蓝队分析
文章平均质量分 87
蓝队分析与应急响应
希潭实验室
ABC_123,2008年入行网络安全,某部委网络安保工作优秀个人,某部委网络安全防护培训外聘讲师,某市局特聘网络安全专家,某高校外聘讲师,希潭实验室创始人。Struts2检测工具及Weblogic T3/IIOP反序列化工具原创作者,擅长红队攻防,APT技战法分析,代码审计,内网渗透。专注于前沿网络安全技术。
展开
-
第49篇:域环境中部分员工电脑开机速度缓慢原因分析
Part1 前言大家好,我是ABC_123,本期分享一个应急响应分析案例。有一家公司自从进行网络改造之后,把所有员工的个人电脑都加入到域环境之中,但是频繁出现部分用户电脑开机速度缓慢问题,而有的用户电脑开机却一直是正常的,一时不知道问题出在哪里。经过仔细询问,发现出故障的个人电脑大多都是笔记本电脑,开机后会一直卡在如下页面(以下截图来源我的虚拟机环境截图),提示“正在应用计算机设置”,这个提示...原创 2023-02-03 19:23:34 · 8389 阅读 · 0 评论 -
第9篇:Shiro反序列化数据包解密及蓝队分析工具,提供下载
Part1 前言这个小工具的编写源于一个HW蓝队项目,我曾经作为蓝队人员值守了2周,期间发现很多蓝队人员对于反序列化系列漏洞原理不清楚,导致对设备告警的各种反序列化攻击不能有效地研判,也就是说不能底气十足地告诉客户,这个告警是设备误报、是扫描行为、是攻击行为、还是Web应用的用户正常行为。于是在这个项目中,我就慢慢变成了一个攻击流量研判的角色了,帮助客户对这些设备的告.........原创 2022-05-04 18:07:11 · 2038 阅读 · 7 评论 -
第4篇:jsp型webshell被删情况下如何溯源攻击时间
Part1前言在日常的蓝队溯源工作、感染加密勒索病毒后的应急排查工作中,查找攻击者遗留的webshell是一种常规手段,一旦webshell文件被找到后,可以反推出很多信息,最重要的是能确定攻击者攻击时间,以此攻击时间为轴心开展溯源工作会事半功倍。但攻击者经常会把webshell文件删除,并且清理掉所有的访问日志,这种情况下应该怎么溯源确定上传webshell的攻击时间呢.........原创 2022-04-17 20:42:05 · 458 阅读 · 0 评论 -
第6篇 | Weblogic反序列化攻击不依赖日志溯源攻击时间
Part1 前言WebLogic是美国Oracle公司出品一款中间件产品,在国内使用也比较广泛。从2015年开始至今,接连爆出过10几个可直接利用的Java反序列化漏洞,相关漏洞的原理也越来越复杂。每次应急响应过程中,遇到Oracle公司的产品都会特别头疼,因为其日志结构太过繁杂,相关介绍文档也很少,想弄明白是需要下一番功夫的。在日常的应急响应过程中,为了解决这个问题.........原创 2022-04-25 07:37:27 · 535 阅读 · 0 评论 -
第33篇:DNS劫持攻击原理讲解及溯源分析的常规步骤
Part1 前言在世界杯举办期间,DNS劫持事件估计会和链路劫持事件一样,风险提升很多。上期分享了一篇《第32篇:某运营商链路劫持(被挂博彩页)溯源异常路由节点(上篇)》,本期就讲一下DNS劫持攻击的相关知识吧。关于DNS层面的攻击手段比较多,比如DNS劫持、DNS污染、DNS重绑定攻击、DNS反射放大攻击等等。一般认为DNS劫持攻击与DNS污染是两回事,DNS污染一般指的是DNS缓存投毒攻击...原创 2022-11-29 19:30:01 · 2043 阅读 · 0 评论 -
第32篇:某运营商链路劫持(被挂博彩页)溯源异常路由节点(上篇)
Part1 前言在世界杯举办期间,链路劫持的攻击风险估计会升高很多。链路劫持攻击是各类应急响应事件中危害比较大的,溯源起来有一定的难度,很多新手会感觉无从下手。本次ABC_123就分享一个自己曾经做过的真实的链路劫持分析案例。Part2 前置基础知识为了照顾一下新手朋友,我在这里给出链路劫持分析的前置基础知识,这些基础知识看不懂,后面的分析过程也是看不懂的。已经了解的同学可以直接跳过这一部...原创 2022-11-25 19:01:29 · 793 阅读 · 0 评论 -
第26篇:蓝队分析辅助工具箱V0.3发布,含shiro解密|cas解密|log4j2解密|冰蝎哥斯拉解密|端口连接分析等功能...
Part1 前言最近几年各种攻防演习比赛越来越多,网络攻击事件越来越频繁,各种加密变形的漏洞利用payload的出现,让蓝队分析难度也越来越高。在最近几年参加的几次蓝队分析工作中,我陆续写了各种各样的小工具,于是就把这些小工具集合起来,形成了这么一个“蓝队分析辅助工具箱”分享给大家使用,重点解决蓝队分析工作中的一些痛点,比如说让大家头疼的加密数据包解密问题,netstat -an无ip对应的国...原创 2022-10-13 18:55:41 · 1228 阅读 · 0 评论 -
第35篇:某区宽带用户路由器DNS被篡改事件分析(DNS重绑定攻击)
Part1 前言攻击事件描述如下:当时有几个区的部分用户访问一些网站会跳出菠菜、色情页面,最后工作人员发现这些用户的家用路由器DNS都被篡改了,这些DNS统计下来有几十个,部分DNS服务器被威胁情报标记为恶意ip,然后部分路由器密码也被重置。将路由器恢复出厂设置之后,一切恢复正常,但是发现过几天DNS又会被篡改,最后客户通过屏蔽恶意DNS服务器ip地址,解决了这一次攻击事件。这个事件过去很多年...原创 2022-12-07 20:11:09 · 1204 阅读 · 0 评论 -
第19篇:关于近期cs服务端被反打的原因分析
Part1 前言最近几天,不少朋友的cs服务端被反打了,相信很多网友都知道了,大家也都在讨论,各种各样说法都有。具体事件描述如下:部分网友的cs服务端被不明攻击者拿下权限,之后攻击者将cs上的shell全部通过云函数的方式反弹到自己的cs上,之后将原有cs端的shell权限清空,在cs控制台留下一句话“CS RCE全版本通杀 Please v Me 获取详情”等之类的...原创 2022-08-08 23:14:26 · 1754 阅读 · 0 评论 -
第36篇:我是如何一步步溯源到偷走我家小狗的人|宠物丢失的寻找方法|狗狗走丢了怎么找回...
Part1 前言我家养了一只纯种的白色小比熊犬,买回家时两个月大,手把手喂大的,每天回家都会使劲地冲我摇尾巴。一天早上我在地下车库遛狗时,小狗突然转弯跑到一面墙后面,然后就不见踪影了。我这时候才发现,一只小狗或者是一个小孩,走丢是如此得容易。于是我绞尽脑汁,花了5天的时间溯源到了小偷本人,并成功要回小比熊。在这个过程中,这么多年的蓝队溯源及应急响应形成的思考习惯,起到了至关重要的作用。Par...原创 2022-12-17 11:20:53 · 816 阅读 · 0 评论 -
第29篇:蓝队分析辅助工具箱V0.36发布,新增Java字节码反编译功能
Part1 前言前一阵子写了这么一款蓝队分析辅助工具箱,没想到下载量还挺大。于是就抽出时间修复了一些bug,还新增了很多功能。“蓝队分析辅助工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点,比如说让大家头疼的冰蝎、哥斯拉加密数据包解密问题、netstat -an返回结果中ip无对应的物理地址问题、各种编码/解码问题、内存马解码及Becl反编译问题等,未来会持续...原创 2022-11-13 14:16:27 · 367 阅读 · 0 评论 -
第48篇:Weblogic最新漏洞修复方法(禁用T3+IIOP协议)
Part1 前言大家好,我是ABC_123。春节前weblogic爆出了一个新的漏洞CVE-2023-21839,据说有攻击队曾用这个在野0day打穿了某银行目标。通过官方的漏洞描述来看,应该还是借助jndi来实现反序列化漏洞利用,所以此漏洞成功条件是目标一定要出网,而且T3或IIOP协议开放。与T3协议或IIOP协议相关的weblogic的0day漏洞近几年还会不断地公布出来,要想彻底解决这...原创 2023-01-27 19:57:38 · 123546 阅读 · 1 评论 -
第59篇:VMware虚拟机一开扫描器就断网的解决方法|坑点总结
Part1 前言大家好,我是ABC_123,公众号正式更名为”希潭实验室”,敬请关注。在日常的渗透测试或者安全服务工作中,经常会用到AWVS、Nessus扫描器,一个是扫描Web漏洞,一个是扫描系统漏洞。这些扫描器一般不会直接安装在物理机中,因为部分漏洞扫描插件会被杀软报毒误杀,而且会开启很多服务拖慢物理机,因此多数朋友会将其安装在VMWare虚拟机中,等到需要的时候打开虚拟机使用即可,但是由...原创 2023-04-29 08:49:14 · 1263 阅读 · 0 评论 -
第55篇:日志分析神器Splunk的介绍与使用|大数据分析|智能运维|业务分析
Part1 前言大家好,我是ABC_123。我曾经花费时间搭建各种Web服务器、数据库环境去研究分析日志,使用的工具从使用系统自带命令去分析日志,到自动化的360星图,再到后期的Logparser、ELK(ElastiSearch、Kibana、Logstash)等等。到最后我发现还是Splunk这款商业版工具用起来更顺手一些,我个人认为这款软件比ELK要好用得多,只不过ELK免费开源可以包装...原创 2023-04-02 19:43:54 · 3653 阅读 · 0 评论 -
第54篇:蓝队分析辅助工具箱V0.43,新增内存马反编译分析及Jar包恶意类名搜索功能...
Part1 前言大家好,我是ABC_123。年前写了这么一款蓝队分析辅助工具箱,看到很多朋友都在使用,于是我也抽出时间把很多功能进行了优化和更新。“蓝队分析辅助工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点问题。欢迎关注我的公众号"ABC123安全研究实验室",ABC_123坚持99%原创,不抄袭文章,不发水文,不发广告。Part2 使用说明及功能介绍端...原创 2023-03-18 19:30:12 · 7817 阅读 · 0 评论 -
第57篇:蓝队分析辅助工具箱V0.52更新,美化界面|shiro、log4j2、冰蝎哥斯拉解密|ip地址分析|含java反编译等...
Part1 前言大家好,我是ABC_123,公众号正式更名为”希潭实验室”,ABC_123坚持99%原创,敬请关注。年前写了这么一款蓝队分析辅助工具箱,看到很多朋友都在使用,于是我也抽出时间把很多功能进行了优化和更新。“蓝队分析辅助工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点问题。本次更新重点解决热心网友反馈的一些问题,解决了长时间让ABC_123非常头痛...原创 2023-04-16 19:30:19 · 9992 阅读 · 2 评论 -
蓝队分析研判工具箱V0.85,解决mac系统软件界面模糊问题|支持ipv6|支持哥斯拉14种流量解密
Part1 前言大家好,我是ABC_123。“蓝队分析研判工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点问题。此0.85版本重点解决苹果mac系统软件界面模糊问题,解决IPv6的支持问题,支持哥斯拉webshell全部14种加密流量的解密,感谢"小黑"的帮助,添加溯源分析功能、网空资产测绘功能:包括Hunter、佛法、VirusTotal、Censys、Sh...原创 2023-10-09 21:18:58 · 1066 阅读 · 0 评论 -
第73篇:蓝队分析研判工具箱V0.72,溯源辅助|资产测绘搜索|代码格式化|攻击流量解密|冰蝎哥斯拉解密|Java反编译...
Part1 前言大家好,我是ABC_123。“蓝队分析研判工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点问题。此0.72版本添加溯源分析功能、网空资产测绘功能:包括Hunter、佛法、VirusTotal、Censys、Shadon、Zoomeye、Quake、微步威胁情报搜索功能,查看图片经纬度地理位置等功能,对所有文本框添加右键菜单,解决Linux、ma...原创 2023-09-05 19:08:21 · 1456 阅读 · 1 评论