XiebroC2: 多人协作渗透测试框架

工具简介

支持平台：

• 被控端(Client)由Golang编写，兼容WIndows、Linux、MacOS上线（未来会考虑移动端上线）
• 团队服务器(Teamserver)由.net 8.0 编写、AOT编译，内存占用低，无需安装任何依赖，几乎可以兼容全平台系统
• 控制端(Controller)支持反弹shell，文件管理、进程管理、网络流量监控、内存加载、自定义UI背景色等功能
• 支持Windows/Linux内存加载PE文件，即文件不落地执行木马，中转第三方C2/RAT
• 支持内存执行.net 程序集（execute-assembly、inline-assembly)
• 支持通过lua扩展UI控件、Session命令，载荷生成（类似于CobaltStrike的cna脚本）
• 支持自定义RDIshellcode（仅64位，32位需要手动编译client）或者用donut、Godonut生成属于自己的shellcode
• 支持Teamserver托管二进制文件、文本、图片(类似SimpleHttpServer)
• 支持团队服务器自定义配置文件,自定义Telegram的chat ID/Token上线通知
• 控制端(Controller)UI轻量级交互界面，内存占用大约是CobaltStrike的60分之一，是Metasploit的10分之一
• Golang的编译器特征已经被部分AV/EDR厂商标黑了，因此免杀效果较差

无需安装任何环境直接使用：XiebroC2，修改TeamServerIP和TeamServerPort为VPS的IP和端口，然后保存为profile.json，需要解释的几个参数：

• 1.如果配置文件（profile.json）中的Fork为true，则在执行runpe和nps的时候会创建一个子进程，并且进行注入，这就是传统的Fork&&Run模式，如果Fork为flase，则为内联（inline）加载模式，如果在有严格AV/EDR的环境下，内联加载的方式显然更加的OPSEC
• 2.如果你需要上线Telegram提醒，您还需要去学习，TG的机器人消息提醒，在配置文件中填上Telegram_Token和Telegram_chat_ID
• 3.shellcode目前只支持x64位，原谅我的懒惰，我觉得x86环境是比较罕见需求，因此在这里就忽略掉了，至于rdiShellcode64是怎么生成的，您需要仔细地研究sRDI的原理，这并不是一句话能说清楚的
• 4.windowsSessionReverse_tcp不支持域前置，您需要添加windowsSessionReverse_Ws监听器才能使用域前置和cdn上线。

在配置文件（profile.json）中 可以自定义Route来修改websocket路由的特征。

{    "TeamServerIP": "192.168.1.250",    "TeamServerPort": "8880",    "Password": "123456",    "StagerPort": "4050",    "Telegram_Token": "",    "Telegram_chat_ID": "",    "Fork": false,    "Route": "www",    "Process64": "C:\windows\system32\notepad.exe",    "Process86": "C:\Windows\SysWOW64\notepad.exe",    "WebServers": [],    "listeners": [],    "rdiShellcode32": "",    "rdiShellcode64": "",}

服务端：

Teamserver.exe -c profile.json