开源 C2 框架 AdaptixC2 安装与使用教程

Debian/Ubuntu

sudo apt install gcc g++ build-essential make cmake mingw-w64 g++-mingw-w64 libssl-dev qt6-base-dev qt6-base-private-dev libxkbcommon-dev qt6-websockets-dev qt6-declarative-dev

Arch Linux

sudo pacman -S --needed mingw-w64 make cmake openssl libxkbcommon qt6-base qt6-websockets qt6-declarative

macOS (需先安装 Homebrew)

brew install make cmake openssl qt@6

2.配置 go 环境

# 使用 wget 下载 Go 1.25.4 安装包
wget https://go.dev/dl/go1.25.4.linux-amd64.tar.gz -O /tmp/go1.25.4.linux-amd64.tar.gz
# 移除旧版本 Go (如果存在)
sudo rm -rf /usr/local/go /usr/local/bin/go
# 解压到 /usr/local
sudo tar -C /usr/local -xzf /tmp/go1.25.4.linux-amd64.tar.gz
# 创建全局符号链接（软链接）
sudo ln -s /usr/local/go/bin/go /usr/local/bin/go

• 重启终端或执行 source ~/.bashrc (或对应 shell 的配置文件) 以使 go 命令生效。运行 go version 可确认版本

配置 Windows 7 支持补丁

• for windows 7 support by gopher agent
• 为编译能在 Windows 7 上运行的代理 (gopher agent)，需要应用特定的 Go 运行时补丁

# 克隆补丁仓库到临时目录
git clone https://github.com/Adaptix-Framework/go-win7 /tmp/go-win7
# 将补丁源码移动到系统目录，供后续编译引用
sudo mv /tmp/go-win7 /usr/lib/

3.编译项目

• 所有编译输出文件位于 dist 目录。

方法一：直接编译

make

同时生成服务端（含扩展器）与客户端

方法二：分步编译

Server（服务器）

AdaptixServer 和扩展器（goplugins）必须使用相同版本的 golang 包构建。

# 编译服务端 + 扩展器
make server-ext
# 或 make server
# 编译服务端
make extenders
# 编译扩展器

生成服务端与扩展器

Client（客户端）

• AdaptixClient 是从 cmake 配置编译而成

标准编译 (Linux/macOS)：

make client

• 或快速并行编译 (Linux/macOS)
  • 可在多线程模式下快速构建

make client-fast

中文版编译

• 新增 LinguistTools 组件

直接运行 make 命令编译会在编译客户端时失败

补充翻译依赖

• 安装 Qt 的本地化翻译工具，是生成和编译多语言文件所必需的
• 在项目的 CMakeLists.txt 文件中，已添加 LinguistTools 组件依赖

# 安装 Qt6 翻译工具链
sudo apt install qt6-tools-dev qt6-tools-dev-tools qt6-l10n-tools -y

• qt6-tools-dev: Qt6 核心开发工具包，提供 qmake、moc、uic 等核心构建工具，是编译任何 Qt6 项目的基础。
• qt6-tools-dev-tools：Qt6 附加工具包。在较新的系统中，它包含了 lupdate 和 lrelease 等关键翻译工具。
• qt6-l10n-tools: Qt6 本地化工具包。在部分系统中，翻译工具仍被放置在此包内。该包在更新的 Qt6 版本中已被整合或更名

重新构建项目

• 安装依赖后，需清理旧的构建文件并重新编译，以确保所有更改生效

# 1. 进入你的项目根目录
cd ~/AdaptixC2_i18n-0.9
# 2. 彻底删除旧的构建目录，以清除所有缓存（包括 CMake 的失败配置）
rm -rf build/
# 3. 执行清理（如果 Makefile 中有 clean 目标）
make clean
# 4. 开始全新的构建过程
make

3、配置证书（生成 SSL 证书）

方法一：项目脚本生成

# 进入目录
cd dist
# 添加脚本执行权限
chmod +x ./ssl_gen.sh
# 运行脚本
./ssl_gen.sh

方法二：手动生成

openssl req -x509 -nodes -newkey rsa:2048 -keyout server.rsa.key -out server.rsa.crt -days 3650

生成的 server.rsa.crt 和 server.rsa.key 需放置在 dist 目录（与 adaptixserver 同路径），否则需在 profile.json 中指定绝对路径

4、配置文件（profile.json）

AdaptixServer 通过 profile.json 配置文件启动

配置文件在参数中指定，必须包含 JSON 格式的配置文件。-profile

• profile.json

{
  "Teamserver": {
    "interface": "0.0.0.0",
    "port": 4321,
    "endpoint": "/endpoint",
    "password": "pass",
    "only_password": true,
    "operators": {
      "operator1": "pass1",
      "operator2": "pass2"
    },
    "cert": "server.rsa.crt",
    "key": "server.rsa.key",
    "extenders": [
      "extenders/beacon_listener_http/config.json",
      "extenders/beacon_listener_smb/config.json",
      "extenders/beacon_listener_tcp/config.json",
      "extenders/beacon_agent/config.json",
      "extenders/gopher_listener_tcp/config.json",
      "extenders/gopher_agent/config.json"
    ],
    "access_token_live_hours": 12,
    "refresh_token_live_hours": 168
  },
  "ServerResponse": {
    "status": 404,
    "headers": {
      "Content-Type": "text/html; charset=UTF-8",
      "Server": "AdaptixC2",
      "Adaptix Version": "v1.0"
    },
    "page": "404page.html"
  },
  "EventCallback": {
    "Telegram": {
      "token": "",
      "chats_id": []
    },
    "Slack": {
      "webhook_url": ""
    },
    "Webhooks": [
      {}
    ],
    "new_agent_message": "New agent: %type% (%id%)\n\n%user% @ %computer% (%internalip%)\nelevated: %elevated%\nfrom: %externalip%\ndomain: %domain%",
    "new_cred_message": "New secret [%type%]:\n\n%username% : %password% (%domain%)\n\nStorage: %storage%\nHost: %host%",
    "new_download_message": "File saved: %path% [%size%] from %computer% (%user%)"
  }
}

Team 服务器：

• 端口 - 用于客户端连接的端口
• 端点 - 用于连接客户端的 URN
• 密码 - 客户端认证器
• only_password — 如果为 true，任何登录（Cobalt Strike 模式）仅使用密码认证。如果为 false，则使用严格定义的登录名和密码进行认证。
• cert and key - 用于 web server 的 SSL 证书和密钥
• extenders - 字符串路径数组，链接到插件
• access_token_live_hours & refresh_token_live_hours - 客户端在授权后收到的 JWT 令牌的有效期。

ServerResponse：

• 状态 - 在遇到非法请求时的网页服务器响应代码
• 头部 - 网页服务器 HTTP 头部
• page - 访问文件的路径，其内容将在网页服务器响应中返回

5、Windows 客户端构建

1. 安装 Qt 开发环境

• 官网下载 QT 在线安装器
• Qt 官方安装教程

安装步骤

• 安装选项
  • 安装目录（默认 C 盘）推荐非系统盘（如 D:\Qt）
  • 选择桌面开发
• 自定义安装配置
  • 根据需求最小化安装（只安装编译项目必须的组件）
  • Additional Libraries（附加库）
    • 取消默认勾选的（Qt Charts (Deprecated)、Qt Quick 3D、Qt Shader Tools）
      • Qt Charts (Deprecated)：已弃用的图表库，用 Qt Graphs 替代
      • Qt Quick 3D：3D 图形渲染库，不做 3D 开发不需要
      • Qt Shader Tools：配合 Qt Quick 3D 的着色器工具
    • 保留与添加【推荐】
      • Qt Multimedia - 基础音视频功能
      • Qt Image Formats - 图片格式支持
  • 其他组件保持安装时默认选项
  • 最理性、最实用的选择，如果编译时提示缺少其他库，那时再单独安装即可

勾选自定义安装

勾选个人用户或者或填写公司名称（可随便填）

登录 Qt 账户（若没有的话需要注册）

启动在线安装程序

确认安装组件

安装菜单文件夹（默认或者自定义）

或可参考 AdaptixC2 官网文档，按照下方截图中的选项勾选

2、构建 AdaptixC2 客户端

1.获取项目

• 复制或下载 AdaptixC2 项目到 Windows 系统中

2.启动 QT Creator 程序打开项目

选择 CMakeLists.txt 文件（AdaptixClient 目录下）

3.配置与构建

勾选 Release，然后点击 Configure(配置项目)

4.安装缺失包

更新包，完成后重新打开项目

提示安装缺失的依赖包

5.构建项目

将构建类型改为 Release，然后点击构建项目（Ctrl+B）

3、打包客户端（关键步骤）

1、创建发布目录

• 手动创建目录或使用命令创建

mkdir "C:\Users\Demo\Desktop\AdaptixC2 Client"

• 手动复制或者使用命令复制
  • 将构造的 AdaptixClient.exe 可执行文件移到或复制到发布目录

copy "C:\Users\Demo\Desktop\AdaptixC2\AdaptixClient\build\Desktop_Qt_6_10_1_MinGW_64_bit-Release\AdaptixClient.exe" "C:\Users\Demo\Desktop\AdaptixC2 Client"

4、使用 windeployqt 打包

windeployqt.exe 是 Qt 官方提供的 Windows 平台应用程序打包工具，专为简化 Qt 程序部署而设计。它的核心功能是自动分析一个 Qt 可执行文件（.exe）所依赖的所有 Qt 动态链接库、插件、翻译文件等，并将它们复制到该可执行文件所在的目录，从而生成一个可以在没有安装 Qt 开发环境的 Windows 电脑上独立运行的应用程序包

# 进入发布目录
cd "C:\Users\Demo\Desktop\AdaptixC2 Client"
# 运行 windeployqt.exe 打包工具
D:\Qt\6.10.1\mingw_64\bin\windeployqt.exe AdaptixClient.exe

生成后的文件

5、测试运行

运行 AdaptixClient.exe 程序

Docker Compose

AdaptixC2 提供了 Docker Compose 配置文件，用于使用预定义的环境快速构建和运行。通过 --profile 参数可以激活不同的服务组合

• docker-clean：移除 Docker 容器和镜像（仅限构建器）
  • 移除 build-server、build-extenders 和 build-server-ext 配置文件的容器和图像
  • 保留运行时容器
• docker-clean-all：移除所有 Docker 工件（容器、镜像、卷、网络）
  • 移除所有构建配置文件，包括运行时
  • 清理构建输出目录（AdaptixServer/server-dist）
  • 全新重建的全面清理

二、使用教程

1、启动服务端

# 启动服务端（指定配置文件为 profile.json）
./adaptixserver -profile profile.json

• 服务端启动后会在同级目录创建 data 文件夹，用于存放数据库等文件。

2、启动客户端

./AdaptixClient

• 首次运行会在用户主目录创建 .adaptix 文件夹存储配置。

连接配置

• User（用户名）：任意名称
• Password（密码）：与 profile.json 中的 password 一致（默认：pass）
• URL：https://服务器 IP:4321/endpoint
• Project（项目）：自定义项目名称和存储路径

连接服务器成功

• 使用方法与 CS（CobaltStrike）一样

3. 监听器配置

Gopher 协议监听器

1.创建监听器

• 点击🎧（Listeners & Sites）
  • Name（连接名称）：随意
  • Config（配置）：创建 GopherTCP 连接
  • Host & port（监听地址与端口）：C2 服务器本地绑定的 IP 和端口，用于接收 Agent 连接

CallBack addresses （回连地址）：编码到 Agent 中的、用于回连的一个或多个 C2 地址（如公网 IP:端口）

2.生成客户端

选择操作系统后点击生成保存即可

3.测试上线

1.执行生成的载荷 (Agent)

# 切换木马存放目录
cd Downloads
#查看当前文件
ls
#添加执行权限
chmod +x kali
#执行生成的载荷 (Agent)
./kali

查看会话图（Sessions Graph）

查看会话表（Sessions Table）

HTTP/HTTPS 监听器

1.创建监听器

• Name（名称）：随意
• Config（配置）：BeanHTTP
• Host & port（监听地址与端口）：C2 服务器本地绑定的 IP 和端口，用于接收 Agent 连接
• CallBack addresses （回连地址）：编码到 Agent 中的、用于回连的一个或多个 C2 地址（如公网 IP:端口）
• URI（同一资产标识）：自定义路径标识
• Use SSL(HTTPS)【可选】：启用 HTTPS 协议需要证书和密钥

2.生成客户端

默认即可

3.杀软对抗测试（原始载荷）

• 所有杀毒软件均已开启最高级别防护和实时监控
• 病毒库更新至最新版本

360 & 腾讯电脑管家

静态检测：初始生成的载荷能够绕过静态检测

动态执行：运行后触发行为检测被 360 拦截

二次静态扫描：拦截后重新扫描，载荷静态特征被识别

火绒安全

静态检测：载荷落地立即被识别并隔离（落地即杀）

Windows Defender

隔离处理：文件被自动移至隔离区

实时防护：立即拦截（落地即杀）

卡巴斯基

文件检测：文件写入磁盘时立即被检测并删除（落地即杀）

4.测试上线

会话图

会话表

4、交互式控制台

选择会话，点击右键选择 Console 进入交互式控制台

5、创建快捷方式

服务端

1.创建脚本启动文件

vim /root/AdaptixC2/dist/start.sh

#!/bin/bash
# AdaptixC2 服务器启动脚本
# 功能：动态读取配置文件并启动服务器，智能显示实际访问地址
# 使用：./start.sh
# 使用当前目录下的 profile.json
# ./start.sh 其他配置文件.json
# 使用指定的配置文件
# 切换到脚本所在目录，确保相对路径可靠执行
cd "$(dirname "$0")" || exit 1
# 配置文件名（支持命令行参数指定，默认使用 profile.json）
CONFIG="${1:-profile.json}"
echo "[*] 启动 AdaptixC2 服务器"
echo "[*] 配置文件：$CONFIG"
# 检查配置文件是否存在
if [ ! -f "$CONFIG" ]; then
  echo "[错误] 配置文件不存在：$CONFIG" >&2
  exit 1
fi
# 动态读取配置并显示地址
INTERFACE=$(grep -o '"interface":[[:space:]]*"[^"]*"' "$CONFIG" | head -1 | cut -d'"' -f4)
PORT=$(grep -o '"port":[[:space:]]*[0-9]*' "$CONFIG" | head -1 | tr -cd '0-9')
ENDPOINT=$(grep -o '"endpoint":[[:space:]]*"[^"]*"' "$CONFIG" | head -1 | cut -d'"' -f4)
# 确定实际访问地址
ACCESS_IP="$INTERFACE"
if [ "$INTERFACE" = "0.0.0.0" ] || [ "$INTERFACE" = "::" ] || [ "$INTERFACE" = "127.0.0.1" ] || [ "$INTERFACE" = "localhost" ] || [ -z "$INTERFACE" ]; then
  ACCESS_IP=$(hostname -I 2>/dev/null | awk '{print $1}')
  [ -z "$ACCESS_IP" ] && ACCESS_IP="127.0.0.1"
fi
# 显示服务地址（仅当配置完整时）
if [ -n "$ACCESS_IP" ] && [ -n "$PORT" ] && [ -n "$ENDPOINT" ]; then
  echo "[*] 服务地址：https://${ACCESS_IP}:${PORT}${ENDPOINT}"
fi
echo "----------------------------------------"
# 信号处理函数
cleanup(){
  echo -e "\n[*] 收到终止信号，正在停止服务器..."
  # 杀死服务器进程
  kill $SERVER_PID 2>/dev/null
  wait $SERVER_PID 2>/dev/null
  exit 0
}
# 捕获信号
trap cleanup SIGINT SIGTERM
# 启动服务器（后台运行，并记录 PID）
echo "[*] 按 Ctrl+C 停止服务器"
./adaptixserver -profile "$CONFIG" &
SERVER_PID=$!
# 等待服务器进程结束
wait $SERVER_PID

2.赋予脚本执行权限

chmod +x /root/AdaptixC2/dist/start.sh

3.创建桌面快捷方式文件

# 服务端
vim ~/Desktop/"AdaptixC2 Server.desktop"

• AdaptixC2 Server.desktop

[Desktop Entry]
Type=Application
Name=AdaptixC2 Server
Comment=AdaptixC2 服务端
Exec=/root/AdaptixC2/dist/start.sh
Icon=/root/AdaptixC2/AdaptixClient/Resources/SyncLogo.png
Terminal=true
Categories=Network;System;

客户端

# 客户端
vim ~/Desktop/"AdaptixC2 Client.desktop"

• AdaptixC2 Client.desktop

[Desktop Entry]
Type=Application
Name=AdaptixC2 Client
Comment=AdaptixC2 客户端
Exec=/root/AdaptixC2/dist/AdaptixClient
Icon=/root/AdaptixC2/AdaptixClient/Resources/Logo.png
Terminal=false
Categories=Network;Security;
StartupWMClass=AdaptixClient

设置文件权限与验证

1.赋予桌面文件执行权限

chmod +x ~/Desktop/"AdaptixC2 Client.desktop"
chmod +x ~/Desktop/"AdaptixC2 Server.desktop"

2.验证语法

# 验证.desktop 文件语法
desktop-file-validate ~/Desktop/"AdaptixC2 Client.desktop"
desktop-file-validate ~/Desktop/"AdaptixC2 Server.desktop"

• 如果命令没有输出错误信息，则表示 .desktop 文件语法正确

为所有用户创建快捷方式【可选】

• 为所有用户创建快捷方式（通常不推荐用于 /root 下的程序）

# 将已创建好的桌面文件复制到系统应用目录
sudo cp ~/Desktop/"AdaptixC2 Client.desktop" /usr/share/applications/
sudo cp ~/Desktop/"AdaptixC2 Server.desktop" /usr/share/applications/
# 赋予执行权限
sudo chmod +x /usr/share/applications/"AdaptixC2 Client.desktop"
sudo chmod +x /usr/share/applications/"AdaptixC2 Server.desktop"

三、扩展套件（Extension Kit）

• Extension Kit 提供了丰富的内网渗透测试工具（仅限 Windows 环境）
• Github：https://github.com/Adaptix-Framework/Extension-Kit

安装依赖

# Ubuntu/Kali
apt install g++-mingw-w64-x86-64-posix gcc-mingw-w64-x86-64-posix mingw-w64-tools
# Arch
pacman -Syu mingw-w64-x86_64-gcc mingw-w64-x86_64-gcc-libs

下载扩展器项目源码

git clone https://github.com/Adaptix-Framework/Extension-Kit
cd Extension-Kit

通过 make 构建模块

make

添加扩展（脚本）

添加完成后的插件扩展

选择 _扩展名-kit.axs 文件

右键菜单 -> Load new(加载新文件)

主菜单 -> AxScript -> Script manager(脚本管理器)。

进入 console 控制台使用 help 命令可查看

仅限 Windows 操作系统有效

Group - AD-BOF (活动目录 BOF)

adwssearch 执行 ADWS 查询 badtakeover 使用 BadSuccessor 技术进行账户接管 dcsync single 对单个用户执行 DCSync 操作 dcsync all 对域内所有用户执行 DCSync 操作 ldapsearch 执行 LDAP 查询 ldapq computers 从 LDAP 获取计算机列表 readlaps 读取计算机的 LAPS 密码

Group - ADCS-BOF (AD 证书服务 BOF)

certi auth 使用证书进行认证 (PKINIT + UnPAC-the-hash) certi enum 枚举 AD 中的 CA 和模板 certi request 请求注册证书 certi request_on_behalf 代表另一个用户请求证书 (ESC3) certi shadow Shadow Credentials 攻击 - 写入 KeyCredentialLink 并获取证书

Group - Kerbeus-BOF (Kerberos BOF)

kerbeus asreproasting 执行 AS-REP 烘焙 kerbeus asktgt 获取 TGT kerbeus asktgs 获取 TGS kerbeus changepw 根据提供的 TGT 重置用户密码 kerbeus dump 导出票据 kerbeus hash 计算 rc4_hmac, aes128_cts_hmac_sha1, aes256_cts_hmac_sha1 哈希 kerbeus kerberoasting 执行 Kerberoasting 攻击 kerbeus klist 列出票据 kerbeus ptt 提交一个 TGT kerbeus describe 解析并描述票据 kerbeus purge 清除票据 kerbeus renew 续订 TGT kerbeus s4u 执行 S4U 约束委派滥用 kerbeus cross_s4u 跨域执行 S4U 约束委派滥用 kerbeus tgtdeleg 通过滥用 Kerberos GSS-API 为当前用户获取可用的 TGT（无需提权） kerbeus triage 以表格格式列出票据

Group - SQL-BOF (SQL Server BOF)

mssql 1434udp 从 1434/UDP 获取 SQL Server 连接信息 mssql adsi 从 ADSI 链接服务器获取 ADSI 凭据 mssql agentcmd 使用代理作业执行系统命令 mssql agentstatus 枚举 SQL 代理状态和作业 mssql checkrpc 枚举链接服务器的 RPC 状态 mssql clr 在存储过程中加载并执行 .NET 程序集 mssql columns 枚举表中的列 mssql databases 枚举 SQL 数据库 mssql disableclr 禁用 CLR 集成 mssql disableole 禁用 OLE 自动化过程 mssql disablerpc 禁用链接服务器上的 RPC 和 RPC 出站 mssql disablexp 禁用 xp_cmdshell mssql enableclr 启用 CLR 集成 mssql enableole 启用 OLE 自动化过程 mssql enablerpc 启用链接服务器上的 RPC 和 RPC 出站 mssql enablexp 启用 xp_cmdshell mssql impersonate 枚举可被模拟的用户 mssql info 收集 SQL Server 信息 mssql links 枚举链接服务器 mssql olecmd 使用 OLE 自动化过程执行系统命令 mssql query 执行自定义 SQL 查询 mssql rows 获取表中的行数 mssql search 在表中搜索列名 mssql smb 通过 xp_dirtree 强制 NetNTLM 认证 mssql tables 枚举数据库中的表 mssql users 枚举具有数据库访问权限的用户 mssql whoami 从 SQL 服务器收集登录用户、映射用户和角色 mssql xpcmd 通过 xp_cmdshell 执行系统命令

Group - LDAP-BOF (LDAP BOF)

ldap get-acl 获取对象的 ACL/安全描述符 ldap get-attribute 获取特定属性值（支持逗号分隔列表） ldap get-computers 列出域中所有计算机 ldap get-groups 列出域中所有组 ldap get-groupmembers 列出组的所有成员 ldap get-delegation 获取对象的委派配置 ldap get-domaininfo 从 rootDSE 获取域信息 ldap get-maq 获取机器账户配额 (ms-DS-MachineAccountQuota) ldap get-object 获取对象的所有属性 ldap get-rbcd 获取对象的 RBCD 配置 ldap get-spn 获取对象的 SPN ldap get-uac 获取对象的 UAC 标志 ldap get-users 列出域中所有用户 ldap get-usergroups 列出用户所属的所有组 ldap get-writable 查找您具有写入权限的对象 ldap move-object 将对象移动到不同的 OU ldap add-ace 向对象的 DACL 添加 ACE ldap add-attribute 向属性添加一个值 ldap add-computer 向域中添加计算机 ldap add-delegation 向对象添加委派 SPN ldap add-group 向域中添加组 ldap add-groupmember 向组添加成员 ldap add-ou 添加组织单元 ldap add-rbcd 添加 RBCD 委派 ldap add-sidhistory 向对象的 sidHistory 属性添加 SID ldap add-spn 向对象添加 SPN ldap add-user 向域中添加用户 ldap add-uac 向对象添加 UAC 标志 ldap add-genericall 向对象的 DACL 添加 GenericAll ACE ldap add-genericwrite 向对象的 DACL 添加 GenericWrite ACE ldap add-dcsync 向对象的 DACL 添加 DCSync ACE ldap add-asreproastable 使用户可被 AS-REP 烘焙 (设置 DONT_REQ_PREAUTH) ldap add-unconstrained 在对象上启用无约束委派 ldap add-constrained 设置/替换委派 SPN ldap set-attribute 设置/替换属性值 ldap set-delegation 设置/替换委派 SPN ldap set-owner 设置对象的所有者（需要 WriteOwner 权限） ldap set-spn 设置/替换对象的所有 SPN ldap set-password 设置/重置用户密码 ldap set-uac 设置 UAC 标志（替换所有） ldap remove-ace 从对象的 DACL 中移除 ACE ldap remove-attribute 移除属性或属性值 ldap remove-delegation 移除委派 SPN ldap remove-dcsync 从对象的 DACL 中移除 DCSync ACE ldap remove-genericall 从对象的 DACL 中移除 GenericAll ACE ldap remove-genericwrite 从对象的 DACL 中移除 GenericWrite ACE ldap remove-groupmember 从组中移除成员 ldap remove-object 从域中移除对象 ldap remove-rbcd 移除 RBCD 委派 ldap remove-spn 从对象中移除 SPN ldap remove-uac 从对象中移除 UAC 标志

Group - Creds-BOF (凭据 BOF)

askcreds 提示输入凭据 autologon 检查注册表中的自动登录信息 credman 检查当前用户的 Windows 凭据管理器以查找保存的 Web 密码 get-netntlm 获取当前用户的 NetNTLM 哈希 hashdump 转储 SAM 哈希 cookie-monster 定位并复制 Edge/Chrome/Firefox 使用的 cookie 文件 nanodump 使用系统调用转储 LSASS nanodump_ppl_dump 绕过 PPL 并转储 LSASS nanodump_ppl_medic 绕过 PPL 并转储 LSASS nanodump_ssp 将安全支持提供程序 (SSP) 加载到 LSASS 中 underlaycopy 使用低级 NTFS 访问方式复制文件 (MFT 或元数据模式)

Group - Elevation-BOF (权限提升 BOF)

getsystem token 将当前代理提升为 SYSTEM 并通过模拟获得 TrustedInstaller 组权限 uacbybass sspi 通过 SSPI 数据报上下文伪造来自虚假网络认证的令牌 uacbybass regshellcmd 修改 ms-settings\Shell\Open\command 注册表键并执行自动提升的 EXE (ComputerDefaults.exe) potato-dcom DCOMPotato - 通过 SeImpersonate 特权获取 SYSTEM 权限 potato-print 通过打印后台处理程序进行本地权限提升 (命名管道模拟)

Group - Execution-BOF (执行 BOF)

execute-assembly 在进程中执行 .NET 程序集 noconsolation 在代理内存中运行非托管 EXE/DLL

Group - Injection-BOF (注入 BOF)

inject-cfg 将 shellcode 注入目标进程，并通过覆盖 combase.dll!__guard_check_icall_fptr 劫持执行 inject-sec 使用节映射将所需 shellcode 注入目标进程 inject-poolparty 使用指定的 pool party 技术将所需 shellcode 注入目标进程 inject-32to64 从 WOW64 (32 位) 进程向原生 64 位进程注入 x64 shellcode [需要 32 位代理]

Group - LateralMovement-BOF (横向移动 BOF)

jump psexec 尝试通过 PsExec 在远程目标上生成会话 jump scshell 尝试通过 SCShell 在远程目标上生成会话 invoke winrm 使用 WinRM 在其他系统上执行命令 invoke scshell 使用 SCShell 通过修改服务二进制路径在其他系统上执行命令 (无文件) token make 根据给定凭据创建模拟令牌 token steal 从进程中窃取访问令牌 runas 使用显式凭据以其他用户身份运行命令 (RunasCs-like)

Group - PostEx-BOF (后渗透 BOF)

firewallrule add 使用 COM 添加新的入站或出站防火墙规则 screenshot_bof 替代的截图功能，不执行 fork n run (由 @codex_tf2 提供) sauroneye 在目录中搜索包含特定关键词的文件 (SauronEye 移植版，由 @shashinma 移植为 BOF)

Group - Process-BOF (进程 BOF)

findobj module 识别加载了特定模块的进程 findobj prochandle 识别正在使用特定进程句柄的进程 process conn 显示已建立 TCP 和 RDP 连接的进程的详细信息

Group - SAL-BOF (系统信息与枚举 BOF)

arp 列出 ARP 表 cacls 列出指定文件或目录的用户权限，支持通配符 dir 列出指定目录中的文件。支持通配符 (例如 'C:\Windows\S*")。可选地，可以使用 /s 参数执行递归列表 env 列出进程环境变量 ipconfig 列出 IPv4 地址、主机名和 DNS 服务器 listdns 列出 DNS 缓存条目。尝试查询并解析每个条目 netstat 执行 netstat 命令以显示网络连接 nslookup 进行 DNS 查询 privcheck alwayselevated 使用注册表检查是否启用了 Always Install Elevated privcheck hijackablepath 检查路径环境变量中可用于提权的可写目录 (FILE_ADD_FILE) privcheck tokenpriv 列出当前令牌权限并突出显示已知的脆弱权限 privcheck unattendfiles 检查可能包含敏感信息的残留无人值守安装文件 privcheck unquotedsvc 检查未加引号的服务路径 privcheck vulndrivers 检查系统上是否有任何服务使用已知的易受攻击驱动程序 (基于 loldrivers.io/) routeprint 列出 IPv4 路由 uptime 列出系统启动时间及其运行时长 useridletime 显示用户空闲时长，以秒、分钟、小时和天显示 whoami 列出 whoami /all 信息

Group - SAR-BOF (扫描与远程枚举 BOF)

smartscan 智能端口扫描 taskhound 从远程系统收集计划任务 quser 查询远程机器上的用户会话，提供会话信息 nbtscan NetBIOS 名称扫描器 (类似 nbtscan)