工具简介
支持平台:
-
被控端(Client)由Golang编写,兼容WIndows、Linux、MacOS上线(未来会考虑移动端上线) -
团队服务器(Teamserver)由.net 8.0 编写、AOT编译,内存占用低,无需安装任何依赖,几乎可以兼容全平台系统 -
控制端(Controller)支持反弹shell,文件管理、进程管理、网络流量监控、内存加载、自定义UI背景色等功能 -
支持Windows/Linux内存加载PE文件,即文件不落地执行木马,中转第三方C2/RAT -
支持内存执行.net 程序集(execute-assembly、inline-assembly) -
支持通过lua扩展UI控件、Session命令,载荷生成(类似于CobaltStrike的cna脚本) -
支持自定义RDIshellcode(仅64位,32位需要手动编译client)或者用donut、Godonut生成属于自己的shellcode -
支持Teamserver托管二进制文件、文本、图片(类似SimpleHttpServer) -
支持团队服务器自定义配置文件,自定义Telegram的chat ID/Token上线通知 -
控制端(Controller)UI轻量级交互界面,内存占用大约是CobaltStrike的60分之一,是Metasploit的10分之一 -
Golang的编译器特征已经被部分AV/EDR厂商标黑了,因此免杀效果较差
无需安装任何环境直接使用:XiebroC2,修改TeamServerIP和TeamServerPort为VPS的IP和端口,然后保存为profile.json,需要解释的几个参数:
- 1.如果配置文件(profile.json)中的Fork为true,则在执行runpe和nps的时候会创建一个子进程,并且进行注入,这就是传统的Fork&&Run模式,如果Fork为flase,则为内联(inline)加载模式,如果在有严格AV/EDR的环境下,内联加载的方式显然更加的OPSEC
- 2.如果你需要上线Telegram提醒,您还需要去学习,TG的机器人消息提醒,在配置文件中填上Telegram_Token和Telegram_chat_ID
- 3.shellcode目前只支持x64位,原谅我的懒惰,我觉得x86环境是比较罕见需求,因此在这里就忽略掉了,至于rdiShellcode64是怎么生成的,您需要仔细地研究sRDI的原理,这并不是一句话能说清楚的
- 4.windowsSessionReverse_tcp不支持域前置,您需要添加windowsSessionReverse_Ws监听器才能使用域前置和cdn上线。
在配置文件(profile.json)中 可以自定义Route来修改websocket路由的特征。
{
"TeamServerIP": "192.168.1.250",
"TeamServerPort": "8880",
"Password": "123456",
"StagerPort": "4050",
"Telegram_Token": "",
"Telegram_chat_ID": "",
"Fork": false,
"Route": "www",
"Process64": "C:\windows\system32\notepad.exe",
"Process86": "C:\Windows\SysWOW64\notepad.exe",
"WebServers": [],
"listeners": [],
"rdiShellcode32": "",
"rdiShellcode64": "",
}
服务端:
Teamserver.exe -c profile.json
下载地址
https://github.com/INotGreen/XieBroC2
插件编写文档:
https://github.com/INotGreen/Xiebro-Plugins
原文始发于微信公众号(Hack分享吧):XiebroC2!多人协作渗透测试框架
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论