基于对象存储隧道的远控工具开源啦

支持java调用jni方式执行shell（慎用，不兼容的情况下会导致jvm崩溃从而掉线）

上线主机数量无限制，后台支持操作命令详细记录

使用介绍：

安全测试工程师在靶机上编译和运行加载器，当然也可以直接执行java命令运行已编译好的class\jar文件,或者反序列化直接打入这个class。

执行运行加载器

加载器从远端下载文件，进行实时内存编译和内存运行（这时候远端的文件可以销毁了~）

文件无文件后缀要求，内容为已经正确配置对象存储上线地址

自动化执行随机间隔心跳和响应命令的功能，启动上线

在对象存储侧显示已经成功上线

安全测试工程师配置相应的对象存储地址

已经正确配置对应的对象存储上线地址

从远端读取上线主机列表，下发命令、获取到要执行的命令，执行上报结果

列出上线主机，执行cmd

安全测试完成，执行-k命令，进行卸载删除,程序自毁

-k指定需要删除的主机id

java和class文件均已删除 Q&A

问：这个工具和蚁剑、冰蝎，哥斯拉有什么区别？

答：这不是一个管理工具，是用java写的rat，提供了一种新的中转通道思路，本质还是基于http的。

问：需要目标系统什么环境，一定要安装jdk吗？

答：不需要jdk（java开发套件），需要java（java运行环境），只要能执行java命令即可，javac的功能是为了无需考虑目标机器的java版本，一次执行成功。你也可以编译为jar包、打包为exe直接运行。

问：对象存储ak、sk需要什么权限？

答：需要对下的对象的读写权限，为了避免泄露内置的ak、sk，自己搭建的可以设置为公共读写。最好填入你在渗透测试过程中发现的业务自身的ak、sk访问业务，填内网域名如，流量更隐蔽。

问：地址？

答：

问：嗯，还有呢？

答：工具主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担并将追究其相关责任！