前言:
最近在寻找合适的新的c2工具使用,cs的特征查的太严了不深入的修改特征随便就被威胁情报标红,于是打算使用市面上的一些c2工具看看哪些比较好用。
修改cs的特征需要花点时间去研究,这会是后期的一个方向,或许目前可以尝试使用新的rat来看看那些rat的比较好用,毕竟我个人认为cs用起来不是很舒服,页面也不怎么美观。在网上看到有sliver havoc vshell等开源的工具,只有vshell是国内开发的,并且身边的好友也推荐使用vshell于是准备尝试一下vshell。
项目原地址 :GitHub - veo/vshell: vshell 是一款安全对抗模拟、红队工具。提供隧道代理和隐蔽通道,模拟长期潜伏攻击者的策略和技术
毕竟是这种rat,github上很快就不更新了,但是内部一直流传着4.9.3的版本同时还有破解版的,而且听说此工具是安恒开发的,送上膝盖666
此工具在github上面的说明文档就聊聊几行,没有过多的说明,所以使用方式还得自己研究一下。
我下载到的一共有三个操作系统的版本
有amd就已经适应大部分vps了
这里使用Ubuntu的vps进行搭建
文件的目录结构也很简单
首先关注conf目录,此目录有三个文件,前两个是用来做ssl证书的,可以自定义修改ssl特征
后一个setting就是启动的配置文件
setting.conf
第一行是默认的授权,这个项目默认是限制了使用时间以及受控主机数的,我这里的破解版就是有一个破解版的license可以替换然后使用期限和受控机数量就可以变得很高
web_post可以修改启动时的端口修改特征
在这里可以定义新的登录名和密码
所以默认登录使用
admin qwe123qwe
还可以配置wx、钉钉等用来通知主机上线的消息,太方便了!!!
启动服务端程序
./v_linux_amd64
会出现开启的端口,就是配置文件中设置的,然后访问ip:port
先会出现一个nginx的登录,这个是用来反溯源和反空间测绘的,不登录进去就无法看到网站的任何信息防止信息被收集到。
输入自定义的账号密码 如果使用默认就是
admin qwe123qwe
这里我遇到一个很奇怪的问题我也不知道什么原因,账号密码都没输错但是提示401后面换了个浏览器又登录进去了,如果还不可以可以尝试重启。
进去后的界面是这样的
我这里是破解版的可以看到授权时间都发生了改变。
设置监听器
设置一个tcp监听器
生成木马
方式也非常的多
生成一个最常见的后门
生成的木马过了火绒的静态动态查杀,真的猛。
直接点击运行会触发defender的提示但是只是提示可能会产生问题都是并没有识别出是木马
直接使用cmd运行没有任何提示
客户端管理刷新一下列表,成功的上线了
木马上线
点击主机管理
命令终端
第一个是命令终端
文件管理
后门的屏幕查看和监控就不展示了,可以实时的进行返回截图,太丝滑了。
插件
插件就只有默认携带的几个,可以自己在plugins目录添加
最后有个添加开机启动服务的功能点
隧道代理
四种隧道任你选择
使用感受
vshell真的太强了太丝滑了太方便了太优雅,可惜目前是没有公开新的版本,和cs对比起来各有优势,老牌cs还是插件多横向的方式多,不过vshell感觉非常适合打点的时候先使用打隧道啥的,然后后渗透的时候在使用cs。
而且一个很大的有点是他集合了Linux的上线,cs必须用插件才可以而且没有很多Linux对应的后渗透功能,vshell却将Linux一视同仁。
以上都是在本地的使用记录,外网好像需要认证才可以使用?,这里的破解版我不知道是什么原因,在外网的vps上面搭建使用明明还没到期哪怕没有用那个破解的license也没有认证成功,登录就是401用不了我真的服了。。。真的很好用😭😭😭