stillbigjosh/Neo

GitHub: stillbigjosh/Neo

一款模块化的后渗透 C2 框架,为红队行动提供协同 Agent 管理、加密通信和可扩展的后渗透能力。

Stars: 32 | Forks: 4

Logo # Neo C2 框架 [![Version](https://img.shields.io/badge/Version-2.0.1-orange.svg)](https://github.com/stillbigjosh/Neo/releases) [![Python](https://img.shields.io/badge/Python-3.8%2B-blue.svg)](https://www.python.org/) [![Golang](https://img.shields.io/badge/Go-1.2%2B-blue.svg)](https://www.go.dev/) [![License](https://img.shields.io/badge/License-GPL-green.svg)](LICENSE) [![Tool](https://img.shields.io/badge/Tool-Adversary%20Emulation-red.svg)](https://github.com/stillbigjosh/Neo) [![Platform](https://img.shields.io/badge/platform-Linux%20Windows%20MacOS-lightgrey.svg)](https://github.com/stillbigjosh/Neo) **一个模块化的服务器-客户端架构的后渗透框架,专为红队行动和安全测试中的协同 agent 管理而构建。通过允许操作者添加自己的扩展模块来实现灵活性** [安装说明](https://neoc2.readthedocs.io/en/latest/getting_started/Installation/) • [Agent 与 Stager](https://neoc2.readthedocs.io/en/latest/core_concepts/agents_and_stagers_guide/) • [Profile 与 Listener](https://neoc2.readthedocs.io/en/latest/usage_guide/profiles_and_listeners/) • [模块](https://neoc2.readthedocs.io/en/latest/usage_guide/specialized_modules/) • [多用户模式](https://neoc2.readthedocs.io/en/latest/advanced_features/multiplayer/) • [SOCKS5](https://neoc2.readthedocs.io/en/latest/usage_guide/socks5_pivot/) • [任务编排](https://neoc2.readthedocs.io/en/latest/advanced_features/taskorchestration/)
### 功能 - **可扩展性:** 服务器使用生产级的 WSGI,以确保在真实流量下的稳定性和性能,这与 Flask 开发服务器不同 - **多用户模式:** 操作者之间通过交互式 session 锁定实现实时协作 - **代理感知:** SOCKS5 反向代理功能 - **任务编排器:** 串联模块以执行复杂操作 - **基于角色的访问控制:** 通过 admin/operator/viewer 角色协调访问权限 - **多操作者扩展模块系统:** 操作者可以集成自己本地的扩展模块,而不会相互干扰 - **模块化 Payload 架构** 通过包含或排除特定的高级功能来自定义 implant 的能力 - **多态 Payload:** 随机化变量和函数名,基于 XOR 的字符串混淆 - **安全通信:** HTTPS 是主要的 C2 通道。Implant 使用每个 agent 专属的对称密钥(AES-128-CBC + HMAC-SHA256)进行预注册。该框架会验证密钥,并强制在 HTTPS 之上使用 Fernet 层进行加密通信 - **可定制 Profile:** 自定义 agent 行为和通信模式 - **沙箱与调试器检测:** 用于反分析的自我删除 - **Payload 分阶段加载** 无缝分阶段加载 payload 和文件 - **重定向器支持**:通过 profile 管理指向内部 listener 的外部基础设施 - **故障转移部署**:Agent 嵌入备用 C2 服务器 - **Shellcode 注入**:使用 NtQueueApcThread、NtCreateThreadEx、RtlCreateUserThread、CreateRemoteThread 将 shellcode 注入到牺牲进程中 - **非托管 PE 执行**:使用进程镂空(Process Hollowing)技术在牺牲进程中执行任意的 Windows 可执行文件(PE),或在 agent 的内存空间中完整执行 PE - **.NET Assembly 执行**:在内存中执行 .NET Assembly - **BOF 执行**:加载并执行 Beacon Object File ### 安装说明 NeoC2 服务器和远程客户端目前主要针对在 Kali Linux 机器上运行。有关说明,请参阅[安装指南](https://neoc2.readthedocs.io/en/latest/getting_started/Installation/)。 ### 文档 请阅读 [https://neoc2.readthedocs.io/en/latest/](https://neoc2.readthedocs.io/en/latest/) 获取所有使用指南 ### 免责声明 用户有责任确保其对本框架的使用符合法律、法规和企业政策。作者对任何恶意使用不承担任何责任。本软件专供已获得每个目标系统所有者授权的授权渗透测试人员和安全研究人员使用。 下载此软件即表示您接受使用条款和许可协议。 ### 致谢、贡献者与非自愿贡献者 - [@TrustedSec](https://github.com/trustedsec/COFFLoader) 极好的 BOF 合集 - [@Praetorian](https://github.com/praetorian-inc) 用于 Go 生态系统的 COFFloader 实现 - [@ropnop](https://github.com/ropnop) 实现了从 Go 执行 .NET 的 CLR 库 - [Sliver](https://github.com/BishopFox/sliver) 本项目深受 Sliver 的启发 - [Mythic](https://github.com/its-a-feature/Mythic) Trinity Agent 的模块化构建受到了 Mythic 的启发 ### 支持 - **Bug 报告**:[提交一个 Issue](https://github.com/stillbigjosh/Neo/issues) - **功能请求**:[讨论区](https://github.com/stillbigjosh/Neo/discussions) - **安全问题**:私下联系 @stillbigjosh _本项目由_ [@stillbigjosh](https://github.com/stillbigjosh) _创建并维护_
标签:C2框架, Golang, IP 地址批量处理, Python, 内存取证对抗, 安全学习资源, 安全测试, 安全编程, 攻击性安全, 无后门, 网络信息收集