Sliver C2框架中HTTP分阶段传输协议的问题分析与解决方案

问题背景

在Sliver C2框架的最新主分支版本中，用户报告了一个关于HTTP分阶段传输(staging)协议的问题。当用户尝试使用HTTP协议启动stage-listener时，系统会返回"Unsupported staging protocol: http"的错误提示。这个问题主要出现在用户自行编译修改后的Sliver版本中，特别是当用户尝试使用AES加密传输shellcode时。

技术细节分析

Sliver框架在1.6版本中对HTTP分阶段传输机制进行了重大调整。新的实现方式要求：

1. 传输的shellcode必须经过编码处理，否则会破坏HTTP响应结构
2. 支持多种压缩格式，包括deflate9和gzip
3. AES加密传输需要特殊处理

在用户的具体案例中，问题表现为：

• 使用未加密的HTTP传输可以正常工作
• 但尝试使用AES加密时，curl获取到的只有32字节数据(前16字节为IV)
• 解密后的shellcode内容异常，只有重复的1和0

根本原因

经过项目维护者的检查，确认这是服务器端代码中存在的一个bug。具体表现为：

1. 对HTTP分阶段传输协议的支持检查逻辑存在缺陷
2. AES加密传输路径上的数据处理不完整

解决方案

项目团队已经快速响应并部署了修复方案。对于用户而言，在修复版本发布前可以采取以下临时解决方案：

1. 使用压缩而非纯AES加密：

   • 选择deflate9或gzip压缩格式
   • 这些压缩方式在当前的实现中工作正常

2. 等待官方修复版本：

   • 修复已经合并到主分支
   • 用户可以更新到最新代码重新编译

最佳实践建议

对于使用Sliver进行红队操作的安全研究人员，建议：

1. 仔细阅读官方教程文档，了解最新版本的功能变更
2. 在修改框架代码(如donut.go中的AMSI绕过设置)时，注意可能引发的连带影响
3. 测试阶段先使用未加密传输验证基本功能
4. 生产环境考虑使用更安全的传输协议如HTTPS

总结

Sliver作为一款活跃开发中的C2框架，其功能实现会随着版本迭代不断优化。这次HTTP分阶段传输协议的问题展示了开源安全工具开发中的典型挑战 - 功能改进可能引入兼容性问题，但活跃的社区能够快速响应和修复。安全研究人员在使用这类工具时，保持与主分支同步并及时反馈问题，是确保操作成功的关键因素。