神兵利器 | 一个蓝队攻击特征分析工具箱

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

工具介绍

BTAB (Blue Team Analyisis Box) 是一个蓝队分析工具箱，专注于攻击特征分析。可以辅助安全运营人员在客户现场较苛刻环境下(无网、无python环境)的流量包分析、木马分析等场景，目前已集成流量包检测、SQL注入检测、Webshell检测、bash命令执行检测，以及解码序列化等工具。

工具使用

前往releases下载，双击执行即可；启动后访问本地的 8001 端口：http://localhost:8001

注意：部分功能需要 java 环境依赖。

功能说明

初版本主要实现基本的功能和整体流程，主要包含以下三块功能：

威胁仓库：用于存储流量包、payload文件、webshell文件的列表；
风险检测：包括流量包检测、HTTP深度解析、SQLi检测、XSS检测等检测项；
辅助工具：包括jq 、反序列化解析、数据加解密等处理工具；

流量包检测功能：需要有tshark依赖，注意需要配置config.yaml文件中指定tshark路径，如下：

pcapAnalyseConfig:
    # tsharkPath: tshark  # unix 环境
    tsharkPath: C:\Program Files\Wireshark\tshark.exe # win 环境

webshell检测功能：需要有java依赖。

功能截图

下载地址：https://github.com/Martin2877/btab