查看原文
其他

第26篇:蓝队分析辅助工具箱V0.3发布,含shiro解密|cas解密|log4j2解密|冰蝎哥斯拉解密|端口连接分析等功能

abc123info ABC123安全研究实验室 2023-02-12

 Part1 前言 

最近几年各种攻防演习比赛越来越多,网络攻击事件越来越频繁,各种加密变形的漏洞利用payload的出现,让蓝队分析难度也越来越高。在最近几年参加的几次蓝队分析工作中,我陆续写了各种各样的小工具,于是就把这些小工具集合起来,形成了这么一个“蓝队分析辅助工具箱”分享给大家使用,重点解决蓝队分析工作中的一些痛点,比如说让大家头疼的加密数据包解密问题,netstat -an无ip对应的国家与城市的物理地址问题等,未来会持续更新(文末有此工具的下载地址)。


 Part2 使用说明及功能介绍 

  • Shiro反序列化数据包解密及分析功能

每天监控设备都会告警各种各样的Shiro反序列化攻击,由于数据包是加密的,所以蓝队人员遇到了也会头疼,而且部分蓝队分析人员,对Shiro反序列化攻击做不了研判工作,难以辨别是否是攻击行为,还是正常的业务行为。于是我在解密数据包的同时,加入了数据包分析功能,可以研判是否有反序列化攻击行为


  • Log4j2反序列化解密功能

用于解密日常遇到的攻击者用于绕过waf的加密的log4j2的payload。如果遇到解不了的payload,记得公众号给我留言。


  • 端口连接添加ip的物理地址功能

将netstat -an结果贴到工具中,点击“查询ip对应物理地址”,程序会在每一个结果后面,加上ip地址对应的国家城市的物理地址,方便大家做蓝队分析工作。这个功能我原本想用GeoLite2库来编写,但是其依赖jar包与工具中的jar包有冲突,所以暂时用其它方法实现的,后续有时间再更换。


  • CAS反序列化数据包解密及分析功能

CAS反序列漏洞的数据包也是加密的,这导致即使监控设备告警,蓝队人员也半信半疑,无法判断到底是不是误报。本功能就是为了解决这个问题而写的,使用CAS默认秘钥对数据包进行解密,解密后就可以判断出是否是反序列化攻击了。当然,对于新版本的CAS数据包是解密不了的,因为秘钥变成随机生成的了。攻击者只有在拿到网站源代码或者是找到网站的配置文件,才能得知CAS新版本的秘钥。


  • 冰蝎及哥斯拉流量解密功能

对于冰蝎和哥斯拉的数据包解密,我逆向分析了冰蝎和哥斯拉的代码,参考了网上的各种解密工具,编写了这个解密功能。对于解密冰蝎,基本上拿到秘钥都可以正确解密。对于哥斯拉,目前只支持解密JSP、JSPX型的webshell,支持哥斯拉3.x及4.x版本,不支持哥斯拉1.x及2.x版本,因为哥斯拉低版本的加密算法不一样。

后续有时间再更新这个功能吧,因为逆向分析不同版本、不同脚本的冰蝎及哥斯拉webshell,实在是太费精力了。


如下图所示,哥斯拉请求包和返回包算法不一样,需要点击相应的按钮进行解密。


  • 编码/解码功能

在蓝队分析工作中,不少朋友反映没有一款好用的编码/解码工具,不是功能有bug,就是功能不全。比如说最简单的URL编码和16进制的Hex编码,很多工具就没有考虑到中文字符的各种编码问题,导致解密结果不正确。BASE64解密功能,有的工具没考虑到中文GB2312及UTF-8编码问题,导致解密出来的数据包是乱码。于是我仔细研读了网上的关于编码/解码的文章,对常用的编码/解码功能进行调试,写成了如下功能。看后续大家反馈,如果好用的话,我可以把“编码/解码”功能单独拎出来写一个工具。


关注“网络安全abc123”公众号后,回复数字“1013”,即可得到此蓝队工具的下载地址。后期我会继续维护这个蓝队小工具,大家有什么好的建议或者想法,可以给我留言。


 Part3 总结 

1.  后续还会继续更新这个工具,有好的建议可以在公众号后台给我留言。

2.  冰蝎、哥斯拉数据包解密功能,后续有时间会更新。


专注于网络安全技术分享,包括红队、蓝队、日常渗透测试、安全体系建设等

每周一篇,99%原创,敬请关注

往期精彩回顾
第25篇:冰蝎2.x过流量检测改造的全过程
第24篇:记2011年实战外网ARP欺骗拿权限的过程
第23篇:XSS绕过防护盲打某SRC官网后台

第22篇:一次艰难的PostgreSQL不出网提权过程

第21篇:判断Weblogic详细版本号的方法总结

第20篇:改造冰蝎客户端适配JNDIExploit的内存马

第19篇:关于近期cs服务端被反打的原因分析

第18篇:fastjson反序列化漏洞区分版本号的方法总结

第17篇:Shiro反序列化在Weblogic下无利用链的拿权限方法

第16篇:Weblogic 2019-2729反序列化漏洞绕防护拿权限的实战过程

第15篇:内网横向中windows各端口远程登录哈希传递的方法总结

第14篇:Struts2框架下Log4j2漏洞检测方法分析与总结

第13篇:coldfusion反序列化过waf改exp拿靶标的艰难过程

第12篇:给任意java程序挂Socks5代理方法

第11篇:盲猜包体对上传漏洞的艰难利用过程

第10篇:IIS短文件名猜解在拿权限中的巧用

第9篇:Shiro反序列化数据包解密及蓝队分析工具,提供下载

第8篇:Oracle注入漏洞绕waf的新语句

第7篇:MS12-020蓝屏漏洞在实战中的巧用

第6篇:Weblogic反序列化攻击不依赖日志溯源攻击时间

第5篇:Shiro Padding Oracle无key的艰难实战利用过程

第4篇:jsp型webshell被删情况下如何溯源攻击时间

第3篇:银行Java站SSRF"组合洞"打法造成的严重危害

第2篇:区分Spring与Struts2框架的几种新方法

第1篇:weblogic9.x在JDK1.5下T3反序列化漏洞利用方法

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存