什麼是 GOBY ?
Goby 是一套基於cyberspace mapping technology的安全掃描工具,適用於Windows、Linux、MacOS,該產品可針對目標網路進行全面的資產識別,生成對網路安全事件和漏洞的緊急響應。
Goby除了進行資產識別掃描外,還提供了可自定義的漏洞掃描框架。
資產識別包括:電腦設備、存儲設備、網路設備、電話、平板電腦、虛擬機、雲設備、Containers等。
該Goby提供了多國語言,有英文、簡體中文、德語、日語、韓語。
也提供了掃描任務歷史,並且可將掃描任務匯出備份再匯入。
在設定方面,可設置端口掃描方式,如Pcap、Socket。
設置Proxy。選擇網卡類型、設置掃描速率。
選擇網卡類型
Scan
可針對IP/域名進行掃描,包括網路協議、資料庫協議、IOT協議、ICS協議等,通過預設定義的選項,即可快速分析與端口相對應的協議訊息。例如:Coffee Bar、Database、SCADA、IOT等。
例如:在Port這邊我們選擇Database,則會自動幫我們定義資料庫常用Port號,如1433、1521、3306等。
有趣的是,其中一個選項是Coffee Bar/Hotel/Airport,連戶外場景情境都定義好了,戶外場景的網路設備可能會開啟21、22、23等Port。
除了上述已定義好的情境外,也可自行添加Port Pombination。
在下面進階選項則可以設置掃描優先度,如資產掃描優先或同步進行。
當我們設置好IP/Domain與Port後,即可直接點擊Start進行掃描,最後掃描的結果如圖。
結果會顯示安裝使用了哪些軟體服務、資產類型、掃描的IP/Domain、開啟的Port及存在的弱點。
例如:該IP標的使用了Cloudflare、Nginx、OpenSSH、VMware Inc.
而我們可點選箭頭或左邊的Asset選項,進一步查看詳細資訊。
Asset
如圖,詳細資訊甚至會顯示每個服務所在的OSI 7層,像是Nginx、OpenSSH屬於Service Layer,Cloudflare屬於Support Layer,甚至也會識別出該標的使用VMware ESXI所架設,屬於Application Layer。
右上方可選擇IP、Product、Vendor,查看該標的所使用的服務的供應商、產品等。
如果對於該Port想要詳細了解,可點擊旁邊的圖標進行查看。
Vulnerability
在Vulnerability功能裡,提供了General PoC與Brute Force。
例如可檢測 CVE-2019-0708、Jenkins(CVE-2019-1003000)、WebLogic、CobaltStrike Backdoor、MS17-010等弱點。
當然,我們也可自行添加POC規則掃描,只要點擊右上方的POC選項即可。
我們可以設置POC的標題及要測試的攻擊語法,我們進行簡單的XSS檢測,而下方也很貼心的提供Tags功能,可以選擇XSS、SQL Injection等標籤,也提供了Description可作為記錄。
接著我們點擊左上方的Test,切換到Test選項。
這邊可以設置HTTP Request Method,包括GET/POST/PUT/HEAD/PUSH/DELETE/OPTION/CUSTOM
URL則可自定義要掃描的頁面,這邊我們輸入index.php。
因為我是測試GET的Reflected XSS,所以這邊就可不設置Header與Post Data,實際上需要根據情況作為調整。
下方的Response Test,分別有Test item、Variable、Operate、Value、Notes。
而Variable,可以選擇Code、Header、Body。
Operate,可以選擇Contains、Regex、Start With、==、!=、>、<等。
我們想要檢測頁面是否存在XSS,而我們的payload的目的是彈出XSS的字串,所以設置Code==200,Body Contains XSS。
目的是當成功彈出XSS後,頁面的Status Code為200,然後Body為XSS字串。
最後設置好後,即可點擊Submit,檢測頁面是否存在XSS。
這是瀏覽器XSS的示意圖。
接著我們點擊該圖示,進行Scan掃描
掃描完畢後,即可看到Vulnerability變成1了,代表成功掃描到弱點。
接著就可點擊進入查看詳細資訊,不過似乎是因為這邊是自行定義的POC,所以沒有顯示太多有參考價值的資訊。
IP矩陣圖
最後當資產識別與漏洞掃描完畢後,我們可於右上方點選IP Matrix,在這裡列出了當前IP段所有主機,只要有掃描的主機就會呈現藍色格子,而存在弱點的則會顯示一隻Bug圖示。
資安人員可根據主機點選該IP圖標進入查看詳細資訊。
匯出
目前該產品無法將結果記錄匯出成PDF、CSV等格式,只能匯出為gobydata格式,以便下次匯入用的。
不過在Web Finder這邊倒是可以將結果匯出成CSV。
但匯出的內容也僅單一是IP、Port、Server、Title而已。
結論
該產品目前還是很新的狀態,屬於beta版,但看起來是一直不斷地在更新,期待未來會有更多新功能,希望可以將結果匯出成CSV、PDF格式。
聽作者說未來也會開源POC的程式碼。
如果大家對該產品有任何建議,歡迎Email給該作者。
[email protected]