文章总结: 本文介绍自研C2框架LeekShell第一版,采用Python加C++轻量化架构,实测可绕过卡巴斯基优选版及EDR检测,实现无感上线与命令执行。作者强调工具仅限合法授权使用,不公开源码但提供编译版下载,并建议将exe转为Shellcode配合自定义加载器以提升免杀效果。 综合评分: 75 文章分类: 红队,免杀,渗透测试,实战经验
【自研C2 – LeekShell】卡巴斯基优选版+EDR无感绕过,第一版实测
猎洞时刻
2026年7月4日 18:20 上海
在小说阅读器读本章
去阅读
以下文章来源于零界安全 ,作者leek
零界安全 .
专注于网络安全研究
轻量化、全自研C2——红队的新选择
架构:Python + C++,轻量化C2,舍弃部分冗余功能,以换取更高隐蔽性。
市面上的Cobalt Strike、Sliver、Havoc,特征库已被安全厂商翻了个底朝天。即使魔改profile、二次开发beacon,面对杀软以及EDR也比较乏力。
于是,这款完全自研的C2框架——LeekShell(第一版) 应运而生。
源码不公开的原因:作者个人在国内,本工具仅供学习研究及合法授权使用。不公开源码是为了避免被恶意利用,保护作者及使用者的安全
PART 01
免杀能力(第一版实测):
- 卡巴斯基优选版(Kaspersky Premium):上线成功,命令执行成功,全程无弹窗无拦截。
-
卡巴斯基端点检测与响应(Kaspersky EDR):上线成功,执行
whoami、ipconfig、tasklist等命令,回显正常,EDR控制台无任何高危告警。
(注:测试环境Windows 10 21H2,卡巴斯基全部更新至2026年6月最新特征库。)
PART 02
📌 使用指南
强烈建议:将生成的 exe 转为 Shellcode,并使用自定义加载器加载执行。
⚠️ 为什么?
因为工具使用人数增多后,exe 的静态特征可能会被安全软件标记。转为 Shellcode 并配合自己的加载器,可以大幅提升免杀效果。
✅ 不用担心 作者会每周重构并发布新版本,持续更新,对抗特征库升级。
1.Server端部署:(启动会自动打开一个 4444 端口的监听)
python c2_server.py
从浏览器访问控制台(默认http://127.0.0.1:4433)
2.独立监听设置(以80端口为例子)
找到Listeners – 填写 端口号 — Add,即可。
3.Payload 生成:
填写服务端的IP以及监听的端口号,点击生成即可;【浏览器会自动下载一个生成好的EXE文件】
4.实际的运行效果:【目前仅支持执行命令,隐蔽性较好】
PART 03
最后:为什么自研新的C2?
先看看现状:
- Cobalt Strike:特征库被撸烂,哪怕换了stageless、做了sleep mask,流量和行为模式仍有强特征。
- Sliver:开源但代码公开,商业EDR可以针对性做检测规则。
- 其他小众C2:功能残缺,稳定性差,免杀基本靠第三方Loader,一套组合拳下来,操作链路比老太太裹脚布还长。
对于红队而言,C2的核心需求其实就几条:
- 上线稳定,不挑网络环境;
- 流量隐蔽,端口、通信协议可自由定制;
- 免杀,至少能扛住主流EDR(尤其是卡巴斯基这类重武器)的静态+动态检测;
- 功能够用,执行命令、文件上传下载、进程管理、内存执行等基础能力不能少。
LeekShell就是奔着这几条去的。
当然,免杀永远是猫鼠游戏。测试时卡巴斯基没杀,不代表以后不会杀。这也是我建立交流群的原因——免杀有时效性,需要你们的反馈来持续迭代。
PART 04
如何获取LeekShell?
源码不公开,但工具持续更新。 目前第一版Agent+Server编译版,已在Github发布。
https://github.com/littleleeks/LeekShell
【解压码,后台回复 LeekShell】
扫码加我个人微信,备注“LeekShell”,我会手动拉你入群,也可直接扫描群二维码进群。【方便后续迭代】
也欢迎关注本公众号,后续会发布LeekShell的更新日志、免杀对抗技巧、红队实战案例。
PART 05
⚠️ 免责声明
- 合法使用:LeekShell 仅限用于授权的安全测试、渗透测试、红队演练、攻防竞赛等合法场景。使用者必须确保已获得目标系统的书面授权,并遵守所在国家及地区的法律法规(包括但不限于《中华人民共和国网络安全法》《数据安全法》)。
- 禁止恶意行为:严禁将 LeekShell 用于任何未授权的入侵、窃取数据、破坏系统、勒索、恶意控制等非法活动。任何因使用者违反法律法规或滥用工具所引发的一切法律责任,均由使用者自行承担,与作者无关。
- 技术交流:本文及群内分享的内容仅作为网络安全技术研究与交流之用。作者不鼓励、不支持任何形式的黑产或恶意攻击行为。
- 工具风险:LeekShell 作为自研工具,可能存在未知 Bug 或安全缺陷。使用者应自行评估风险,并在隔离环境中测试。作者不对因使用本工具造成的任何直接或间接损失负责。
- 保留权利:作者保留随时停止共享、更新或修改 LeekShell 的权利。本文所述功能及免杀效果均为特定环境的测试结果,不承诺在其他环境中长期有效。
请务必在下载、使用前仔细阅读本声明。如不同意,请立即停止使用并删除相关文件。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:猎洞时刻 《【自研C2 – LeekShell】卡巴斯基优选版+EDR无感绕过,第一版实测》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论