TL-NodeJsShell:Node.js生态下的WebShell管理平台,内存马+交互终端+代理全覆盖

admin
admin
admin
0
文章
0
评论
2025-12-22 04:34:59 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: TL-NodeJsShell是一个专为Node.js环境设计的WebShell管理平台,提供现代化Web界面用于集中管理Node.jsShell,支持内存马注入、交互式命令执行、文件管理和代理转发等功能。该工具采用Go后端和Vue3前端架构,填补了Node.jsWebShell管理的空白,特别适用于原型污染、反序列化RCE等渗透测试场景,对红队操作具有较高实用价值。 综合评分: 87 文章分类: WEB安全,红队,渗透测试,内网渗透,内存马

cover_image

TL-NodeJsShell:Node.js 生态下的 WebShell 管理平台,内存马+交互终端+代理全覆盖

原创

Norsea

泷羽Sec-Norsea

2025年12月14日 23:27 江苏

最近在GitHub上看到一个针对Node.js场景的WebShell管理工具:

https://github.com/tianlusec/TL-NodeJsShell

TL-NodeJsShell 是安全研究员开发的综合性管理平台,专为渗透测试和红队人员设计。

它提供了一个现代化的Web界面,集中管理基于Node.js的Shell,支持内存马注入、交互式命令执行、文件管理、代理转发等功能。

不同于传统的PHP/ASP WebShell工具,这个项目完全围绕Node.js生态优化,在当前Node.js应用越来越多的环境下特别实用。

核心功能一览

项目功能设计得很完整,覆盖WebShell的全生命周期:

| 功能模块 | 具体能力 | 技术亮点 | 红队实战价值 | | — | — | — | — | | 多Shell统一管理 | 一个面板管理多个Node.js Shell,会话列表、状态监控 | Web界面标签切换,实时连接状态 | 大规模目标时高效切换,避免混乱 | | 交互式终端 | 浏览器内执行系统命令,实时输出 | 集成xterm.js,支持全交互式Shell | 操作体验接近本地终端,信息收集顺手 | | 文件管理 | 浏览、上传、下载、删除、在线编辑 | 大文件分块上传,集成Monaco Editor | 敏感文件窃取、配置修改、后门植入 | | 内存马注入 | 无文件落地注入常见Node.js框架(如Express/Koa) | 多编码方式支持,适配不同环境 | 高隐蔽性,绕过文件监控 | | 代理支持 | HTTP/HTTPS/SOCKS5代理 + 自定义请求头 | 动态转发,适合分层网络 | 内网横向、跳板攻击必备 | | 其他辅助 | 环境变量查看、进程信息、自毁等 | 可选加密通信 | 控制稳定,应急清理痕迹 |

整体来看,它不是“万能一句话”风格,而是深度适配Node.js的专用’指挥台’,

尤其内存马和代理部分,能直接提升到中高端作战水平。

技术栈与项目结构

工程化做得不错,适合二次开发或集成:

  • 后端Go 1.21+ + Gin框架 + GORM ORM,默认SQLite存储(server/目录,模块化拆分config/core/database/handlers)

  • 前端Vue3 + TypeScript + Vite + Element Plus UI + Pinia状态管理(web/目录)

  • 关键集成xterm.js(终端) + Monaco Editor(在线编辑)

快速体验

  1. 环境准备:Go 1.21+、Node.js 16+、npm/yarn
  2. 后端启动
   git clone https://github.com/tianlusec/TL-NodeJsShell.git
   cd TL-NodeJsShell/server
   go mod download
   go build -o NodeJsshell cmd/api/main.go
   ./NodeJsshell  # 或配置后运行
  1. 前端启动
   cd ../web
   npm install
   npm run dev  # 开发模式,或 build后静态部署

  1. 访问:浏览器打开对应地址(默认端口参考配置),添加Node.js Shell测试连接。

详细配置(如密码、端口、代理)看README,作者写得清楚。

TL-NodeJsShell填补了Node.js WebShell管理的空白,尤其在原型污染、反序列化RCE越来越多的今天,上线后用它控制目标更自然、更强大。界面现代、功能专注、隐蔽性强,值得Node.js方向的红队人收入工具箱。

学习交流群

刚加入网络安全行业的小白,可以加入学习交流群,大家一起互相学习,互相进步,不会的难题大家一起学习,一起攻克。

想要进学习交流群的师傅们,可以扫描下方二维码添加好友,我再拉你进群(Ps:防止广告进群)。

查看原文:《TL-NodeJsShell:Node.js 生态下的 WebShell 管理平台,内存马+交互终端+代理全覆盖》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  6