endgamec2framework/endgame
GitHub: endgamec2framework/endgame
ENDGAME 是一个专为红队演练和渗透测试设计的规避优先型 C2 框架,帮助安全团队模拟真实攻击技术并评估防御检测覆盖率。
Stars: 2 | Forks: 1
ENDGAME C2 FRAMEWORK
ENDGAME 是一个专业的命令与控制(C2)框架,专为授权的红队演练、渗透测试和安全教育研究而构建。旨在模拟真实的攻击者技术,评估检测覆盖率,并帮助安全团队了解其防御漏洞——内置 AI 以加速活动分析和操作员决策。非常适合实验室环境、安全培训和动手学习。
🌐 endgamec2framework.com
·
📄 文档
### 快速开始
ENDGAME 运行于 Kali Linux、Ubuntu 22.04+ 和 Debian 11+。你需要 Go 1.21+、Nim 2.0+ 以及 MinGW 用于交叉编译。
```
git clone https://github.com/endgamec2framework/endgame
cd endgame
./install.sh
make all
```
### 功能
#### 服务端
- 支持实时事件同步的多操作员团队服务器(teamserver)
- 基于 SQLite 的操作日志(agent、任务、结果、战利品)
- 具有多态编码器和 Garble 混淆的 payload 构建器
- 可塑性 HTTP 配置(Amazon、自定义 JSON)
- 带有单行命令生成的 Stager 传递
- 内置报告生成器(HTML/PDF)
- 在 :31337 端口提供 mTLS 操作员 API
#### 客户端 / GUI
- 带有实时 agent 拓扑的 Kill-chain 图视图
- 带有实时 beacon 状态的 agent 表格
- 带有完整命令历史的独立 agent 操作员控制台
- 内部渗透测试套件:凭据验证、横向移动、SMB exec
- 战利品管理器(凭据、文件、屏幕截图、键盘记录)
- AI 辅助的命令建议和活动摘要
- 支持共享会话状态的多操作员协作
#### Agent (Go)
- **传输**:HTTP · mTLS · DNS · SMB 命名管道 (`\\.\pipe\svcctl`) · TCP
- **规避**:ETW 盲补丁 · 通过硬件断点(VEH DR0)绕过 AMSI · NTDLL unhook · Ekko sleep mask · PPID 欺骗 · PEB 命令行欺骗 · Header 擦除
- **注入**:VirtualAllocEx+CreateRemoteThread · Early-bird APC · 线程劫持 · Fork-and-run · 逃避性注入
- **后渗透**:屏幕截图 · 键盘记录 · 剪贴板 · LSASS minidump · Token 模拟 · 绕过 UAC · 持久化(Run key / 计划任务) · 自删除
- **横向移动**:WinRM · SMB exec · 端口转发 · SOCKS5 · 反向 SOCKS · HTTP 枢纽
- **EDR 静默**:WFP 规则注入 · 事件日志擦除
- 进程内 BOF 执行(Beacon Object Files)
- 沙箱检测(30+ EDR/AV 进程检查、计时、工件检查)
#### Agent (Nim)
- 使用 AES-256-CBC 加密任务的 HTTP 传输
- AMSI/ETW 绕过
- 进程注入和 shellcode 执行
- Token 操作
#### Loader
- **C loader** — 反射式 shellcode 运行器,无 CRT 依赖
- **Go loader** — 跨平台,支持 DLL 和 EXE staging
- **Nim loader** — 基于 syscall 的注入,极小足迹
- **Shellcode loader** — 用于手动映射的原始 x64 NASM stub
#### 可扩展性
- BOF (Beacon Object File) 支持 — 将 `.o` 文件放入 `bofs/` 并在 agent 中执行
- 通过 JSON 自定义可塑性 C2 配置
- 用于外部操作员工具的 REST API
- AI 模块(用于命令生成和分析的可插拔 LLM 后端)
### 截图
### 法律声明
### 注意
请勿提交有关 EDR/AV 检测的 issue。
默认构建包含 [IOC 文档](https://endgamec2framework.github.io/endgame/#ioc)中发布的已知 IOC。执行授权活动的操作员应使用自定义证书、构建标志和可塑性配置重新编译 agent。完整的负责任使用政策请参阅 [ETHICS.md](ETHICS.md)。
标签:C2, C2框架, DNS 反向解析, EVTX分析, Gophish, Go语言, HTTP工具, IP 地址批量处理, 免杀技术, 安全学习资源, 日志审计, 暴力破解检测, 程序破解, 红队框架, 网络信息收集