SecBoard
Zurück zur Übersicht
Tooling

goshs — Feature-rich single-binary file server for red teamers and developers. HTTP/S · WebDAV · SFTP · SMB · LDAP/S · NTLM hash capture · DNS/SMTP callbacks · TLS · Auth · Share links. A powerful python3 -m http.server replacement.

GitHub Trending·
Originalartikel lesen bei GitHub Trending

Feature-rich single-binary file server for red teamers and developers. HTTP/S · WebDAV · SFTP · SMB · LDAP/S · NTLM hash capture · DNS/SMTP callbacks · TLS · Auth · Share links. A powerful python3 -m http.server replacement. · Sprache: Go · Topics: capture-the-flag, ctf, devtools, dns-server, file-server, file-transfer · ⭐ 754 Stars

Kurzfassung

Der Artikel beschreibt goshs als funktionsreichen Single-Binary-Dateiserver für Red Teamer und Entwickler. Genannt werden HTTP/S, WebDAV, SFTP, SMB, LDAP/S, NTLM-Hash-Capture, DNS/SMTP-Callbacks, TLS, Authentifizierung und Share-Links. Ein konkreter Angriff wird nicht beschrieben.

Relevanz für Manager / CISOs
Priorität:Mittel
Betroffene

Red-Team- und Entwicklerumgebungen; konkrete betroffene Organisationen sind nicht im Artikel angegeben.

Warum relevant

Dateiserver- und Callback-Funktionen können defensiv in Tests, aber bei Missbrauch auch für Datentransfer, Credential-Capture oder Infrastrukturzwecke genutzt werden.

Realistisches Worst Case

Ein ähnliches Tool wird unautorisiert eingesetzt, um Dateien bereitzustellen, Rückrufe zu empfangen oder NTLM-Hashes abzugreifen.

Handlungsempfehlung

Egress- und Ingress-Monitoring, SMB/NTLM-Hardening und Kontrolle nicht genehmigter Dateiserver im Netzwerk prüfen.

Defensive Validierung / Purple-Team Checks
  • Defensiver Check 1: Nach nicht genehmigten HTTP/S-, WebDAV-, SFTP-, SMB- oder LDAP-Diensten im Netzwerk suchen.
  • Defensiver Check 2: Prüfen, ob NTLM-Härtung und Erkennung verdächtiger SMB/LDAP-Authentifizierungen aktiv sind.
  • Defensiver Check 3: DNS- und SMTP-Callback-Muster in Logs auf unübliche Ziele überprüfen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Credential AccessT1003 OS Credential DumpingLowDer Artikel nennt NTLM hash capture, beschreibt aber keinen konkreten Angriff.
Command and ControlT1105 Ingress Tool TransferLowDer Artikel beschreibt Dateiübertragungsfunktionen; konkrete Nutzung durch Angreifer ist nicht angegeben.
Offene Punkte
  • Keine konkrete Angriffskampagne angegeben.
  • Keine IOCs angegeben.
  • Keine betroffenen Produkte oder Opfer angegeben.

MITRE ATT&CK Kill Chain (3 Techniken)

Resource Development
T1583.004

Server

T1584.004

Server

Execution
T1059.006

Python

Themen
capture-the-flagctfdevtoolsdns-serverfile-serverfile-transfergolanghttp-serverhttps-serverkali-linux
Vollständigen Artikel lesen bei GitHub Trending