可为SQL标记的模板文字提供超能力
03-13
一个打字稿语言服务插件,可为SQL标记的模板文字提供超能力。 专门针对MySQL语法。 特征 自动完成MySQL关键字 表名称和列名称的自动完成功能(由您的模式提供支持) 悬停文档MySQL关键字 表格和列的悬停文档(由...
火器.zip
12-24
很抱歉,根据您提供的信息,"火器.zip"这个压缩包文件似乎与IT行业专业知识不直接相关。标题和描述中提到的"火器"通常指的是军事或历史上的火器装备,而非信息技术领域的概念。标签为空,也没有提供进一步的线索。...
行业资料-交通装置-一种带生火器的炉桥.zip
08-24
行业资料-交通装置-一种带生火器的炉桥.zip
超实用的网络配置及资产管理工具--Bluebox 32位版本
08-09
超实用的网络配置及资产管理工具,收集网络配置、设备资产信息、动态批量配置、ARPMAC信息收集,可以轻松导出Excel报表。 主要功能有: 设备资产管理:自动收集设备模块、序列号、IOS版本、Image文件,并可轻松导出Excel表格 端口信息收集:自动收集所有端口,收集每一个端口状态、IP/Mask、VLAN、Trunk、Speed、Duplex、Input/Output Error,可导出Excel表格 批量配置备份:备份设备的Configuration ARPMAC信息收集:自动收集交换机的ARP/MAC,关联IP-MAC-端口,结合CDP信息,可轻松找到服务器的直连端口,并轻松导出Excel表格 动态批量配置:除了可批量配置全局模式下的命令,更可针对不同端口的参数进行批量动态配置。 支持多线程处理:对超过300台网络设备,最快用时不到10分钟!
数据资产梳理方案 (实施版)
09-27
管理方法及案例相结合,供您在做数据资产梳理的时候参考。可用性强。
内网扫描工具
09-25
#网络资产信息扫描 在渗透测试(特别是内网)中经常需要对目标进行网络资产收集,即对方服务器都有哪些IP,IP上开了哪些端口,端口上运行着哪些服务,此脚本即为实现此过程,相比其他探测脚本有以下优点:1、轻巧简洁,只需python环境,无需安装额外外库。2、扫描完成后生成独立页面报告。 此脚本的大概流程为 ICMP存活探测-->端口开放探测-->端口指纹服务识别-->提取快照(若为WEB)-->生成结果报表 运行环境:python 2.6 + 参数说明 -h 必须输入的参数,支持ip(192.168.1.1),ip段(192.168.1),ip范围指定(192.168.1.1-192.168.1.254),ip列表文件(ip.ini),最多限制一次可扫描65535个IP。 -p 指定要扫描端口列表,多个端口使用,隔开 例如:22,23,80,3306。未指定即使用内置默认端口进行扫描(21,22,23,25,53,80,110,139,143,389,443,445,465,873,993,995,1080,1723,1433,1521,3306,3389,3690,5432,5800,5900,6379,7001,8000,8001,8080,8081,8888,9200,9300,9080,9999,11211,27017) -m 指定线程数量 默认100线程 -t 指定HTTP请求超时时间,默认为10秒,端口扫描超时为值的1/2。 -n 不进行存活探测(ICMP)直接进行扫描。 结果报告保存在当前目录(扫描IP-时间戳.html)。 例子: python NAScan.py -h 10.111.1 python NAScan.py -h 192.168.1.1-192.168.2.111 python NAScan.py -h 10.111.1.22 -p 80,7001,8080 -m 200 -t 6 python NAScan.py -h ip.ini -p port.ini -n 服务识别在server_info.ini文件中配置 格式为:服务名|默认端口|正则 例 ftp|21|^220.*?ftp|^220- 正则为空时则使用端口进行匹配,否则以正则匹配结果为准。 项目地址 https://github.com/ywolf/ 欢迎大家反馈建议和BUG
内网资产自动收集
wilson_xpp的博客
04-13 2777
#!/usr/bin/python # -*- coding:utf-8 -*- import os import getpass import time import socket import re import threading from Queue import Queue import platform import types from subprocess import Pope...
一切从资产梳理开始
09-28 742
友情提示:本文共1200+字,预计阅读3分钟。关键词:隐形资产资产梳理、摸清家底、资产安全治理 如果要入侵一台服务器,从开放的端口服务下手;那么,如果要入侵一家企业,从互联网暴露面资产进行探测,主要围绕域名、IP进行信息收集。 你了解过你所在的企业有多少资产暴露在外网吗? 通过防火墙发布外网,这里的内外网映射关系+域名解析记录,构成了一条完整的网络链路,而这些链路决定了有...
如何进行资产梳理(信息收集)
weixin_72543266的博客
05-09 1400
前面出了一篇如何进行资产梳理,但是主要还是停留在概念部分,本篇博文是对概念进行以渗透角度来如何进行资产梳理,算是一个简单的总结吧,目前还不是很完善,就先总结这些,后续随着学习程度的提生来进行进一步完善.
收集资产之goby资产扫描工具
不秃头的程序Yang
05-04 2308
一、安装下载 1、下载goby https://cn.gobies.org/ 二、goby使用 1、启动goby 2、新建扫描
企业互联网暴露面未知资产梳理
weixin_43526443的博客
09-06 3117
当前,互联网新技术的产生推动着各种网络应用的蓬勃发展,网络安全威胁逐渐蔓延到各种新兴场景中,揭示着网络安全威胁不断加速泛化。当前网络存在着许多资产,这些资产关系到企业内部的安全情况,然而这些资产可能被攻击者利用,从而使得恶意攻击者能够获取敏感信息或者控制网络,如何避免上述问题产生,如何梳理企业资产暴露面是关键。帮助企业梳理互联网暴露面资产尤为重要,旨在识别和评估组织或系统在网络上暴露给潜在攻击者的风险和漏洞,帮助企业了解可能受到攻击的所有可能入口和弱点。
吧下面这段话换一个说法:②在增加层完成并通过验收后,可以进行大面积的施工,大面积的卷材应该按照平行方脊线的方向由下至上,在铺设时,一边放置卷材,一边用喷火器对基层卷材与卷材接触面进行加热;喷枪距离加热面大约300毫米,经过一次来回的均匀加热,在卷材的材面刚刚融化的时候,将卷材向前滚铺,粘贴,搭接部位要满粘牢固,搭接宽度满粘法为100毫米。在轧制过程中,必须将纸卷下的空气抽干,纸卷平整,不起褶皱,并用滚压方法将纸卷固定好。
05-24
完成增加层数并通过验收后,可以开始进行大面积的施工。在铺设卷材时,应该按照平行方脊线的方向由下至上进行。同时,在放置卷材的同时,使用喷火器对基层卷材与卷材接触面进行加热,喷枪距离加热面大约300毫米。经过一次来回的均匀加热,在卷材的材面刚刚融化的时候,将卷材向前滚铺、粘贴。搭接部位要满粘牢固,搭接宽度满粘法为100毫米。在轧制过程中,必须将纸卷下的空气抽干,保证纸卷平整、不起褶皱,并使用滚压方法将纸卷固定好。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值