第96篇：蓝队分析研判工具箱1.08版本（溯源辅助|解密攻击流量|冰蝎、哥斯拉、天蝎解密|资产测绘搜索）

Part1 前言

大家好，我是ABC_123 。在日常的工作学习中，ABC_123写了很多的蓝队分析方面的小脚本小工具，来回切换工具太麻烦，对于内存马的编译、反编译、各种编码解码尤其麻烦，于是将这些小工具集合起来形成了现在的“ 蓝队分析研判工具箱 ”，重点解决蓝队分析工作中的一些痛点问题。 文末会给出ABC_123的官方github下载地址，后续会持续在github发布该工具的最新版本 。

建议大家把公众号“希潭实验室”设为星标，否则可能就看不到啦！ 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法：点击右上角的【...】，然后点击【设为星标】即可。

注： “希潭实验室”公众号作为自媒体，会一直保持中立原则，未与任何公司绑定，在文章中也不会评论任何厂商的设备、服务的好坏，适合自己的就是最好的 。

Part2 使用说明及功能介绍

• 软件更新记录

基于网友们的反馈，新增多处功能，更新多处bug，本次更新如下：

1 新增对天蝎webshell的JAVA、PHP、NET、ASP的解密功能，结合流量可以还原出攻击者执行的各种操作。

2 修复“网空资产测绘”功能的多处json文本处理不当引发的bug，新增指定域名搜索功能。

3 新增对16进制Hex编码的内存马反编译功能。

4 新增对IP地址列表批量查询物理地址功能，此功能基于内置的ip地址库。

5 新增对各种webshell解密后的二进制文件保存功能。

• 解密天蝎webshell加密流量

最近发现，很多红队人员也用天蝎webshell，所以增加了天蝎webshell的流量解密功能，支持Java、NET、PHP、ASP环境的全部4种webshell的流量解密。

• 解密哥斯拉webshell加密流量

哥斯拉的算法总共14种，分析加密算法，完成此功能工作量不小，还要感谢小黑的帮忙，解密后可以看到攻击者执行了哪些操作。

• 解密冰蝎webshell加密流量

冰蝎流量解密后，可以看到攻击者的执行的各种命令、各种操作，对溯源分析、取证会很有帮助。

• 域名、ip综合研判（ 网空资产测绘 ）

此功能还在继续更新，输入xxx.com或者ip地址或者ip段进行搜索，点击“ 一键查询所有 ”按钮，程序会自动调用Hunter、佛法、VirusTotal、Censys、Shadon、Zoomeye、Quake、微步威胁情报的api，转换成相应的搜索语句进行搜索。 此功能可以集合多种网空测绘平台对一个ip或者域名进行综合研判分析 。

• 溯源分析辅助功能

可以查看图片的exif信息，包括经纬度、地理位置等信息，可以对NPS代理进行漏洞检测， 但是程序本身不提供漏洞利用功能 。后续会加入对CobaltStrike的分析功能，敬请期待。

如下图所示，可以查看图片的exif信息，从图片中可以提取包括经纬度、地理位置等敏感信息。

• 反编译java内存马class文件

通过调用Intellij Idea、CFR、Procyon、JD-Core、JDK等5种反编译工具接口，分别对Base64加密的class文件、转成Byte数组的class文件、BECL编码的class文件、Base64编码+Gzip编码的class文件、16进制hex编码的class文件、原版class文件反编译成java代码，方便蓝队人员分析异常流量中的内存马代码。

当然， 此功能对于红队人员也特别方便 ，方便大家编写tomcat、springboot、weblogic内存马时进行class文件反编译对比分析。如下图示所示，程序对Base64加密的内存马class文件进行反编译分析。

• 解密Shiro/CAS/Log4j2加密流量

对于设备告警的Shiro反序列化攻击行为，部分蓝队分析人员，对Shiro反序列化攻击做不了研判工作， 难以辨别是否是攻击行为 ，还是正常的业务行为，还是设备误报。于是我在解密数据包的同时，加入了数据包分析功能，可以快速研判是否有反序列化攻击行为。

• ip地址排除白名单功能

此功能为了解决，在日常蓝队工作中，各种安全设备会告警上万个ip，但是有的ip是企业正常的ip，称之为白名单ip，手工一个个筛选非常麻烦，所以我就写了这个功能，可以生成真正可用的可封禁的ip地址列表。这个功能的特点是，对于ip地址的导入，兼容各种ip地址格式，兼容格式如下图所示。

• 端口连接添加ip归属地址|对国外IP高亮显示

假设甲方客户的内网主机中了恶意病毒，蓝队人员通常会执行netstat -an命令去查看每个端口或者进程连接国外ip地址情况。将 netstat -an 结果贴到工具中，点击“ 查询ip对应物理地址 ”按钮，程序就会在每一行结果后面，添加上每个ip地址对应的国家、城市、经纬度、国外大学等物理地址，方便蓝队人员快速定位出存疑的ip、端口、进程，而且 此功能无需联网使用，断网情况下仍然可以用 ， 同时对国外的IP地址进行了标黄处理，方便查看 。

• 分析java反序列化二进制文件

此功能可以直接对java反序列化数据包进行解包分析，参考了 SerializationDumper 工具的代码。

• 多种编码/解码功能

在蓝队分析工作中，不少朋友反映没有一款好用的编码/解码工具，不是功能有bug，就是功能不全。比如说最简单的URL编码、16进制的Hex编码、Base64编码， 很多工具就没有考虑到中文字符的GB2312、UTF-8编码问题 ，导致解密结果不正确或者是乱码。于是我仔细研读了网上的关于编码/解码的文章，对常用的编码/解码功能进行调试，写成了如下功能。看后续大家反馈，如果好用的话，我可以把“编码/解码”功能单独拎出来写一个工具，主要功能如下。

1 更改软件界面，加入GB2312、UTF-8、GBK、BIG5、ISO-8859-1、GB18030等编码库，解决中文汉字在编码解码过程中产生的乱码问题。

2 将“becl编码文件功能”中的becl编码类更换为“回忆飘如雪”师傅编写的Java类，解决部分JDK由于缺失相应的class文件而无法Becl编码的问题。

3 新增“Hex编码二进制文件”功能，可以将二进制文件编码成16进制格式。

4 将Base64编码功能统一更换为第三方jar包，使其通用性更强。

5 支持将二进制文件转为byte数组格式。

6 新增UTF-7编码。

同时还可以对二进制文件进行base64编码、hex16进制编码、BECL编码、转为byte数组等操作。