EshwarReddyD7/c2edu
GitHub: EshwarReddyD7/c2edu
面向教学场景的 C2 框架,每个攻击功能都配有对应 Sigma 检测规则,帮助理解 Beacon 通信原理与防御检测方法。
Stars: 1 | Forks: 0
# C2Edu
C2Edu 的存在是为了揭开 beacon/C2 实际工作原理的面纱——面向学生、蓝队成员和检测工程师。每一个攻击功能都配对有会触发告警的 Sysmon/Suricata/Sigma 规则。
  
## 功能
- 加密的 HTTP beacon(AES-GCM 负载,可配置的抖动 + 休眠时间)
- 任务下发:`whoami`、`shell`、`sleep`(故意设计为高噪声)
- 用于管理 agent 的 Operator REST API
- **检测指南**:针对每个攻击功能的 Sigma 规则,包含在 `detections/` 中
- 默认绑定 RFC1918;拒绝公网 IP
- 紧急停止机制:agent 在收到 `?kill=1` 响应时自毁
## 架构
```
flowchart LR
agent[Agent
encrypted beacon] -->|HTTP/HTTPS| server[Operator API] server --> ops[Operator CLI] agent -.detected by.-> sigma[(Sigma rules)] agent -.detected by.-> sysmon[(Sysmon)] ``` ## 快速开始 ``` docker compose up --build # 在另一个 shell 中: python -m c2.agent --server http://127.0.0.1:8000 --key supersecret python -m c2.operator queue agent-1 whoami python -m c2.operator results agent-1 ``` ## 检测指南 参见 [detections/](detections/)——每一种攻击行为都有对应的 Sigma 规则,并解释了*为什么*它能被检测到。这才是核心意义所在。 ## 许可证 MIT(仅用于教育目的;请勿将其武器化)
encrypted beacon] -->|HTTP/HTTPS| server[Operator API] server --> ops[Operator CLI] agent -.detected by.-> sigma[(Sigma rules)] agent -.detected by.-> sysmon[(Sysmon)] ``` ## 快速开始 ``` docker compose up --build # 在另一个 shell 中: python -m c2.agent --server http://127.0.0.1:8000 --key supersecret python -m c2.operator queue agent-1 whoami python -m c2.operator results agent-1 ``` ## 检测指南 参见 [detections/](detections/)——每一种攻击行为都有对应的 Sigma 规则,并解释了*为什么*它能被检测到。这才是核心意义所在。 ## 许可证 MIT(仅用于教育目的;请勿将其武器化)
标签:AES-GCM加密, AES加密, AMSI绕过, C2框架, Docker, Docker Compose, HTTP Beacon, Lab Only, Metaprompt, Python, Python 3.11, REST API, Sigma规则, Suricata, Sysmon, 不可武器化, 命令与控制, 威胁检测, 安全学习资源, 安全实验室, 安全防御评估, 教育与培训, 无后门, 现代安全运营, 目标导入, 私有化部署, 网络信息收集, 网络安全实验, 网络安全教学, 请求拦截, 逆向工具, 防御规避