小众且独具特色的15款红队C2框架
字数 2231 2025-10-01 14:05:44

小众且独具特色的15款红队C2框架教学文档

1. OnionC2

特点:基于Tor网络的隐蔽通信C2框架

  • 通信方式:通过Tor网络进行端到端加密通信,隐藏C2服务器IP
  • 命令执行:支持Shell命令执行(含异步执行)
  • 持久化:Windows注册表持久化、快捷方式劫持
  • 信息收集:系统详情(CPU、内存、网络)、剪贴板读取
  • 文件操作:文件搜索、上传/下载(通过Tor)
  • 配置安全:代理二进制文件中混淆C2配置
  • 项目地址https://github.com/zarkones/OnionC2

2. Rshell

特点:Go语言编写的跨平台多协议C2

  • 协议支持:WebSocket、TCP、KCP、HTTP、OSS
  • 客户端支持:Windows、Linux
  • 管理功能:Note标记、颜色标记、内存执行工具集
  • 项目地址https://github.com/Rubby2001/Rshell

3. Quasar

特点:C#编写的轻量级远程管理工具

  • 通信加密:TLS加密
  • 网络支持:IPv4/IPv6、UPnP自动端口转发
  • 功能模块:任务/文件/启动管理器、远程桌面、远程Shell、注册表编辑、密码恢复(浏览器/FTP)、键盘记录(Unicode)、SOCKS5代理
  • 项目地址https://github.com/quasar/Quasar

4. GoClipC2

特点:基于Windows剪贴板通信的PoC C2

  • 适用场景:VDI/RDP环境、网络受限环境
  • 功能:文件传输进度、命令队列、持久性控制、睡眠/唤醒、进程枚举、心跳定制
  • 项目地址https://github.com/ZephrFish/GoClipC2

5. MeetC2

特点:利用Google Calendar API作为通信通道

6. AdaptixC2

特点:可扩展的后利用框架,服务端Go + 客户端C++ QT

  • 架构:服务端/客户端、插件化(监听器/代理)、全链路加密
  • 代理协议:Socks4/5
  • 功能:任务存储、目标管理、凭据管理、代理链接图、健康检查、BOF支持、AxScript引擎
  • 项目地址https://github.com/Adaptix-Framework/AdaptixC2

7. Caldera

特点:MITRE开发的自动化对手模拟框架

  • 基于ATT&CK:模拟TTPs
  • 插件系统:Sandcat代理、Stockpile TTP库、Atomic Red Team插件
  • 代理协议:HTTP、DNS、TCP
  • 项目地址https://github.com/mitre/caldera

8. HardHat C2

特点:C# .NET多用户C2框架

9. Loki

特点:基于Node.js的Electron脚本劫持C2

  • 技术:MITRE ATT&CK T1218.015(脚本劫持)
  • 功能:后门植入、应用掏空、执行链转移
  • 优势:不破坏代码签名有效性
  • 项目地址https://github.com/boku7/Loki

10. Merlin

特点:Go语言跨平台后渗透C2

  • 通信协议:HTTP/1.1、HTTP/2(h2c)、HTTP/3(QUIC)、P2P(SMB/TCP/UDP)
  • 加密方案:AES/Base64/gob/hex/JWE/RC4/XOR
  • 执行技术:.NET程序集内存加载、傀儡进程、Shellcode注入(多种技术)、Donut/sRDI/SharpGen集成
  • 项目地址https://github.com/Ne0nd0g/merlin

11. Exploration C2

特点:C++服务端 + Python客户端的模块化C2

12. Nimbo-C2

特点:Nim语言编写的轻量级C2,支持Win/Linux

  • 技术架构
    • Windows:Nim + .NET CLR动态加载
    • Linux:memfd ELF加载
  • 反检测:NimProtect加密、UPX打包、ETW/AMSI绕过、间接系统调用
  • 功能:文件/注册表管理、持久化、UAC绕过、Token窃取、LSASS/SAM提取、屏幕截图、键盘记录、音频录制、内存执行PowerShell/.NET/ELF
  • 项目地址https://github.com/itaymigdal/Nimbo-C2

13. Peeko

特点:基于浏览器漏洞的C2框架(原文未完全展开)

  • 技术:渗透测试与Web安全方向
  • 备注:原文中未提供详细技术说明或项目地址。

总结说明

以上框架均针对红队操作、渗透测试和 adversary emulation 设计,具备高隐蔽性、跨平台支持、插件化扩展和反检测能力。可根据实际需求选择适合的框架进行测试或研究。

如果有新的想法,欢迎随时和我讨论!

小众且独具特色的15款红队C2框架教学文档 1. OnionC2 特点 :基于Tor网络的隐蔽通信C2框架 通信方式 :通过Tor网络进行端到端加密通信,隐藏C2服务器IP 命令执行 :支持Shell命令执行(含异步执行) 持久化 :Windows注册表持久化、快捷方式劫持 信息收集 :系统详情(CPU、内存、网络)、剪贴板读取 文件操作 :文件搜索、上传/下载(通过Tor) 配置安全 :代理二进制文件中混淆C2配置 项目地址 : https://github.com/zarkones/OnionC2 2. Rshell 特点 :Go语言编写的跨平台多协议C2 协议支持 :WebSocket、TCP、KCP、HTTP、OSS 客户端支持 :Windows、Linux 管理功能 :Note标记、颜色标记、内存执行工具集 项目地址 : https://github.com/Rubby2001/Rshell 3. Quasar 特点 :C#编写的轻量级远程管理工具 通信加密 :TLS加密 网络支持 :IPv4/IPv6、UPnP自动端口转发 功能模块 :任务/文件/启动管理器、远程桌面、远程Shell、注册表编辑、密码恢复(浏览器/FTP)、键盘记录(Unicode)、SOCKS5代理 项目地址 : https://github.com/quasar/Quasar 4. GoClipC2 特点 :基于Windows剪贴板通信的PoC C2 适用场景 :VDI/RDP环境、网络受限环境 功能 :文件传输进度、命令队列、持久性控制、睡眠/唤醒、进程枚举、心跳定制 项目地址 : https://github.com/ZephrFish/GoClipC2 5. MeetC2 特点 :利用Google Calendar API作为通信通道 隐蔽性 :与正常业务流量融合 项目地址 : https://github.com/deriv-security/MeetC2 6. AdaptixC2 特点 :可扩展的后利用框架,服务端Go + 客户端C++ QT 架构 :服务端/客户端、插件化(监听器/代理)、全链路加密 代理协议 :Socks4/5 功能 :任务存储、目标管理、凭据管理、代理链接图、健康检查、BOF支持、AxScript引擎 项目地址 : https://github.com/Adaptix-Framework/AdaptixC2 7. Caldera 特点 :MITRE开发的自动化对手模拟框架 基于ATT&CK :模拟TTPs 插件系统 :Sandcat代理、Stockpile TTP库、Atomic Red Team插件 代理协议 :HTTP、DNS、TCP 项目地址 : https://github.com/mitre/caldera 8. HardHat C2 特点 :C# .NET多用户C2框架 组件 :ASP.NET团队服务器、Blazor客户端、C#植入程序 扩展性 :支持多语言第三方植入 项目地址 : https://github.com/DragoQCC/CrucibleC2 9. Loki 特点 :基于Node.js的Electron脚本劫持C2 技术 :MITRE ATT&CK T1218.015(脚本劫持) 功能 :后门植入、应用掏空、执行链转移 优势 :不破坏代码签名有效性 项目地址 : https://github.com/boku7/Loki 10. Merlin 特点 :Go语言跨平台后渗透C2 通信协议 :HTTP/1.1、HTTP/2(h2c)、HTTP/3(QUIC)、P2P(SMB/TCP/UDP) 加密方案 :AES/Base64/gob/hex/JWE/RC4/XOR 执行技术 :.NET程序集内存加载、傀儡进程、Shellcode注入(多种技术)、Donut/sRDI/SharpGen集成 项目地址 : https://github.com/Ne0nd0g/merlin 11. Exploration C2 特点 :C++服务端 + Python客户端的模块化C2 项目地址 : https://github.com/maxDcb/C2TeamServer 12. Nimbo-C2 特点 :Nim语言编写的轻量级C2,支持Win/Linux 技术架构 : Windows:Nim + .NET CLR动态加载 Linux:memfd ELF加载 反检测 :NimProtect加密、UPX打包、ETW/AMSI绕过、间接系统调用 功能 :文件/注册表管理、持久化、UAC绕过、Token窃取、LSASS/SAM提取、屏幕截图、键盘记录、音频录制、内存执行PowerShell/.NET/ELF 项目地址 : https://github.com/itaymigdal/Nimbo-C2 13. Peeko 特点 :基于浏览器漏洞的C2框架(原文未完全展开) 技术 :渗透测试与Web安全方向 备注 :原文中未提供详细技术说明或项目地址。 总结说明 以上框架均针对红队操作、渗透测试和 adversary emulation 设计,具备高隐蔽性、跨平台支持、插件化扩展和反检测能力。可根据实际需求选择适合的框架进行测试或研究。 如果有新的想法,欢迎随时和我讨论!