由于某某大型活动的结束,社区的成员给 Goby 提供了一大批的建议,本次新增了代理检测、禁扫名单、http/https 代理等功能,Goby 在成为更好用安全工具的路上又迈出了一小步~~
文章看到底,找此版本的获取方式↓
0x001 新增漏洞
新增漏洞 35 条实战漏洞:包含Microsoft Exchange Server File Write (CVE-2021-27065)、Microsoft Exchange Server SSRF (CVE-2021-26855)、VMware vCenter Server RCE (CVE-2021-21972)等等,几乎都可以利用,请享用。
漏洞演示Demo:
https://github.com/gobysec/GobyVuls
Microsoft Exchange Server File Write (CVE-2021-27065)漏洞利用demo:
0x002 新增功能
1.新增代理检测功能
前往设置>扫描设置>Check Proxy,通过填写代理及测试 url 地址检测代理是否连接成功。
2.新增禁扫 IP 名单
新建任务增加了禁扫 IP 名单功能,扫描过程中可以略过一些不需要扫描的 ip,提高扫描效率。
注:暂不支持域名禁扫。
3.新增 http、https 代理扫描
支持使用 http、https 代理进行扫描,前往设置>扫描设置>Proxy。
认证代理:http://username:password@ip:port
非认证代理:http://ip:port
4.Log 日志实时输出
新增 Log 日志实时输出功能,方便查看最新日志动态,前往右侧工具栏查看。
0x003 优化
-
远程服务中断,提示修改远程服务地址(若不需要远程服务,可修改为127.0.0.1),再重启 Goby 客户端。由@waitalone_cn
表哥反馈👏。
-
支持指定多个 PoC 扫描
-
支持历史任务可再次编辑下发扫描。由@无名氏 表哥反馈👏。
-
支持历史任务 IP 复制功能。由@无名氏 表哥反馈👏。
-
优化 PDF 导出报告更多无法显示问题。由@残墨留香 表哥反馈👏。
-
优化本地服务中断报错。
-
优化部分隐藏深但常用的功能交互。
0x004 修复/解决问题
此版本主要修复/解决问题:
- 解决无法判断代理连接成功问题。由@Vanilla 表哥反馈👏。
- 修复若干服务中断崩溃问题。
- 修复 PoC 列表单 IP 扫描 https 问题。由@sharecast 表哥反馈👏。
- 修复漏洞禁扫依旧有漏洞数据问题。 修复爬虫导致服务中断奔溃问题。
0x005 小结
本次版本更新,内测版 Beta 1.8.237 版本用户无需再重新点击链接下载此版本,可直接在Goby程序内在线升级。以及之后我们会改变更新流程,由于在线升级模式已走通,后续针对 Bug 问题,我们会发展为不定期小更新及大版本更新两种模式,小更新用以及时解决 Bug 导致无法使用的痛点。
后续更新非集成红队专版版本,如需获取 Goby 红队专版,可参考 关于 Goby 红队专版获取指南 。( 如后续更新其他获取方式,已最新为准。)
炎炎夏日即将到来,送大家一个小福利:Goby纪念T恤。预祝大家五一节日快乐,出行平安~
- GitHub issue: https://github.com/gobysec/Goby/issues
- 微信群:公众号发暗号“加群”。
版本下载:关注微信公众号gobysec,回复:加群
2160
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
