深入解析C2远程控制原理(内含常见C2框架对比)

最新推荐文章于 2025-04-21 09:56:17 发布
最新推荐文章于 2025-04-21 09:56:17 发布
阅读量1.1k 收藏 20
点赞数 15
文章标签: 网络安全 渗透测试 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79518550/article/details/145657460
版权

在渗透测试和红队作战中,C2(Command and Control)远程控制系统扮演着至关重要的角色。它不仅是攻击者与目标系统之间的桥梁,更是整个攻击链条的核心。C2系统通过不同的通信方式和上线方式,帮助渗透测试人员或攻击者维持对受控系统的控制、获取信息并执行命令。在众多C2框架中,选择合适的工具和方法,不仅能够提高攻击效率,还能有效规避检测,提升任务成功率。本文将深入探讨C2远程控制的基本原理,介绍常见的C2通信方式和上线方式,并分析几款主流C2框架的特点与应用。

C2通信方式

1. Beacon模式 —— Cobalt Strike(CS)

Beacon模式是一种 轮询式(Polling) 通信方式,受控端(Beacon)不会与C2服务器保持持续连接,而是按照设定的时间间隔(默认60秒,可调整)向C2服务器发起回连,检查是否有新的任务。如果有,则下载并执行,随后回传执行结果。

特点
  • 隐蔽性强:不保持长连接,通信行为类似正常的HTTP/HTTPS流量,容易混淆,难以被检测。
  • 抗干扰性高:即使网络断开,Beacon也会持续尝试回连,直至成功连接C2服务器。
  • 执行有延迟:由于是定期回连,命令执行通常会有一定延迟(默认60秒,可调)。
  • 流量可伪装:使用HTTP/HTTPS/DNS等协议通信,甚至可以伪装成合法网站访问。
示例:Cobalt Strike(CS)

Cobalt Strike 是最典型的Beacon模式C2框架,其Beacon支持多种通信方式,包括:

  • HTTP/HTTPS:默认使用HTTPS进行加密通信,伪装成正常Web流量。
  • DNS:通过DNS请求传输数据,适用于内网环境,流量隐蔽性更高。<
最低0.47元/天 解锁文章
vortex5
关注
渗透测试工具之Sliver
idlecloud0105的博客
03-20 855
攻击者需要将生成的植入物传输到目标系统,并执行它。C2 框架的架构与 Metasploit(如 Meterpreter)类似,但更专注于。(Red Teaming)中常见的攻击工具之一,攻击者利用 C2 服务器。组成,二者共同实现 C2 服务器与受控设备的通信。植入物(Implants)是 Sliver 生成的。抓包分析时,可以看到所有数据都是加密传输的。和**监听器(Listeners)**功能。Sliver 支持多种通信协议,如。随着安全防御的不断提升,企业应加强。进行通信,数据仍然是加密的。
一款轻松免杀主流杀软的c2框架
Gamma_lab的博客
06-30 2773
前言 恕我直言,cs 无论是马或者源文件都被分析烂了,且 cs 的行为太明显了,必 须要大改特改才能满足现在的红蓝对抗,但是想大改谈何容易,所以最快的方 法是寻找一款新的 c2 框架,说白了,远控自己都能写一个出来,执行一些简单 操作还是可以的。 故事从现在开始 最佳有一款老外开发的猎鹰 c2 框架说是要在下周发布,看着很吊的样子,我们 拭目以待,今天要介绍的一款好玩的用 rust 语言开发的 c2 框架,是我无意间 逛 github 上面看到的,这里我记录一下此框架的使用:为啥我会选择这个框 架,因为它是
【C2架构】
weixin_45880501的博客
03-24 915
上线数据包:上线数据包中 一般会包含受害主机的一些基本信息,例如计算机名称,硬件 ID,计 算机版本信息等等内容,在传输之前,可能使用一些比较简单的自定 义算法,或者 RSA、AES 这类成熟的算法进行加密。对于加密数据的处理,需要确定的是是否有采用已知的算法,定 位一些关键函数是非常快速的方法,以 Windows 程序为例:需要确 定是否导入了 Crypt*系列的函数。
C2风格的框架程序
05-05
用java实现的C2风格程序框架,详细定义了构件与连接件,实现了异步消息通信。
猎鹰c2框架
weixin_48776804的博客
07-19 468
猎鹰c2框架
新型开源C2框架:浩劫
网络研究观
02-24 1万+
Havoc 是一种先进的后利用 C2 框架,甚至可以绕过最新版本的 Windows 11 Defender。
远程控制小程序框架
08-01
该代码分为两部分,一部分为服务器,一部分为客户端程序,通过该程序可以搭建远程控制的基本框架
ym——Andorid-15k+的面试题。
热门推荐
陈宇明
08-07 2万+
最近才开的博客,希望大家多多关注,andorid开发也做了3年有余了,也面试很多加企业,借此机会分享一下,我们中遇到过的问题以及解决方案吧,希望能够对正在找工作的andoird程序员有一定的帮助。学完本人博客发表《ym--andorid从零开始教程》+面试题目全理解,年薪18w以上绝对没问题。 特别献上整理过的50道面试题目 1.listView的优化方式 重用conve
SWP协议企业部署攻略
本文深入探讨了SWP协议的各个方面,包括其定义、理论基础、技术特性、安全机制以及部署策略。文章首先回顾了SWP协议的起源和发展历程,进而阐释了其架构、组件和数据交换方式。特别关注了SWP协议的安全机制,分析了...
红队专题-漏洞挖掘-代码审计-反序列化
最新发布
aming小老弟
04-21 1908
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
新库上线 | CnOpenData中国工业企业绿色专利及引用被引用数据简介
CnOpenData的博客
07-30 2万+
中国工业企业绿色专利及引用被引用数据简介   改革开放以来,中国工业化迅速发展,但高增长的背后却隐藏着资源浪费、环境恶化等矛盾,在这些环境问题愈发突出的背景下,我国绿色发展新理念开始深入工业发展,近年来,此项工作已取得较好成绩:在工业和信息化部于2020年公布的我国2016-2019年工业绿色发展成绩单中,规模以上企业单位工业增加值能耗累计下降超过15%,相当于节能4.8亿吨标准煤,节约能源成本约4000亿元,同期,单位工业增加值二氧化碳排放量累计下降18%。经济效益和环境效益的双赢,是现代化工业发展的目标
"C2远控"通常指的是“Command and Control”(C&C,指挥与控制)的一种形式,它是恶意软件、木马、僵尸网络等
08-15
"C2远控"通常指的是“Command and Control”(C&C,指挥与控制)的一种形式,它是恶意软件、木马、僵尸网络等网络攻击活动中常见的一个组成部分。C2远控系统允许攻击者从远程位置控制被感染的计算机或设备。下面是对C2远控的一个基本介绍: C2远控系统概述 定义: C2远控系统是指攻击者用来管理和控制受感染主机的基础设施。 它允许攻击者发送指令、接收数据、执行操作(如下载文件、上传文件、执行命令等)。 组成: C2服务器:这是攻击者用来控制受感染主机的中心点。它可以是物理服务器、虚拟服务器或临时租用的服务。 客户端(受感染主机):这些是被恶意软件感染的计算机或设备,它们与C2服务器通信以接收命令和执行任务。 通信协议: C2通信可以使用多种协议,包括但不限于HTTP(S)、DNS、IRC、TCP等。 为了隐蔽性,有时会使用加密和混淆技术来避免检测。 功能: 命令下发:发送指令给受感染主机。 数据收集:从受感染主机收集信息,如系统信息、文件、屏幕截图等。 文件传输:上传或下载文件。 横向移动:在受感染网络内部移动,寻找更多目标。 安全防范: 特征匹配:杀毒软件和安全系统通
phpsploit:功能齐全的C2框架,通过单行PHP后门以静默方式保留在Web服务器上
05-11
功能完备的C2框架,可在任何情况下持续保持通过多态PHP oneliner的Web服务器 由和创建 概述 使用标准客户端请求下的HTTP标头和Web服务器的相对响应(通过微小的多态后门进行隧道传输)来完成混淆的通信: <?php @ eval ( $ _SERVER [ 'HTTP_PHPSPL01T' ]); ?> 快速开始 git clone https://github.com/nil0x42/phpsploit cd phpsploit/ pip3 install -r requirements.txt ./phpsploit --interactive --eval " help help " 特征 高效:超过20个插件可自动执行权限提升任务 运行命令并浏览文件系统,绕过PHP安全限制 在客户端和目标之间上传/下载文件 通过本地文本编辑器编辑远程文件 在目标系统上运行SQ
利用JSP远程控制服务端
04-17
此代码在服务端放置后,客户端进入该JSP页面能进行硬盘的增删改查、服务管理等等操作,甚至还有远程桌面,全部功能仅仅使用JSP一个文件实现。 大部分功能采用DOS命令,使用简单,页面友好人性化。
什么是dubbo
awei19950103的博客
11-10 473
dubbo概念 Dubbo是阿里巴巴公司开源的一个高性能、轻量级的Java RPC框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。 ●Provider: 暴露服务的服务提供方 ●Contahier: 服务运行容器 ●Consumer: 调用远程服务的服务消费方 ●Registry: 服务注册与发现的注册中心 ●Monitor:统计服务的调用次数和调用时间的监控中心 简单理解就是,跨网络的进行远程调用的RPC框架 dubbo模块可以看成是一个信息的生产者,里面有一些pojo实
Nimbo-C2:一款功能强大的轻量级C2 框架
dzqxwzoe的博客
08-16 587
1、构建EXE、DLL、ELF Payload;2、使用NimProtect加密植入物配置和字符串;3、使用UPX封装Payload,并对PE代码进行混淆处理以增加检测和解包的难度;4、HTTP通信加密;5、C2命令行终端支持命令自动补全;6、在内存中执行PowerShell命令;7、提供文件上传和下载命令;8、内置扫描发现命令;9、支持屏幕截图、剪贴板数据窃取和音频记录;10、LSASS和SAM Hive转储;11、Shellcode注入;12、内联.NET程序集执行;
Villain:一款强大的C2框架,助您掌控网络战场
gitblog_00112的博客
10-10 426
Villain:一款强大的C2框架,助您掌控网络战场 Villain Villain is a C2 framework that can handle multiple TCP socket & HoaxShell-based reverse shells, enhance their functionality wi...
BlackMamba:C2后渗透框架
weixin_43977912的博客
11-17 1870
BlackMamba BlackMamba是一款多客户端C2/后渗透框架,并且还支持某些网络间谍软件的功能。该工具基于Python 3.8.6和QT框架开发,可以在渗透测试任务中为广大研究人员提供帮助。 BlackMamba的功能如下: 多客户端支持:支持同时连接多个客户端; 实时通信更新:支持客户端和服务器端之间的实时通信和更新; 通信加密:支持对除了屏幕视频流之外的所有通信信息进行加密; 截屏收集:从客户端获取实时截屏; 视频流:实时查看客户端屏幕视频流; 客户端锁定:锁定和解锁客户端设备; 文件传输加
自写C2,补充大脑营养,促进骨骼生长
UUniversity的博客
12-16 1216
Cobalt Strike 是目前使用人数最多的C2框架。然而这使得它备受各大安全厂商的和。在大多数环境中,不更改默认设置是行不通的,因为这会立即被检测到。1.将Malleable C2 配置文件中的选项设置为 false。这将阻止 Cobalt Strike 在其 Web 和 DNS 服务器上托管有效载荷阶段。这样做对 OPSEC 有很大好处。启用暂存后,任何人都可以连接到您的服务器,请求有效载荷并分析其内容以从您的有效载荷配置中查找信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值