1. APfell:
APfell是一个跨平台,可识别 OPSEC的红色团队,利用后的C2框架,使用python3,docker,docker-compose和Web浏览器UI构建.它旨在为操作员,管理人员和基于Mac OS和Linux的操作系统上的报告提供协作且用户友好的界面.它包括对多个C2配置文件,多种有效负载类型,Mac OS专有的自动化JavaScript(JXA)和有趣的Chrome扩展有效负载的支持.APfell也映射到我最喜欢的MITER ATT&CK框架.有趣的是,C2框架从知名的恶意软件家族(例如PlugX,Flame等)中获得灵感.
代码语言:javascript复制https://github.com/its-a-feature/Apfell
2.Covenant:
Covenant是一个.NET命令和控制框架,旨在强调.NET的攻击面,利用攻击性.NET tradecraft更容易,并且可以作为红队合作的指挥和控制平台.这与其他C2 Post-Exploitation框架的不同之处在于,它支持多平台的.NET Core.因此,Covenant可以在Linux,MacOS和Windows平台上本地运行!此外,Covenant具有docker支持,使其可以在安装了docker的任何系统上的容器中运行.它由三个部分组成-Covenant(服务器端部分),Elite(客户端部分)和Grunt(植入物).
代码语言:javascript复制https://github.com/cobbr/Covenant
3. Dali:这是一个新的概念验证C2服务器,它使用了Imgur托管图像和任务代理!尽管作者已经包括了样本代理的代码,但它遵循了带来自己的植入物(BYOI)的概念.它利用了一种有趣的自定义速记方法,并具有一个MySQL后端.
代码语言:javascript复制https://github.com/h0mbre/Dali
4. Callidus:Callidus是一个开源C2框架,它利用Outlook,OneNote,Microsoft Teams进行命令和控制.它已经用C#的.net核心框架进行了编码,并允许运营商利用O365服务来建立C2通信通道.它使用Microsoft Graph API与O365服务进行通信.
代码语言:javascript复制https://github.com/3xpl01tc0d3r/Callidus
5. DaaC2:此开源C2框架将Discord用作C2通道,并支持Microsoft Windows,Linux和MacOS操作系统.它也可以在非Windows系统上执行命令并执行shellcode!
代码语言:javascript复制https://github.com/crawl3r/DaaC2
6. EmpireProject:可悲的是,如前所述,它最近已终止.Empire / Empyre是一个纯PowerShell开发后代理,基于加密安全的通信和灵活的体系结构构建.Empire无需使用Powershell即可实现运行PowerShell代理的能力,从关键记录器到Mimikatz的可快速部署的利用后模块,以及适应性强的通信以逃避网络检测,所有这些都封装在以可用性为重点的框架中.
代码语言:javascript复制https://github.com/EmpireProject/Empire/releases
7. FactionC2:FactionC2框架专注于运营安全,
灵活性和团队合作精神.其针对API的设计为通过任何文件记录良好的REST和Socket.IO API与可以说其语言的任何代理之间的任何传输方法进行安全通信提供了基础.目前,Faction仅支持.NET负载和模块.Marauder是FactionC2框架的示例.NET代理.但是,您也可以轻松创建自己的代理.派系的设计考虑到了传输服务器形式的重定向.它们位于Faction和您的代理之间,用来掩盖您的通信.这个C2开发后框架具有基于角色的访问控制系统,可以使用SQL查询来查询数据!
代码语言:javascript复制https://github.com/maraudershell/Marauder
8. FudgeC2:FudgeC2是基于Python3 / Flask构建的面向活动的Powershell C2植入物.它旨在促进紫色分组活动,团队协作,客户交互,活动时间表和使用情况可见性.FudgeC2植入物还支持不同级别和类型的混淆,以允许在接合过程中产生不同级别的噪声,以帮助SoC对其检测技术进行基准测试.
代码语言:javascript复制https://github.com/Ziconius/FudgeC2
9. goDoH:goDoH是用Golang编写的概念验证命令和控制框架,该框架使用DNS-over-HTTPS作为传输介质.当前受支持的提供商包括Google,Cloudflare,但还包含使用传统DNS的功能.由于goDoH是用Golang编写的,因此可以为大多数平台构建一个可执行文件,其中包含所需的服务器端代码和客户端代码.
代码语言:javascript复制https://github.com/sensepost/goDoH/releases
10. iBombshell:iBombShell是一个动态的开放源代码工具,它允许通过Shell或支持Powershell的系统上的提示进行开发后功能.支持的功能会在内存中动态加载,从而避免在存储库中需要它们时写入任何硬盘驱动器.我在这里发布了有关此C2开发后框架的博客.
代码语言:javascript复制https://github.com/ElevenPaths/ibombshell
11. Koadic:Koadic是使用Windows Script Host的开源,开发后鼠又是远程访问木马.通过COM接口进行大多数操作.由于它使用VBScript / JScript,因此它具有内置的支持,因此可以期望它在Windows 2000以后的所有Microsoft Windows操作系统上都可以运行.我在名为Koadic:高级Windows JScript / VBScript RAT的博客中进行了介绍.
代码语言:javascript复制https://github.com/zerosum0x0/koadic
12. Merlin:
Merlin是一个跨平台的利用后HTTP / 2 C2服务器和用Golang编写的代理.通过使用现有工具无法理解或检查的协议,它可以帮助您在渗透测试/红色团队练习中规避网络检测.Merlin Server和Agent都可以轻松地编译为在多种操作系统上运行,包括Windows,Linux,Mac OS,Solaris,FreeBSD,ARM,MIPS或Android.Merlin的最新版本支持Shellcode执行和Shellcode反射DLL注入(sRDI)等功能.
代码语言:javascript复制https://github.com/Ne0nd0g/merlin/releases
13.Meteor:Meteor是跨平台的dockerized C2,带有用于TCP和Web的模块.这是一个Flask / Postgresql DB(SQL Alchemy)后端,模块/机器人是用Golang编写的.每个模块都将端口公开给主机,因此所有回调都可以定向到同一位置.实际的容器及其专用网络不会直接暴露给外界.该数据库存储与主机/组/机器人/动作/结果相关的所有信息.Meteor具有模块,这些模块是Golang二进制文件,可通过Web请求与核心进行通信
代码语言:javascript复制https://github.com/degenerat3/meteor/releases/tag/v0.1-alpha
14. Nuages: Nuages是一个模块化的C2框架,后端组件是开源的,而植入物和处理程序必须由最终用户根据所需的功能进行开发.Nuages可通过REST或socket.io获得,并可通过命令行或浏览器通过Nuages_Cli或Nuages_WebCli客户端进行控制.还包括示例C#植入物
代码语言:javascript复制https://github.com/nettitude/PoshC2/releases
15. Octopus C2: Octopus是基于python的开源,可操作的C2服务器,可以通过HTTP / S控制Octopus PowerShell代理.在开始实际的红队行动之前,您可以先使用八达通获取有关目标的信息,此功能称为"Endpoint Situational Awareness"
代码语言:javascript复制https://github.com/mhaskar/Octopus
16. PoshC2:PoshC2是一个代理感知的C2框架,它利用Powershell 和/或 等效项(System.Management.Automation.dll)帮助渗透测试人员进行红色分组,后期开发和横向移动.选择Powershell作为基本的植入语言是因为它提供了所有功能和丰富的功能,而无需在框架中引入多个第三方库.除了Powershell植入程序外,PoshC2还具有一个纯粹用Python编写的基本dropper,可用于对基于Unix的系统(例如Mac OS或Ubuntu)进行命令和控制
代码语言:javascript复制https://github.com/nettitude/PoshC2/releases
17.PRISMatica:Prismatica是连接到Diagon Command and Control Toolkit中的响应式模块化C2接口.Prismatica Marketplace中有多种工具和组件,例如Diagon&Emergence – C2工具包,Acheron – RESTful漏洞评估和管理框架以及Tiberium – C2扫描工具.还有其他工具,尚未发布.主要目的是提供一个具有模块化运输工具,后端和植入物的便捷平台,以实现快速的重新装备机会并增强Red Team的运营
代码语言:javascript复制https://github.com/Project-Prismatica
18. Silver:这是最近的C2开发后框架之一.Sliver是一种跨平台植入程序框架,该框架通过Mutual-TLS,HTTP(S)和DNS支持C2.植入物是使用唯一的X.509证书动态编译的,该X.509证书由首次运行二进制文件时生成的按实例证书颁发机构签名.植入程序支持功能,例如动态代码生成,编译时混淆,进程注入,反取证,Windows进程迁移和Windows用户令牌操作
代码语言:javascript复制https://github.com/BishopFox/sliver/releases
19. SILENTTRINITY: 这是由Python,IronPython,C#和.NET的DLR提供支持的异步开发后代理.沉默(SILENTTRINITY)引入了一种称为BYOI(自带翻译)的全新红队方法.当前,植入物仅支持基于HTTP 1.1的C2
代码语言:javascript复制https://github.com/byt3bl33d3r/SILENTTRINITY
20. Slackor:Slackor是一个开源的Golang植入程序,它使用Slack作为命令和控制服务器.在此C2框架中,除了Slack的TLS传输加密外,命令输出和下载的文件还经过AES加密,并且支持诸如bypassuac,Windows Defender defanger,samdump,minidump等功能
代码语言:javascript复制https://github.com/Coalfire-Research/Slackor
21. SQLC2:SQLC2是一个开源PowerShell脚本,可帮助您部署和管理同时使用SQL Server作为控制服务器和代理的C&C.它结合了PowerShell脚本,TSQL脚本和SQL Server实例中的一些表来跟踪代理,命令和结果.我感兴趣的事实是,可以通过database.windows.net地址远程或在Azure中托管SQLC2
代码语言:javascript复制https://github.com/NetSPI/SQLC2
22. TrevorC2:TrevorC2是一种客户端/服务器模型,用于通过正常浏览的网站掩盖命令和控制.由于时间间隔不同,检测变得更加困难,并且不使用POST请求进行数据渗透,并且支持Windows,MacOS和Linux
代码语言:javascript复制https://github.com/trustedsec/trevorc2/releases
翻译至:
代码语言:javascript复制https://pentestit.com/list-of-open-source-c2-post-exploitation-frameworks/