红队C2工具Sliver（一）| Sliver和CS及MSF的对比

点击蓝字 关注我们

添加星标不迷路

由于公众号推送规则改变，微信头条公众号信息会被折叠，为了避免错过公众号推送，请大家动动手指设置“星标”，设置之后就可以和从前一样收到推送啦

Sliver介绍

Sliver是一个开源的跨平台攻击者模拟/红队框架，它由Go语言编写而成，它可以被各种规模的组织用来执行安全测试。
Sliver的植入物支持C2 over Mutual TLS（mTLS）、WireGuard、HTTP（S）和DNS，并使用每二进制非对称加密密钥进行动态编译。

服务器和客户端支持MacOS、Windows和Linux。在MacOS、Windows和Linux上都支持植入

服务端与客户端

Cobalt Strike 和 Sliver 都是使用服务端进行控制，转发给客户端被控主机的消息；但 Sliver 的服务器端也可以直接单独对被控机器进行控制。

Cobalt Strike 客户端只能在图形化操作的服务器上运行（因为是图形化操作），而 Sliver 则可以使用命令行客户端或者GUI客户端。

Metasploit 则依托于 Linux ，没有服务端和客户端的区分，一般在 Kali 上进行使用。

编写语言

Cobalt Strike 是 JAVA 编写的，依赖 JAVA 环境实现跨平台。

Sliver 是go语言（golang）编写的，使用 go语言 进行编译即可（环境和编译要求可不一样），兼容性强。

保密性

Cobalt Strike服务器暴露在外，容易被全网扫描，而Sliver只有获取相对应的私钥才能与服务端进行通信，安全性有保障

载荷制作

Sliver里的载荷文件被称为 Implants 植入物，功能上和 Cobalt Strike 里生成的 stageless 和 stager 拉取的 stage（也就是Beacon）一样，都是第二阶段的有效载荷，也是稳定控制被控机器的有效载荷，注意，是稳定控制。

载荷植入方式

Sliver 植入载荷的方式与 Cobalt Strike 以及 Metasploit 一样均有两种方式，非阶段式与阶段式植入，由于非阶段式的载荷与阶段式下载的载荷一致，所以主要关注阶段式即可

载荷支持系统类型

Cobalt Strike除非使用插件，否则只能上线Windows主机，要上线Linux要么插件要么借助MSF。

MSF 的 msfvenom 基本支持了所有系统和所有脚本和Web类的代码生成，支持范围是最广的。

Sliver 则是覆盖了三大系统，还有 shellcode 、service 以及可执行文件，不用像MSF一样需要把生成的载荷二次加工，省了一个步骤。

支持的通信分类

Cobalt Strike和Sliver对比如下

Sliver 支持多协议控制功能，比较奇特，可以使用多种通信方式进行控制，避免单一通信连接失败， Sliver 里面的通信协议优先级依次为：mTLS > WG > HTTP(s) > DNS。

Metasploit 支持的通信如下：

载荷模式分类

Sliver 的 Implant 有两种，模式，Beacon模式和Session模式，区别在于Beacon属于异步通信，定期连接服务端执行命令然后返回数据，和 Cobalt Strike 的通信方式相同，这样比较隐蔽。

而 Sliver 的Session模式则是持久连接（交互式窗口），像 webshell 命令执行窗口一样，执行命令响应速度更快，目前 Implant 可以从Beacon模式切换为Session模式，但反过来就没法转换了。

监听方式

三者都一样，开启监听才能上线（有点废话了），根据对应的协议开启不同的监听。

载荷投递

Cobalt Strike 内置的有钓鱼、邮件攻击、漏洞利用等方式投递木马。

Metasploit 也是有漏洞利用方式投递木马。

而 Sliver 则没有默认的投递载荷方式，需要自己编写代码投递。

不过一般大家都是先getshell再上传的。

后渗透命令

Cobalt Strike 的后渗透命令要比 Sliver 都不少，不过 Sliver 目前更新频率非常快，逐渐在添加一些的功能。

Sliver 后渗透命令中Windows和Linux命令不是太一样，Windows命令要多出一个名字叫 Sliver-Windows

参考资料

https://www.metasploit.com/https://github.com/BishopFox/sliver/wikiCobalt Strike 中文使用手册.pdfhttps://www.secrss.com/articles/50031