Goblin 红蓝对抗钓鱼攻击演练系统
项目地址
GitHub:
http://github.com/xiecat/goblin
Goblin简介
Goblin 是一款适用于红蓝对抗的钓鱼演练工具。通过反向代理,可以在不影响用户操作的情况下无感知的获取用户的信息,或者诱导用户操作。也可以通过使用代理方式达到隐藏服务端的目的。内置插件,通过简单的配置,快速调整网页内容以达到更好的演练效果
特点:
-
支持缓存静态文件,加速访问
-
支持 dump 所有请求,dump 匹配规则的请求
-
支持访问日志输出到 es、syslog、文件等
-
支持通过插件快速配置,调整不合适的跳转或者内容
-
支持植入特定的 js
-
支持修改响应内容或者 goblin 请求的内容
-
支持通过代理方式隐藏真实 IP
Goblin下载地址:
①GitHub:
-
goblin_0.4.4_darwin_amd64.tar.gz5.44 MB
-
goblin_0.4.4_darwin_arm64.tar.gz5.47 MB
-
goblin_0.4.4_linux_386.tar.gz4.8 MB
-
goblin_0.4.4_linux_amd64.tar.gz5.17 MB
-
goblin_0.4.4_linux_arm64.tar.gz4.74 MB
-
goblin_0.4.4_linux_armv6.tar.gz4.81 MB
-
goblin_0.4.4_windows_386.zip5.03 MB
-
goblin_0.4.4_windows_amd64.zip5.25 MB
-
goblin_0.4.4_windows_arm64.zip4.81 MB
-
goblin_0.4.4_windows_armv6.zip4.96 MB
②云中转网盘:
解压密码:www.ddosi.org
http://yzzpan.com/#sharefile=I9gN46sH_37228
Goblin安装方法
从 Docker 中下载
docker pull becivells/goblin
Dockerfile 如下:
FROM scratch
COPY goblin /usr/bin/goblin
ENTRYPOINT ["/usr/bin/goblin"]
WORKDIR /goblin
工作目录在 goblin
,首先创建 goblin
目录,切换到目录下,执行
docker run -it --rm -v $(pwd):/goblin/ -p 8084:8084 becivells/goblin
注意事项
$(pwd)
是路径代表当前路径( goblin
) 也可以使用
docker run -it --rm -v goblin:/goblin/ -p 8084:8084 becivells/goblin
即可自动生成配置文件、插件目录、静态文件目录并且下载地理位置数据库
命令参数
────────╔╗──╔╗
────────║║──║║
╔══╗╔══╗║╚═╗║║─╔╗╔══╗
║╔╗║║╔╗║║╔╗║║║─╠╣║╔╗╗
║╚╝║║╚╝║║╚╝║║╚╗║║║║║║
╚═╗║╚══╝╚══╝╚═╝╚╝╚╝╚╝
╔═╝║ v0.3.9-next - 2021-09-12T08:12:09Z
╚══╝
From: http://github.com/xiecat/goblin
请在license许可范围内使用此工具。
goblin 不对因使用此工具而产生的任何风险负责。
使用说明同意此声明
goblin用法:
-config string
网络服务器端口 (默认 "goblin.yaml")
-gen-plugin string
生成规则文件
-log string
服务器日志 (默认 "goblin.log")
-log-level int
日志模式[1-5] 1.dump所有日志包括GET日志、POST日志、2.记录POST日志,3.记录转储登录规则;4.记录错误日志;5.记录异常退出日志(默认1)
-print-config
输出配置文件
-test-notice
测试消息通知
-v 显示goblin版本
-w 将配置写入配置文件
代理配置
前置配置
前面可以使用 cf 做 cdn 访问者溯源困难
后置配置
配置文件中 proxyserveraddr 配置即可
Proxy:
MaxIdleConns: 512 # 代理一些配置默认即可
IdleConnTimeout: 2m0s
TLSHandshakeTimeout: 1m0s
ExpectContinueTimeout: 1s
maxcontentlength: 20971520 # 处理响应数据最大值默认 20M,超过这个值,插件中需要读取 body 的操作会被取消
ProxyServerAddr: "socks5://127.0.0.1:1080" # 设置代理,设置后通过代理进行网页请求
ProxyCheckURL: http://myip.ipip.net/ # 访问此地址检查代理设置是否正确
PluginDir: plugins
注意事项
如果是在服务器端部署则需要修改 ip 地址如有疑问可以参考 site 讲解
Site:
server_ip:8084: ## 修改为域名或者 server ip
Listen: 0.0.0.0
StaticPrefix: x9ut17jbqa
SSL: false
CAKey: ""
CACert: ""
ProxyPass: http://www.baidu.com
Plugin: demo
插件系统
插件系统介绍详细使用方法见文档插件系统
高阶用法
goblin 使用反向代理,前端使用 cf 等代理 Goblin, 即可隐藏 Goblin 主机 具体文档可以参考 goblin 代理配置
JS 注入
js 注入有两种方式一种是跟着页面走(Replace 需要自己追加 \<script\>
标签),一种是跟着全局 js 文件走各有好处。
这两种其实都是使用 Replace 功能
使用 InjectJs 注入
具体文档可以参考 goblin InjectJs 模块
- url: /base.js # 待替换的js 尽量选择全局 js
Match: word # 匹配方式
InjectJs:
File: aaa.js # 要替换的 js。 可以为文件或者 url
使用 replace 注入
具体文档可以参考 goblin Replace 模块
- url: /art_103.html # 待替换的网页
Match: Word
Replace: # 替换模块
- Request:
Method: # 匹配到如下请求方式方可替换
- GET
- POST
Header:
goblin: 1.0.1 # 替换的 header 头内容。为空则是删除。
Response: # 替换的响应内容
Body:
Append: "<script type='text/javascript' src='{{ .Static }}a.js'></sc
本文转载自网络
作者:雨苁
原文链接: http://www.ddosi.org/goblin/
— 实验室旗下直播培训课程 —
来和10000+位同学加入MS08067 一起 学习吧!
- Goblin 红蓝对抗钓鱼攻击演练系统
- GetInfo windows应急响应信息采集工具
- 我正在【Ms08067知识星球】和朋友们讨论有趣的话题,你一起来吧?
- RedTeam常用命令速查
- PHP反序列化进阶学习与总结
- 成功踏入深信服的新晋网安人回忆录
- 五种免杀bypass火绒360姿势横向测评:哪款更适合你?
- 从火绒特征码识别到免杀的思考...
- Web漏洞挖掘班作业 | 轻松把玩越权访问漏洞
- 漏洞赏金猎人成长系列(二) - 赏金猎人的独特侦查方法
- 漏洞赏金猎人成长系列(一) - 赏金猎人的发展,前景,特点
- 代理池工具测试和后续利用
- 红队作业 | 社会工程学实践 之 手把手教你钓鱼
- 红队作业 | 免杀Meterpreter java马
- 红队作业 | 收集xxx.com域名的所有子域名
- RunC漏洞导致容器逃逸(CVE-2021-30465)
- ⼀款新的C2攻击⼯具-Link
- 安全练兵场Writeup(五) | ATT&CK实战靶场
- fastjson-cnvd-2017-02833漏洞复现 | Web漏洞挖掘班作业
- 经验分享 | 聊一聊我是如何学习网络安全的(入门阶段)~