outflanknl/C2-Tool-Collection

# Outflank - C2 工具集 本仓库包含一系列通过 BOF 和反射式 DLL 加载技术与 Cobalt Strike（以及其他可能的 C2 框架）集成的工具。 这些工具不属于我们的 [商业 OST 产品](https://outflank.nl/services/outflank-security-tooling/)，编写它们的目的是为了回馈我们深受其益的社区。目前该仓库包含一个 [BOF](https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/beacon-object-files_main.htm) (Beacon Object Files) 工具板块和一个其他工具（漏洞利用、反射式 DLL 等）板块。 所有这些工具均由我们的团队成员编写，并被我们在红队评估任务中使用。随着时间的推移，我们将添加更多工具，或通过新技术或功能对现有工具进行修改。 ## 工具集内容 该工具集目前包含以下工具： ***Beacon Object Files (BOF)*** |名称|描述| |----|----------| |**[AddMachineAccount](BOF/AddMachineAccount)**|滥用默认的 Active Directory 机器配额设置 (ms-DS-MachineAccountQuota) 来添加伪造的机器账户。| |**[Askcreds](BOF/Askcreds)**|通过简单的询问来收集密码。| |**[CVE-2022-26923](BOF/CVE-2022-26923)**|CVE-2022-26923 Active Directory (ADCS) 域权限提升漏洞利用。| |**[Domaininfo](BOF/Domaininfo)**|使用 Active Directory Domain Services 枚举域信息。| |**[FindObjects](BOF/FindObjects)**|枚举进程中特定已加载的模块或进程句柄。| |**[Kerberoast](BOF/Kerberoast)**|列出所有启用了 SPN 的用户/服务账户，或请求服务票据 (TGS-REP)，这些票据可以使用 HashCat 进行离线破解。| |**[KerbHash](BOF/KerbHash)**|将密码哈希为 kerberos 密钥 (rc4_hmac, aes128_cts_hmac_sha1, aes256_cts_hmac_sha1, 以及 des_cbc_md5)。| |**[Klist](BOF/Klist)**|显示当前缓存的 Kerberos 票据列表。| |**[Lapsdump](BOF/Lapsdump)**|从 Active Directory 中的指定计算机转储 LAPS 密码。| |**[PetitPotam](BOF/PetitPotam)**|由 [@topotam77](https://twitter.com/topotam77) 发布的 PetitPotam 攻击的 BOF 实现。| |**[Psc](BOF/Psc)**|显示具有已建立 TCP 和 RDP 连接的进程的详细信息。| |**[Psw](BOF/Psw)**|显示具有活动窗口的进程的窗口标题。| |**[Psx](BOF/Psx)**|显示系统上运行的所有进程的详细信息，并提供已安装的安全产品和工具的摘要。| |**[Psm](BOF/Psm)**|显示来自特定进程 ID 的详细信息（例如已加载的模块、TCP 连接等）。| |**[Psk](BOF/Psk)**|显示来自 Windows 内核和已加载驱动程序模块的详细信息，并提供已安装安全产品（AV/EDR 驱动）的摘要。| |**[ReconAD](BOF/ReconAD)**|使用 ADSI 查询 Active Directory 对象和属性。| |**[Smbinfo](BOF/Smbinfo)**|使用 NetWkstaGetInfo API 收集远程系统版本信息，而无需运行 Cobalt Strike 端口 (tcp-445) 扫描器。| |**[SprayAD](BOF/SprayAD)**|针对 Active Directory 执行快速的 Kerberos 或 LDAP 密码喷射攻击。| |**[StartWebClient](BOF/StartWebClient)**|使用服务触发器从用户上下文中以编程方式启动 WebClient 服务。| |**[WdToggle](BOF/WdToggle)**|修补 lsass 以启用 WDigest 凭据缓存并绕过 Credential Guard（如果已启用）。| |**[Winver](BOF/Winver)**|显示正在运行的 Windows 版本、内部版本号和补丁发布版本。| ***其他*** |名称|描述| |----|----------| |**[PetitPotam](Other/PetitPotam)**|由 [@topotam77](https://twitter.com/topotam77) 发布的 PetitPotam 攻击的反射式 DLL 实现| |**[RemotePipeList](Other/RemotePipeList)**|用于枚举远程命名管道的 .NET 工具| ## 如何使用 1. 克隆此仓库。 2. 每个工具都包含一个单独的 README.md 文件，其中包含有关如何编译和使用该工具的说明。通过这种方式，我们希望让用户选择要使用哪个工具，而无需编译所有其他工具。 3. 如果您想一次性编译所有 BOF 工具，请在 [BOF](BOF/) 子文件夹中输入 `make`。

标签：Active Directory, Beacon Object Files, BOF, C2框架, Checkov, Cobalt Strike, HTTP, Kerberoasting, Kerberos攻击, LAPS转储, Outflank, Plaso, StruQ, UML, Web报告查看器, 凭据窃取, 协议分析, 域渗透, 多人体追踪, 安全学习资源, 安全工具开发, 客户端加密, 客户端加密, 攻击诱捕, 机器账户添加, 权限提升, 模拟器, 欺骗防御, 电子数据取证, 端点可见性