endgamec2framework/endgame

GitHub: endgamec2framework/endgame

ENDGAME 是一个专为红队演练和渗透测试设计的规避优先型 C2 框架,帮助安全团队模拟真实攻击技术并评估防御检测覆盖率。

Stars: 2 | Forks: 1

ENDGAME C2 FRAMEWORK


ENDGAME 是一个专业的命令与控制(C2)框架,专为授权的红队演练、渗透测试和安全教育研究而构建。旨在模拟真实的攻击者技术,评估检测覆盖率,并帮助安全团队了解其防御漏洞——内置 AI 以加速活动分析和操作员决策。非常适合实验室环境、安全培训和动手学习。

🌐 endgamec2framework.com  ·  📄 文档





### 快速开始 ENDGAME 运行于 Kali Linux、Ubuntu 22.04+ 和 Debian 11+。你需要 Go 1.21+、Nim 2.0+ 以及 MinGW 用于交叉编译。 ``` git clone https://github.com/endgamec2framework/endgame cd endgame ./install.sh make all ``` ### 功能 #### 服务端 - 支持实时事件同步的多操作员团队服务器(teamserver) - 基于 SQLite 的操作日志(agent、任务、结果、战利品) - 具有多态编码器和 Garble 混淆的 payload 构建器 - 可塑性 HTTP 配置(Amazon、自定义 JSON) - 带有单行命令生成的 Stager 传递 - 内置报告生成器(HTML/PDF) - 在 :31337 端口提供 mTLS 操作员 API #### 客户端 / GUI - 带有实时 agent 拓扑的 Kill-chain 图视图 - 带有实时 beacon 状态的 agent 表格 - 带有完整命令历史的独立 agent 操作员控制台 - 内部渗透测试套件:凭据验证、横向移动、SMB exec - 战利品管理器(凭据、文件、屏幕截图、键盘记录) - AI 辅助的命令建议和活动摘要 - 支持共享会话状态的多操作员协作 #### Agent (Go) - **传输**:HTTP · mTLS · DNS · SMB 命名管道 (`\\.\pipe\svcctl`) · TCP - **规避**:ETW 盲补丁 · 通过硬件断点(VEH DR0)绕过 AMSI · NTDLL unhook · Ekko sleep mask · PPID 欺骗 · PEB 命令行欺骗 · Header 擦除 - **注入**:VirtualAllocEx+CreateRemoteThread · Early-bird APC · 线程劫持 · Fork-and-run · 逃避性注入 - **后渗透**:屏幕截图 · 键盘记录 · 剪贴板 · LSASS minidump · Token 模拟 · 绕过 UAC · 持久化(Run key / 计划任务) · 自删除 - **横向移动**:WinRM · SMB exec · 端口转发 · SOCKS5 · 反向 SOCKS · HTTP 枢纽 - **EDR 静默**:WFP 规则注入 · 事件日志擦除 - 进程内 BOF 执行(Beacon Object Files) - 沙箱检测(30+ EDR/AV 进程检查、计时、工件检查) #### Agent (Nim) - 使用 AES-256-CBC 加密任务的 HTTP 传输 - AMSI/ETW 绕过 - 进程注入和 shellcode 执行 - Token 操作 #### Loader - **C loader** — 反射式 shellcode 运行器,无 CRT 依赖 - **Go loader** — 跨平台,支持 DLL 和 EXE staging - **Nim loader** — 基于 syscall 的注入,极小足迹 - **Shellcode loader** — 用于手动映射的原始 x64 NASM stub #### 可扩展性 - BOF (Beacon Object File) 支持 — 将 `.o` 文件放入 `bofs/` 并在 agent 中执行 - 通过 JSON 自定义可塑性 C2 配置 - 用于外部操作员工具的 REST API - AI 模块(用于命令生成和分析的可插拔 LLM 后端) ### 截图


### 法律声明 ### 注意 请勿提交有关 EDR/AV 检测的 issue。 默认构建包含 [IOC 文档](https://endgamec2framework.github.io/endgame/#ioc)中发布的已知 IOC。执行授权活动的操作员应使用自定义证书、构建标志和可塑性配置重新编译 agent。完整的负责任使用政策请参阅 [ETHICS.md](ETHICS.md)。
标签:C2, C2框架, DNS 反向解析, EVTX分析, Gophish, Go语言, HTTP工具, IP 地址批量处理, 免杀技术, 安全学习资源, 日志审计, 暴力破解检测, 程序破解, 红队框架, 网络信息收集