随手记

一、第54篇：蓝队分析辅助工具箱V0.43，新增内存马反编译分析及Jar包恶意类名搜索功能

1. 冰蝎及哥斯拉流量解密功能

2. 新增5种Java内存马class文件反编译功能

   1. 程序对Base64加密的内存马class文件进行反编译分析。
   2. 程序对Byte数组的内存马class文件进行反编译分析。
   3. 程序对BECL编码加密的内存马class文件进行分析。
   4. 程序对Base64+Gzip压缩的内存马class文件进行反编译分析。
   5. 程序对class文件进行反编译分析。

3. Jar包搜索指定类名

   对于蓝队人员，此功能可以在指定的jar包目录中筛选出含有恶意类名的jar包文件，现在很多红队人员制作的不死内存马，会将jar包中的class文件修改掉，关机重启后内存马仍然可用，那么这个分析功能会非常有用。

   对于红队人员，在编写调试0day或者Nday的POC时，比如说weblogic中间件，它所包含的依赖jar包可能有上千个，查找存在漏洞的类究竟依赖于哪个jar包是非常头痛的一件事，这个工具可以帮您解决这个问题。在编写调试weblogic的poc时，ABC_123就是使用这个功能查找指定jar包依赖的。

4. 解密Shiro数据包/CAS数据包/Log4j2数据包功能

二、针对ubisoft.com 的live Recon(上)

1. 主动信息搜集

   mkdir recondata
   cd recondata
   mkdir ubisoft(target)
   subfinder -d ubisoft.com -all -h | tee -a main.txt
   
   cat main.txt | cut -d "," -f 1 > domains.txt
   cat domains.txt | xargs -I{} host {} | tee -a host-out.txt
   
   #此时在recondata目录下
   grep  -v "amazonaws.com" host-out.txt
   
   grep  -v "amazonaws.com" host-out.txt | grep -v NXDOMAIN
   

2. 使用httpx来操作

3. 使用google来进行被动信息搜集

   site:ubisoft.com filetype:jsp
   site:ubisoft.com filetype:php
   site:ubisoft.com ext:jsp
   
   site:ubisoft.com inurl:.jsp
   site:ubisoft.com inurl:do 
   site:ubisoft.com inurl:do -www -support
   site:ubisoft.com inurl:'&' -www -support
   
   site:ubisoft.com inurl:login -account -www
   site:ubisoft.com inurl:signup -account -www
   site:ubisoft.com inurl:signup -account -www -connect -register
   
   site:ubisoft.com inurl:register -account -www -connect -register
   site:ubisoft.com inurl:/user register -account -www -connect -register
   
   site:ubisoft.com title:Signup
   site:ubisoft.com title:login
   site:ubisoft.com title:admin
   

4. 从ASN的角度考虑

5. 从shodan的角度

   asn:AS22634 title:admin
   
   asn:AS22634 title:404 ,
   asn:AS22634 title:api,
   asn:AS22634 title:厂商名(asn:AS22634 title:ubisoft)
   
   asn:AS22634 title:dev 
   asn:AS22634 location:api 
   asn:AS22634 location:sso 
   asn:AS22634 location:onelogin.com
   asn:AS22634 "title:login" 
   asn:AS22634 hostname:ubisoft.com 
   asn:AS22634 hostname:ubi.com title:301
   
   hostname:ubi.com  title:login
   
   hostname:ubi.com  api
   hostname:ubi.com  admin
   hostname:ubi.com  corp
   
   注意:这里能够观察到它的服务器
   

三、劫持资源管理器实现持久性后门

1. https://github.com/RistBS/ContextMenuHijack

2. 通过执行以下命令用regsvr32注册下这个dll文件，如果想卸载掉只需加个/u参数即可。

   注册：
   regsvr32 ContextMenuHijack.dll
   
   卸载：
   regsvr32 /u ContextMenuHijack.dll
   

四、nodejs请求走私与ssrf

1. nodejs 构造 ssrf payload