MrEx-Right/ShadowLine

# 🕵️‍♂️ ShadowLine - 下一代 C2 框架     **ShadowLine** 是一个用 **Go** 编写的隐蔽、模块化且跨平台的命令与控制 (C2) 框架。专为红队演练和对手模拟设计，重点在于弹性和规避。 与传统的 C2 不同，ShadowLine 通过 **GitHub Gists** 和 **Ngrok Tunnels** 利用 **"Dead Drop"（死信箱）架构**，使基础设施能够高度抵御 IP 封锁和静态分析。 ## ✨ 架构与工作流 ### 🏗️ 基础设施逻辑 ShadowLine 通过依附于合法服务来绕过边界防火墙。 ``` graph LR A[Agent] -->|1. Resolve C2| B(GitHub Gist) B -->|2. Return Tunnel URL| A A -->|3. Connect Encrypted| C(Ngrok Tunnel) C -->|4. Forward Traffic| D[ShadowLine Server] ``` # 🚀 核心特性 ## 🔥 核心引擎 - **跨平台 Agent**：单一代码库可编译用于 Windows、Linux 和 MacOS。 - **Gist 解析器**：从 GitHub 动态获取 C2 地址，使 Agent 实现与 IP 无关。 - **幽灵模式 (Ghost Mode)**：在后台静默运行 (Windows)，无控制台窗口。 ## 🧠 高级功能 - **🔐 加密通信**：流量通过 Ngrok (TLS) 隧道传输，绕过标准的 HTTP 检测。 - **🔄 持久化**： - **Windows**：通过注册表 (`HKCU\Run`) 自启动并隐藏在 `%APPDATA%` 中。 - **Linux/Mac**：通过 Crontab (`@reboot`) 自启动。 - **🛡️ 规避**：动态编译确保每次构建的 Agent 都具有唯一的文件哈希值。 - **💣 自毁**：通过单个命令远程卸载 Agent 并清除痕迹（注册表/文件）。 ## ⚔️ 攻击模块 ShadowLine 内置了后渗透模块： - **🐚 远程 Shell**：直接在受害者机器上执行系统命令。 - **⬇️ 投递**：从互联网下载 Payload 或工具到目标主机。 - **⬆️ 窃取**：窃取敏感文件并将其上传到 C2 服务器。 - **📸 间谍软件**：即时捕获受害者桌面的屏幕截图。 ## 📦 安装 ShadowLine 需要 Go 1.21+ 和一个 Ngrok 账户。 ``` # 克隆 repository git clone https://github.com/MrEx-Right/ShadowlLine.git cd ShadowLine # 初始化 module go mod tidy # 配置你的 infrastructure cp config.json.example config.json # 使用你的 GitHub Token 和 Gist ID 编辑 config.json # 运行 Server cd server go run main.go ``` ### 🛠️ 构建 Agent 使用交互式构建器为任何操作系统生成 Payload。 ``` cd builder go run builder.go ``` ## ⚠️ 法律免责声明 **ShadowLine** 是一个严格用于教育目的和授权安全研究（红队演练）的项目。 - **无责任**：开发者不对因使用本程序而造成的任何误用或损害负责。 - **授权**：在未事先达成双方一致同意的情况下，使用此工具攻击目标是非法的。 - **意图**：本项目旨在演示现代 C2 基础设施的运作方式，以帮助蓝队改进检测机制。 *下载或使用本软件即表示您同意这些条款。*

标签：adversary emulation, C2框架, Command & Control, Crontab, Dead Drop, DNS 反向解析, EVTX分析, GitHub Gist, Go语言, HTTP工具, IP无感知, MacOS, Ngrok, Red Teaming, 中高交互蜜罐, 动态解析, 反弹Shell, 子域名变形, 安全学习资源, 安全工具集合, 对手模拟, 底层编程, 恶意样本开发, 恶意软件开发, 日志审计, 注册表持久化, 流量加密, 私有化部署, 程序破解, 网络安全, 网络安全审计, 自毁机制, 防御规避, 隐私保护, 隐蔽通信, 隧道技术