GnomeMan4201/bad_BANANA

GitHub: GnomeMan4201/bad_BANANA

bad_BANANA 是一个针对 Android Termux 和 Linux 的现场攻击工具包,实现了无 root 条件下的多阶段载荷投递、隐蔽外传及后渗透功能。

Stars: 4 | Forks: 0

![badBANANA 标志](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/e1db580537181351.png) # bad_BANANA **适用于 Android (Termux) 和 Linux 的现场攻击工具包——多阶段载荷投递、隐蔽外传和后渗透。** [![许可证](https://img.shields.io/badge/license-MIT-blue.svg)](LICENSE) [![Python](https://img.shields.io/badge/python-3.10%2B-blue.svg)](#) [![平台](https://img.shields.io/badge/platform-Termux%20%7C%20Linux-blue.svg)](#) bad_BANANA 是一个为 Android 上的 Termux 和基于 Debian 的 Linux 构建的现场攻击工具包。它运行多阶段木马下载链,管理通过 DNS/HTTPS/WebSocket 的隐蔽外传,提取 Chromium 会话数据,并部署持久化——完全可在无 root 权限的移动设备上执行。 作为 badBANANA 研究团队的一部分构建。仅用于授权的红队行动和受控实验室环境。 ## 架构 ``` bad_BANANA/ ├── stage_1_dropper.py multi-stage dropper chain entry ├── stage_2_loader.py in-memory payload staging ├── stage_3_implant.py implant deployment ├── launcher.py EDR-aware field launcher ├── edr_aware_launcher.py sandbox/EDR detection before exec ├── encrypted_loader.py AES-encrypted payload loader ├── dynamic_dns_exfil.py dynamic DNS exfiltration ├── apk_injection_stub.py Android APK injection stub │ ├── exfil/ exfiltration suite │ ├── exfil_dns.py DNS channel │ ├── exfil_https.py HTTPS channel │ ├── exfil_ws.py WebSocket channel │ ├── exfil_ngrok.py ngrok tunnel exfil │ ├── exfil_autopilot.py automated exfil orchestrator │ ├── self_destruct_loader.py post-exfil cleanup │ ├── stage_1/2/3_*.py staged dropper chain │ └── token_guard.py token validation + protection │ ├── chrome_ops/ Chromium session ops │ ├── cookie_extractor.py session cookie extraction │ ├── cookie_injector.py session cookie injection │ └── chromium_profile.py profile enumeration │ ├── modules/ │ ├── chromium_cookie_grabber/ cookie grab module │ ├── jwt_looter.py JWT token extraction │ ├── recon_ops.py host recon │ └── exfil_banana.py modular exfil interface │ ├── badBANANA/ │ ├── c2_server.py C2 server │ ├── bad_BANANA_addons/ │ │ ├── discord_exfil.py Discord-based exfil channel │ │ ├── telegram_exfil_c2.py Telegram C2 integration │ │ └── ghost_clip.py clipboard monitoring │ ├── memory_only_polymorphic_loader.py │ ├── opsec_linter.py pre-op OPSEC checker │ ├── coldtrace_killer.py forensic trace suppression │ └── termux_launcher.py Termux entry point │ └── web/ web-based operator interface ├── launcher/termux_launcher.py ├── docs/MANUAL.md └── docs/LEGAL_NOTICE.md ``` ## 快速开始 ``` git clone https://github.com/GnomeMan4201/bad_BANANA.git cd bad_BANANA pip install -r requirements.txt ./quickstart.sh ``` Termux (Android): ``` pkg install python git git clone https://github.com/GnomeMan4201/bad_BANANA.git cd bad_BANANA/badBANANA python termux_launcher.py ``` ## 功能 - 多阶段木马下载/加载器/植入物链 - 隐蔽外传:DNS、HTTPS、WebSocket、ngrok 隧道、Discord、Telegram - Chromium cookie 提取与注入 - JWT 和会话令牌窃取 - 执行前的 EDR/沙箱检测 - 基于 AES 加密的内存载荷加载 - 动态 DNS 外传 - Android APK 注入存根 - 取证噪音生成与痕迹抑制 - OPSEC 飞行前检查 - 通过 Termux 实现无 root 的 Android 操作 ## 法律声明 仅用于授权的安全研究和受控实验室环境。未经授权对不属于你、或未经你明确许可测试的系统使用是违法的。你有责任遵守所有适用法律。 *bad_BANANA // badBANANA 研究 // GnomeMan4201*
标签:AES加密, Android渗透, APK注入, Chromium数据窃取, DNS 反向解析, DNS隧道, EDR绕过, HTTPS隧道, HTTP工具, IP 地址批量处理, Linux安全测试, Ngrok隧道, Termux, WebSocket隧道, 代码生成, 多阶段载荷, 数据外传, 无Root, 渗透测试工具, 红队工具集, 逆向工具, 隐蔽通信, 高交互蜜罐