某大型活動臨近,盆圈開始熱鬧起來,各種搶人大賽以及群集結號聲!goby今年有什麼動作呢?→繼續支援攻擊隊——紅隊,也稱藍軍。
如果對方是一位絕世武功高手且擁有絕世寶劍,你肯定沒有信心與他一戰,但如果給你配一把槍呢?哪怕是一把小公尺加步槍?
自goby去年初打通滲透前中後流程並提出「實戰」口號後,收到很多表哥/表姐的反饋,top10如下:
漏洞可以多一點嗎?最好都是可以一鍵getshell的那種,且極少的漏報及誤報優秀的表哥/表姐已經分析出來了,以上都是攻擊方的實戰剛需啊!大家認真的反饋,我們必須一定肯定的認真對待。於是,去年大型活動期間,goby紅隊專版——實戰化網路攻防工具在大家的強烈需求下應運而生!同時,我們的擔心也來了:一方面,大家對漏洞數的呼喊聲太高太高,我們也很想全量開放漏洞庫以增強實戰性,但這樣一來,goby極可能成為不受控制的破壞***,這與我們賦予ta幫國內企業提公升網路安全意識及安全能力的初心完全背離。另一方面,攻擊隊的一些功能需求並不適用整個安全從業者,混合在一起反而給掃瞄體驗帶來困擾(如開啟蜜罐識別後導致掃瞄速度降低等)。那麼版本更新就到此為止了嗎?可以開放漏洞框架,讓我們錄漏洞嗎?
新爆的漏洞可以更新快一點嗎?
可以識別蜜罐嗎?擔心被抓及漏洞洩漏出去
可以修改ua及自動加密**流量嗎?
可以對多個shell進行管理嗎?
可以本地部署shell伺服器嗎?
可以一鍵複製漏洞資訊嗎?方便舉證
有web版本嗎?方便隊友同步看掃瞄結果
能用**池嗎?
思量再三,我們決定今年的紅隊專版更加克制——通過license的方式提供專有漏洞及功能,期望能給真正攻擊隊小夥伴們(還有自家在一線的那三個憨憨)貢獻一點點力量。
今年的紅隊專版將長期維護,本次更新為第一波,我們還安排了一波暫時保密的助力預計在兩周後發布。一起先來目睹此次攻擊波:
近期漏洞又是滿天飛,包括熱度較高的canvas洩露的exp,經我們安全分析後決定,本次先提供以下子彈:
支援修改useragent,避免被waf識別!
僅限fofa!使用前需前往設定 > 資產測繪 開啟fofa查詢:
公升級為mysql資料庫,支援100w+ ip掃瞄,媽媽再也不用擔心服務崩了!
遵守法律法規,承諾不將goby紅隊專版用於非法用途,且不超出授權測試範圍!
攻擊場景及對應的手法有很多,goby能做的僅僅是最基礎的部分——可rce漏洞的自動化驗證及資產攻擊面的查遺補漏。我們希望減少以上最耗費人力的部分,解放大家精力到更高的技術手段上如挖邏輯漏洞、水坑攻擊、**鏈攻擊等等,進而幫大家獲得更好成長及成績。
關於紅隊專版license,請各位師傅大佬手下留情,千萬不要去破解tt,若大範圍流傳出去…
我們還想多服務goby幾年的說tt …也請大家認準官方唯一渠道,避免安裝有後門的程式。
反饋渠道:
又是一年一度
又是一年一度國慶節 中秋節。以前,每逢傳統節日假期,老師布置作業,周記或者作文,題材就是節日。然後開筆就是一以貫之的 又是一年一度國慶節。或 一年一度的中秋節又到了。接下去就是嘰裡呱啦,或者一籌莫展。現在,一般情況下,不在階段內,沒有誰會以這樣的方式來給你布置作業了。節假日一到,出門在外的人,會選擇...
中秋 又是一年一度做月餅的時節
說到中國的幾個假期,其實很多都是以前傳統節日繼承而來,春節新年伊始,元宵全家團圓,清明祭祖懷古,端午追憶屈原,而中秋呢?花好月圓,又是乙個闔家團圓的節日。littlechenchen我花了九牛二虎之力 又叫洪荒之力 做了30個冰皮就趕回家過中秋拉。首先宣告一下,我這裡抹茶是加到皮當中的,不僅起到了乙...
裁員風波四起,一年一度的「行業寒冬」又來了?
年底了,真的有必要那麼焦慮嗎?每到年底,都會有許多網際網路從業者惴惴不安。彷彿是為了即將到來的新年欲揚先抑似的,你總能在網上看到一些焦慮發言。比如 行業寒冬是不是又來了?現在跑來得及嗎?現在加入是不是掉坑里了?抑或是簡單明瞭的乙個字 潤 也就是run 在今年,遊戲圈的這種氣氛似乎也被渲染得更加濃厚 ...