蓝队分析研判工具箱V0.81,支持14种哥斯拉流量解密|溯源辅助|佛法搜索|shiro、log4j2解密|各种java反编译...

news2024/11/22 9:34:57

fcbd48579eb2741221a556f530037e6b.png

 Part1 前言 

大家好,我是ABC_123。“蓝队分析研判工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点问题。此0.81版本支持哥斯拉webshell全部14种加密流量的解密,感谢"小黑"的帮助,添加溯源分析功能、网空资产测绘功能:包括Hunter、佛法、VirusTotal、Censys、Shadon、Zoomeye、Quake、微步威胁情报搜索功能,查看图片经纬度地理位置等功能,对所有文本框添加右键菜单,解决Linux、mac及jdk高版本兼容问题,很多其它功能如日志分析、聚合分析、接口查询由于时间关系未能完成,后续再继续更新。文末会给出ABC_123的官方Github下载地址,后续会持续在github发布该工具的最新版本

建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。

82c8e355f9cbc8e6ecc4649180bcb5d5.png

b4242a2010ca923bb4314dae98e6063f.jpeg

 Part2 使用说明及功能介绍 

  • 支持14种哥斯拉webshell算法解密功能

不少网友给我发邮件,希望我更新哥斯拉的流量解密功能,哥斯拉的算法总共14种,写起来实在是太麻烦了,这样我就利用十一假期,抽出一天的时间,把此功能进行了完善。

4f3da6846e62199e207572b84024d414.jpeg

6ee31cba4a7fb4610c4feadfba92b7a5.jpeg

如下所示,如果是二进制格式的请求包或者返回包,需要转成hex16进制形式,然后再使用工具进行解密。

dcb8333ba8f3084510f68f03c4a90383.jpeg

  • 新增网空资产测绘功能

此功能还在完善中,暂时只能输入xxx.com或者ip地址或者ip段进行搜索,点击“一键查询所有”按钮,程序会自动调用Hunter、佛法、VirusTotal、Censys、Shadon、Zoomeye、Quake、微步威胁情报的api,转换成相应的搜索语句进行搜索。

48fc5a4c3cf541fbb9710a3f9c076c26.jpeg

需要填入相应的api的key,然后点击“保存所有配置”方可使用此功能。

4af5a3a5f2bec8a65db14f49bac76f4a.jpeg

需要填入相应的api的key,然后点击“保存所有配置”方可使用此功能。

11de7167e89f97a50fca0c7fe62e7612.jpeg

  • 添加溯源辅助功能

可以查看图片的exif信息,包括经纬度、地理位置等信息,可以对NPS代理进行漏洞检测,但是程序本身不提供漏洞利用功能。后续会加入对CobaltStrike的分析功能,暂时没时间更新了。

54b8510e60987e096bfedef1dc289868.jpeg

如下图所示,可以查看图片的exif信息,包括经纬度、地理位置等敏感信息。

47ec62267cf26981849a252522a278df.jpeg

  • 新增常用网址功能

汇集了常用的蓝队溯源分析网址,方便红蓝人员进行溯源分析或者应急响应分析。

aef0d334557fe9d4490da58bfeb7e9ba.jpeg

  • 新增代码格式化功能

可格式化javascript/java/jsp/json/css/xml等代码,并且高亮显示,方便红蓝双方对代码进行可视化分析。

93570c1128033514cff423107aa19ecd.jpeg

  • 新增5种Java内存马class文件反编译功能

通过调用Intellij Idea、CFR、Procyon、JD-Core、JDK等5种反编译工具接口,分别对Base64加密的class文件、转成Byte数组的class文件、BECL编码的class文件、Base64编码+Gzip编码的class文件、原版class文件反编译成java代码,方便蓝队人员分析异常流量中的内存马代码。

当然,此功能对于红队人员也特别方便,方便大家编写tomcat、springboot、weblogic内存马时进行class文件反编译对比分析。

 1  如下图示所示,程序对Base64加密的内存马class文件进行反编译分析。

0b682f7b5068f2ed888248f2ff996591.jpeg

ed0b3bd9a61f2536d1e8f96f6c24cbcd.jpeg

  • ip地址排除白名单功能

此功能为了解决,在日常蓝队工作中,各种安全设备会告警上万个ip,但是有的ip是企业正常的ip,称之为白名单ip,手工一个个筛选非常麻烦,所以我就写了这个功能,可以生成真正可用的可封禁的ip地址列表。这个功能的特点是,对于ip地址的导入,兼容各种ip地址格式,兼容格式如下图所示。

b4295c086a0bb47b9953a7b121561bc6.jpeg

  • 端口连接添加ip归属地址|对国外IP高亮显示

假设甲方客户的内网主机中了恶意病毒,蓝队人员通常会执行netstat -an命令去查看每个端口或者进程连接国外ip地址情况。将netstat -an结果贴到工具中,点击“查询ip对应物理地址”按钮,程序就会在每一行结果后面,添加上每个ip地址对应的国家、城市、经纬度、国外大学等物理地址,方便蓝队人员快速定位出存疑的ip、端口、进程,而且此功能无需联网使用,断网情况下仍然可以用。本次更新优化了查询速度,基本上秒出结果,同时对国外的IP地址进行了标黄处理,方便查看

b7321866ec0e5b9c74889d9bb1286d48.jpeg

  • Java反序列化数据包分析功能

此功能可以直接对java反序列化数据包进行解包分析,参考了SerializationDumper工具的代码。

3a9c54ae49d61e63d4f93ced622cd4d0.jpeg

  • 冰蝎及哥斯拉webshell流量解密功能

编写这个功能耗费了我很大的精力,对于冰蝎webshell,从流量中找到秘钥即可解密。对于哥斯拉webshell,目前只支持java型webshell流量解密,其它功能后续再加上。由于哥斯拉低版本的1.x-2.x与3.x-4.x版本的流量加密过程稍微有点不一样,因此解密功能分开写了。暂不支持冰蝎4.x的解密,后续会加上。

454843b83f379e0695ac0e215793b51e.jpeg

  • 在Jar包中搜索指定类名

对于蓝队人员,此功能可以在指定的jar包目录中筛选出含有恶意类名的jar包文件,现在很多红队人员制作的不死内存马,会将jar包中的class文件修改掉,关机重启后内存马仍然可用,那么这个分析功能会非常有用。

对于红队人员,在编写调试0day或者Nday的POC时,比如说weblogic中间件,它所包含的依赖jar包可能有上千个,查找存在漏洞的类究竟依赖于哪个jar包是非常头痛的一件事,这个工具可以帮您解决这个问题。在编写调试weblogic的poc时,ABC_123就是使用这个功能查找指定jar包依赖的。

acc69aa30e11407b8d7abdcfc0c58f3c.jpeg

  • 解密Shiro数据包/CAS数据包/Log4j2数据包功能

对于设备告警的Shiro反序列化攻击行为,部分蓝队分析人员,对Shiro反序列化攻击做不了研判工作,难以辨别是否是攻击行为,还是正常的业务行为,还是设备误报。于是我在解密数据包的同时,加入了数据包分析功能,可以快速研判是否有反序列化攻击行为。

56b49c1581a58b561963391126fd30f7.jpeg

  • 编码/解码工具

在蓝队分析工作中,不少朋友反映没有一款好用的编码/解码工具,不是功能有bug,就是功能不全。比如说最简单的URL编码、16进制的Hex编码、Base64编码,很多工具就没有考虑到中文字符的GB2312、UTF-8编码问题,导致解密结果不正确或者是乱码。于是我仔细研读了网上的关于编码/解码的文章,对常用的编码/解码功能进行调试,写成了如下功能。看后续大家反馈,如果好用的话,我可以把“编码/解码”功能单独拎出来写一个工具,主要功能如下。

 1   更改软件界面,加入GB2312、UTF-8、GBK、BIG5、ISO-8859-1、GB18030等编码库,解决中文汉字在编码解码过程中产生的乱码问题。

 2   将“becl编码文件功能”中的becl编码类更换为“回忆飘如雪”师傅编写的Java类,解决部分JDK由于缺失相应的class文件而无法Becl编码的问题。

 3   新增“Hex编码二进制文件”功能,可以将二进制文件编码成16进制格式。

 4   将Base64编码功能统一更换为第三方jar包,使其通用性更强。

 5   支持将二进制文件转为byte数组格式。

 6   新增UTF-7编码。

8c2a1246e1f0300a123d8b97d546ab50.jpeg

二进制文件、文本文件各种哈希值校验功能。

b1536a2733181104b4ca7b84004a583e.jpeg

同时还可以对二进制文件进行base64编码、hex16进制编码、BECL编码、转为byte数组等操作。

6f1470b83a6e15b2402878dad712fb8c.jpeg

关注公众号"希潭实验室”,回复数字“1002”,即可得到此蓝队分析研判工具箱V0.81的下载地址。

 Part3 总结 

1.  后续还会继续更新这个工具,有好的建议可以在公众号后台给我留言。

2.  冰蝎4.x、天蝎webshell解密、IPV6的支持,后续有时间会更新。

3.  后续会加入一些威胁情报检索功能,以及聚合分析功能,敬请关注。

4.  后续会加入weblogic日志分析功能,其它web日志分析功能。

5bc4876534d5bc4455b1e2633d6eac04.png

公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com(replace # with @)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1057676.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

管道-有名管道

一、有名管道 有名管道与匿名管道的不同: 有名管道提供了一个路径名,并以FIFO的文件形式存在于文件系统中。与匿名管道不同,有名管道可以被不相关的进程使用,只要它们可以访问该路径,就能够通过有名管道进行通信。 FI…

7.wifi开发【智能家居:终】,实践总结:智能开关,智能采集温湿,智能灯。项目运行步骤与运行细节,技术归纳与提炼,项目扩展

一。项目运行步骤与运行细节 1.项目运行步骤(一定有其他的运行方式,我这里只提供一种我现在使用的编译方式) (1)项目运行使用软件与技术: 1.Virtual linux 使用这个虚拟机进行程序的编译 2.Makefile与shl…

构建捡垃圾机器人的 ROS 2 项目

一、说明 本系列是关于学习如何使用 ROS2、Docker 和 Github 设计、设置和维护机器人项目。 先决条件 — ROS2 软件包的基本知识、实现发布者、订阅者、操作并连接它们。 我们之前在 ROS2 中了解了不同的部分。但是,在我们转向实际的基于硬件的项目之前,…

【C++】C++11——C++11介绍、初始化列表、声明、auto、decltype、nullptr、范围for循环

文章目录 C111.C11介绍2.初始化列表2.1{}初始化2.2 std::initializer_list 3.声明3.1auto3.2decltype3.3nullptr 4.范围for循环 C11 1.C11介绍 C11是C编程语言的一个版本,于2011年发布。C11引入了很多新特性,比如:类型…

多线程 - 单例模式

单例模式 ~~ 单例模式是常见的设计模式之一 什么是设计模式 你知道象棋,五子棋,围棋吗?如果,你想下好围棋,你就不得不了解一个东西,”棋谱”,设计模式好比围棋中的 “棋谱”. 在棋谱里面,大佬们,把一些常见的对局场景,都给推演出来了,照着棋谱来下棋,基本上棋力就不会差到哪…

思科:iOS和iOSXe软件存在漏洞

思科警告说,有人试图利用iOS软件和iOSXe软件中的一个安全缺陷,这些缺陷可能会让一个经过认证的远程攻击者在受影响的系统上实现远程代码执行。 中严重程度的脆弱性被追踪为 CVE-2023-20109 ,并以6.6分得分。它会影响启用Gdoi或G-Ikev2协议的软件的所有版本。 国际知名白帽黑客…

CSS鼠标指针表

(机翻)搬运自:cursor - CSS: Cascading Style Sheets | MDN (mozilla.org) 类型Keyword演示注释全局autoUA将基于当前上下文来确定要显示的光标。例如,相当于悬停文本时的文本。default 依赖于平台的默认光标。通常是箭头。none不会渲染光标。链接&状态contex…

最短路径专题2 Dijkstra 最短距离(堆优化版)

题目:样例: 输入 6 6 0 0 1 2 0 2 5 0 3 1 2 3 2 1 2 1 4 5 1 输出 0 2 3 1 -1 -1 思路: 根据题意,数据范围也小,也可以用朴素版的Dijsktra来做,朴素版的Dijsktra我做过了一遍了,可以看以一下我…

【统计学】Top-down自上而下的角度模型召回率recall,精确率precision,特异性specificity,模型评价

最近在学 logistic regression model,又遇见了几个之前的老面孔。 召回率recall, 精确率precision,特异性spcificity,准确率accuracy,True positive rate,false positive rate等等名词在学习之初遇到的困难在于&#x…

Vue3最佳实践 第六章 Pinia,Vuex与axios,VueUse 2(Vuex)

Vuex 状态管理 Vuex 是一种集中管理所有组件中数据的机制。它和Pinia一样都是解决使用 props 和 $emit 事件在组件之间传递数据时,当组件之间频繁传递,层级增加时管理数据就变得困难。Vue 的官方状态管理库已更改为Pinia,Pinia 具有与 Vue 几…

微信小程序-1

微信开发文档 https://developers.weixin.qq.com/miniprogram/dev/framework/ 报错在调试器的console里找 一、结构 Ctrl 放大字体 Ctrl - 缩小 设置 - - - 外观设置 - - - 可以修改喜欢的主题颜色 index.js index.json index.wxml 》 html <view class"box&qu…

【kubernetes】kubernetes中的StatefulSet使用

TOC 1 为什么需要StatefulSet 常规的应用通常使用Deployment&#xff0c;如果需要在所有机器上部署则使用DaemonSet&#xff0c;但是有这样一类应用&#xff0c;它们在运行时需要存储一些数据&#xff0c;并且当Pod在其它节点上重建时也希望这些数据能够在重建后的Pod上获取&…

Python爬虫案例入门教程(纯小白向)——夜读书屋小说

Python爬虫案例——夜读书屋小说 前言 如果你是python小白并且对爬虫有着浓厚的兴趣&#xff0c;但是面对网上错综复杂的实战案例看也看不懂&#xff0c;那么你可以尝试阅读我的文章&#xff0c;我也是从零基础python开始学习爬虫&#xff0c;非常清楚在过程中所遇到的困难&am…

字符编码的了解

前言&#xff1a; 在编写文件读取功能的过程中&#xff0c;我遭遇了一个棘手的乱码难题。经过细致的排查&#xff0c;发现这一问题的根源在于文件的字符编码。为了帮助大家有效地克服编码差异所带来的开发挑战&#xff0c;因此&#xff0c;我收集了字符集编码的相关知识&#x…

想要精通算法和SQL的成长之路 - 旋转链表

想要精通算法和SQL的成长之路 - 旋转链表 前言一. 旋转链表 前言 想要精通算法和SQL的成长之路 - 系列导航 一. 旋转链表 原题链接 由于k的大小可能超过链表长度&#xff0c;因此我们需要根据链表长度取模。那么我们首先需要去计算链表的长度是多少&#xff1a; if (head …

C# GraphicsPath 类学习

先在窗体放2个picturebox&#xff0c; 然后看一下如下代码&#xff1b; using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Threading.Tasks; us…

Pytorch基础:Tensor的transpose方法

相关阅读 Pytorch基础https://blog.csdn.net/weixin_45791458/category_12457644.html?spm1001.2014.3001.5482 在Pytorch中&#xff0c;transpose是Tensor的一个重要方法&#xff0c;同时它也是一个torch模块中的一个函数&#xff0c;它们的语法如下所示。 Tensor.transpo…

window安装压缩版postgresql

环境&#xff1a; window 11 专业版postgresql-16.0-1-windows-x64-binaries.zip 一、下载 1.1 从官网下载 https://www.postgresql.org/download/windows/ 1.2 从百度网盘下载 链接&#xff1a;https://pan.baidu.com/s/1fmQbgWSzX4hN07Lgdzfz0g?pwddzyy 提取码&#…

汇编语言王爽第4版实验8答案(和你想的不一样)

实验8 分析一个奇怪的程序 E:\mywork\asm\p906.asm C:\>edit p906.asm assume cs:codecode segmentmov ax,4c00hint 21h start: mov ax,0 s:nop ; nop的机器码占一个字节nopmov di, offset smov si, offset s2mov ax, cs:[si]mov cs:[di],ax s0:jmp short s s1:mov ax,0in…

tauri为窗口添加阴影效果

需求 为窗口添加阴影效果&#xff0c;让窗口显得更立体。 实现方案 通过 tauri 中的 window-shadows 依赖实现。 编码 修改 label 标签内容 修改 src-tauri/tauri.conf.json 文件&#xff0c;设置 label 字段为 “customization” 增加shadows的依赖 修改 src-tauri…