文章总结： 该文档介绍了TL-NodeJsShell，一款高颜值、功能强大的Node.jsWebShell管理平台。它支持通过一行代码注入内存马，无需文件落地，可绕过杀软检测。平台提供实时终端、文件管理、多协议代理及大文件分块上传等功能，适用于渗透测试与红队行动。文档详细说明了其架构、快速部署步骤及技术栈，并强调仅限合法授权使用。 综合评分： 85 文章分类： 安全工具,渗透测试,红队,WEB安全,免杀

一行代码秒植内存马！TL-NodeJsShell 让杀软直接失明：WebShell 管理平台颜值天花板，入侵竟能如此优雅？

星夜AI安全 星夜AI安全

星夜AI安全

2026年2月17日 19:59 黑龙江

📌各位可以将公众号设为星标⭐

📌这样就不会错过每期的推荐内容啦~

📌这对我真的很重要！

📌1. 本平台分享的安全知识和工具信息源于公开资料及专业交流，仅供个人学习提升安全意识、了解防护手段，禁止用于任何违法活动，否则使用者自行承担法律后果。

📌2. 所分享内容及工具虽具普遍性，但因场景、版本、系统等因素，无法保证完全适用，使用者要自行承担知识运用不当、工具使用故障带来的损失。

📌3. 使用者在学习操作过程中务必遵守法规道德，面对有风险环节需谨慎预估后果、做好防护，若未谨慎操作引发信息泄露、设备损坏等不良后果，责任自负。

✨ 核心卖点（一句话看懂）

• 内存马 – 支持 Express / Koa 中间件及原型链污染技术，无需文件落地。
• 大文件 – 支持分块上传与下载，实现断点续传功能。
• 高颜值 – 基于 Vue3 + TypeScript + Element Plus 构建，提供深色主题。
• 多协议 – 支持 HTTP/HTTPS/SOCKS5 代理，可自定义请求头，并提供 AES、XOR、Base64 编码选项。
• 实时终端 – 集成 xterm.js 与 WebSocket，命令历史记录自动保存。

🏗️ 项目架构一览

TL-NodeJsShell/
├── server/        # Go 后端（Gin + GORM + WebSocket）
│   ├── cmd/api/   # 入口
│   ├── internal/
│   │   ├── core/  # 内存马注入逻辑
│   │   ├── handlers/ # Shell 与文件 API
│   │   └── config/   # 端口/主机配置
└── web/           # Vue3 + TS + Vite
    ├── src/
    │   ├── components/ # Shell 终端、文件管理器
    │   ├── stores/     # Pinia 状态管理
    │   └── views/      # 页面
    └── public/

🚀 30 秒上线

# ① 克隆项目
git clone https://github.com/tianlusec/TL-NodeJsShell.git && cd TL-NodeJsShell

# ② 启动后端（Go）
cd server && go mod download && go run cmd/api/main.go
# 默认监听地址为 0.0.0.0:8080

# ③ 启动前端（Node.js ≥16）
cd web && npm i && npm run dev
# 本地开发地址为 http://localhost:5173

📖 使用流程（图文无关，秒懂）

| 步骤 | 截图文字版 | | — | — | | 1. 添加 Shell | 输入目标 URL → 选择编码方式（AES/XOR/Base64）→ 填写密码 → 可选代理设置 | | 2. 一键注入 | 自动生成内存马 Payload → 复制到目标环境 → 点击「连接」 | | 3. 交互终端 | xterm.js 实时回显，支持 Tab 补全与历史记录 | | 4. 文件管理 | 左侧为树形目录，右侧集成 Monaco 编辑器；支持大文件分块上传 | | 5. 生成 Payload | 选择模板 → 一键生成 → 复制部署 |

⚙️ 后端配置（server/internal/config/config.go）

type Config struct {
 Host string // 默认 "0.0.0.0"
 Port string // 默认 "8080"
}
修改后直接运行 go run 即可即时生效。

🧪 技术栈

| 层级 | 技术 | | — | — | | 后端 | Go 1.21 + Gin + GORM (SQLite) + Gorilla WebSocket | | 前端 | Vue3 + TypeScript + Vite + Element Plus + Pinia | | 终端 | xterm.js | | 编辑器 | Monaco Editor | | 代理 | HTTP/HTTPS/SOCKS5 |

📝 常用命令速记

# 开发热重载
go run cmd/api/main.go        # 后端
npm run dev                   # 前端

# 生产构建
go build -o NodeJsshell cmd/api/main.go
npm run build                 # 静态文件嵌入

关注微信公众号后台回复“20260217 ”，即可获取项目下载地址

关注微信公众号后台回复入群 即可加入星夜AI安全交流群

圈子介绍

现任职于某头部网络安全企业攻防研究部，核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练，精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中，主导突破多个高防护目标网络，曾获“最佳攻击手”“突出贡献个人”等荣誉。

已产出的安全工具及成果包括：

• 多款主流杀软通杀工具（兼容卡巴斯基、诺顿、瑞星、360等终端防护，无感知运行，突破多引擎联合检测）
• XXByPassBehinder v1.1 冰蝎免杀生成器（定制化冰蝎免杀工具，绕过主流终端防护与EDR动态检测，支持自定义载荷）
• 哥斯拉二开免杀定制版（二开优化，深度免杀，突破终端防护与EDR检测，适配多场景植入）
• NeoCS4.9终极版（高级免杀加载工具，强化载荷注入与进程劫持，适配多系统版本，无兼容问题）
• WinDump_免杀版（浏览器凭证窃取工具，支持Chrome/Edge/Firefox等主流浏览器，一键提取敏感数据，免杀过防护）_
• _DumpBrowser_V1_免杀版（浏览器凭证窃取工具，专攻浏览器密码、Cookie、历史记录提取，免杀性能拉满）
• fscan二开版（二开优化内网扫描工具，增强指纹精度、弱口令爆破与结果标准化输出，适配复杂内网）
• RingQ加载器二开版（二开优化免杀加载器，支持Shellcode内存执行，绕过各类终端防护与EDR检测）
• 多款免杀Webshell集合（覆盖PHP/JSP/ASPX，过主流WAF与终端防护，适配不同Web场景）
• 免杀360专属加载器（支持Shellcode内存执行，针对性绕过360全系防护检测，无感知运行）
• 一键Kill 火绒 defender 工具 HDKiller（包含源码）
• win11 一键kill 360工具 InjectKill（包含源码）
• win11 一键kill defender工具win11_df-killer（包含源码）

后续将不断更新到内部圈子中 欢迎加入圈子 

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星夜AI安全 星夜AI安全 星夜AI安全《一行代码秒植内存马！TL-NodeJsShell 让杀软直接失明：WebShell 管理平台颜值天花板，入侵竟能如此优雅？》