疑似bug问题 - Githubissues

chainreactors / gogo

面向红队的, 高度可控可拓展的自动化引擎

https://chainreactors.github.io/wiki/gogo/

GNU General Public License v3.0

1.47k stars 144 forks source link

疑似bug问题 #50

Closed Layjb closed 10 months ago

Layjb commented 11 months ago

我在测试期间发现的一个问题 ./gogo -i x.x.x.x -p 8848 --exploit-name=nacos-default-login是有漏洞输出的 [+] http://x.x.x.126:8848 [200] Nacos [ high: nacos-default-login payloads: password:nacos username:nacos ]

但是./gogo -i x.x.x.126 -p 8848 -ev是没有漏洞输出的，换而言之只有指定了漏洞才会有输出，我暂时没有发现这是什么原因，如果需要目标ip进行测试，请与我联系

Layjb commented 11 months ago

貌似找到了原因，是因为没有匹配到指纹,我瞅瞅源码看看怎么优化

M09Ic commented 11 months ago

nacos默认页面特征较少，建议打开-v主动探测后就能正常匹配到nacos指纹了

Layjb commented 11 months ago

nacos默认页面特征较少，建议打开-v主动探测后就能正常匹配到nacos指纹了

我测了很多个，貌似都发现不了，我查了市面上的大多数特征是以title或body方式匹配，但是gogo不支持title，我甚至尝试使用 default_port:8848对部分nacos进行匹配都不行，评估了nacos的重要性，我建议增加一个title指纹匹配，另外，我在对gogo进行一个筛选poc的功能，在实际利用中部分poc存在删改，我打算用template对poc中特定参数匹配来筛选poc，比如在poc中加入run:open，当匹配到run的值为open时，抛弃这个poc匹配下一个poc，选择用参数控制，目前快好了，师傅有好的建议或者想法可以提提哦

Layjb commented 11 months ago

开启主动探测指纹了的哦

M09Ic commented 11 months ago

title位于body之中，用body匹配都可以匹配到

M09Ic commented 11 months ago

经过测试，确实存在部分nacos版本无法识别的问题。

现在指纹修正为

- name: nacos
  focus: true
  rule:
    - regexps:
        body:
          - <title>Nacos</title>
      send_data: /nacos/

修正后结果

将于下个release一起发布

M09Ic commented 11 months ago

done. https://github.com/chainreactors/gogo/releases/tag/v2.11.10