一帧数据 map遍历 dedecms nuget Avalon Parsley vue组件注册 河南普通话报名 jquery删除子元素 teamviewer验证被拒绝 oracle添加索引 json转object ubuntu更改文件夹权限 div字体加粗 idea全局替换 mysql卸载工具 flutter 缺点 python类 pythoninput python中import python数字类型 java程序实例 java的基本数据类型 java接口类型 java删除 js选项卡 tar文件怎么打开 忧思华光玉攻略 pyh stl2stp 迅雷去广告版 无限视距 经典雅黑 只狼台词 平原门下客三千 图片转pdf软件 华为mate8和p9哪个好 淘新闻下载 Linux进程查看 js观察者模式
当前位置: 首页 > 学习教程  > 编程语言

Goby内测版1.6.144发布,新增个性主题及可利用漏洞

2020/8/31 15:02:43 文章标签:

此次更新除了表哥/姐的反馈及可利用PoC,还新增了个性主题功能。我们希望通过一系列交互流程的细节性打磨,提供更好的场景化体验。

什么是内测版?

内测版是为“Goby中国区交流群”用户特供的专享版,不定期更新,内容包含但不限于:

  • 表哥/姐反馈的功能建议
  • 新增的漏洞 ≥2条
  • 修复的Bug

内测版运行稳定后,我们会将内测版转为正式版发布到线上。同时发布下一个内测版。以上翻译成一句话就是:提前享受版本更新。


如何获取内测版?

文章看到底,找答案↓


0x001 新增功能及优化


1. 个性主题

如Zwell《圣殿》所说,对开发此功能的反对声很高, 小编也是其中一员。很明显,Zwell更懂大家:每位安全人员都有自己的个性偏好。所以,对于主题的设计,一方面我们会预置模板以供选择;另一方面,我们设想后续由大家自己配置颜色——让每位安全人员都拥有独一无二的Goby。是不是很酷?先来体验下预置模板:

界面左下角,点击:设置 >主题设置。可以看到此次新增(设计师改了101稿)的两套主题:黑暗森林及银白天空。

在这里插入图片描述

  • 黑暗森林:深绿色,酷炫又不易视疲劳。无数个肝权限的夜晚,选择此主题,再搭配火腿泡面一起食用,完美。

在这里插入图片描述

  • 银白天空:非常柔和的一套主题,适合表姐们使用。行业内的表姐越来越 多了有木有~要好好珍惜她们呀

在这里插入图片描述图:银白天空

这两套主题一黑一白,一暗一浅,虽在界面细节上的适配还不是很完美,但寓意颇多,大家自由发挥理解~

2. 快速PoC管理


该交互优化的建议是由@Jr.D表哥提出的(此处应有掌声👏)。很多表哥也都曾表示,想自定义一个PoC太难了——必须先扫描资产才能进入PoC管理。其实我们团队在练习vulfocus靶场时也遇到过这个问题:想打一个靶场,必须先扫资产,才能进入PoC管理康康都有哪些漏洞可以利用…连小编也会想:这是什么操作?


百因必有果,去年Goby初问世,我们定义资产识别是攻击面梳理的第一步,所以设定漏扫基于资产扫描。随着漏洞利用流程的逐步完善,这个流程明显已不符合。优化该交互后,未扫描前不但可以进入PoC管理查看或自定义PoC,还可以进入资产及报告界面,分别导入历史任务及历史报告查看历史扫描结果。

在这里插入图片描述图:优化前后对比

3. 一键重新扫描


该交互优化的建议是由@李大壮' 表哥提出的,作为早期的Goby用户,见证了Goby很多不流畅的一面,此处掌声送给表哥👏。
优化前的重新扫描需返回初始界面,点击新建扫描才能对上次的目标进行重描。优化后,可直接在扫描进度处一键执行重扫,无需再返回到任务初始界面。

在这里插入图片描述


那么,灵魂拷问来了👉难道每次新建扫描也要去初始页吗???


4. 协议配置开关


测试外网时,内网协议的识别是无效的,且占用扫描时间。为加快外网的扫描速度,我们对部分内网协议做了特殊处理——默认不开启识别,所以,表哥/姐测试内网时,需先开启内网协议识别,操作如下:
依旧是界面左下角,点击:设置 >资产测绘,可以看到目前支持对MDNS及UPnP协议的扫描开关,勾选即为开启识别。

在这里插入图片描述

5. 资产列表页增加URL


无需再进入IP详情页查看URL,更方便。建议依旧来自表哥 @Jr.D

在这里插入图片描述

6. Body内容获取


快速获取网站特征信息,无需再一一点开URL及等待页面加载。IP >IP详情页 :

在这里插入图片描述

7. 一键关闭弹窗


支持ESC键快速关闭所有表单类弹窗。键盘操作不但快捷方便,还能防止成为鼠标手。 0x002 新增漏洞

• CVE-2020-7961

漏洞名称:Liferay Portal Java Unmarshalling via JSONWS RCE
FOFA查询语句:app=“Liferay”
是否可利用(Goby):是

• CVE-2019-3948

漏洞名称:Amcrest/Dahua Unauthenticated-Audio-Streaming
FOFA查询语句:app=“大华-视频监控”
是否可利用(Goby):否


0x003 解决/修复问题

此版本依旧在稳定性上做了很多修复,这里主要介绍以下问题:

1. Mac电脑卡在启动界面

每当Mac用户反馈卡在启动界面,我们就知道他大概率是遇到了以下两种情景:

  • 启动提示访问通讯录等权限

    在Mac电脑上启动Goby出现“访问您的通讯录、相册等权限”情况,不仅诸位表哥/姐头大,我们更头大,因为Goby真的真的真的不需要这些权限,所以之前的解决方案是让大家直接拒绝掉。然后,好多表哥不小心把存储文件权限也拒绝了,结果就卡在了启动页。PS:小编也做过此操作,还被Zwell嘲笑了好久╮(╯▽╰)╭

    这些问题的源头是Goby的前端为Electron框架,我们研发小哥尝试了N种办法(秃了半头)后终于解决啦,再也不会被误会索要敏感信息及误操作了有没有~,开心的我们把这个修改直接同步到了正式版1.6.138

  • 无法放置应用程序目录

    很多用户还遇到这种情况:下载Goby后,直接把Goby程序拖到应用程序目录,失去了环境的程序自如就启动不起来了,还得重新放回去。

    对于Mac用户来说,放置应用程序是很正常的操作。所以,接着改Goby吧。还是上面的研发小哥,把所有文件打成了一个包,当然,它还不是dmg文件。但终于可以把Goby移动到应用程序启动了。

在这里插入图片描述

Demo:移动Goby到应用程序

2. 扫描崩溃问题

该Bug是由@Vanilla表哥向我们反馈,并提供日志协助我们复现解决。在此深表感谢~

0x004 小结

Goby团队埋头做功能时,很容易忽视流程细节的修改,很庆幸有诸位表哥/姐及时提醒。我们后续会重视流程细节的问题,并设定更大的福利回馈持续使用Goby、持续反馈建议/BUG并乐于分享Goby的用户。

下个内测版更新哪些功能或优化呢?欢迎表哥/姐与我们沟通。

沟通渠道:

  • GitHub issue: https://github.com/gobysec/Goby/issues
  • 微信群:公众号发暗号“加群”

本文链接: http://www.dtmao.cc/news_show_150320.shtml

附件下载

相关教程

    暂无相关的数据...

共有条评论 网友评论

验证码: 看不清楚?