Preguntas Frecuentes
Preguntas Frecuentes
Sección titulada «Preguntas Frecuentes»Instalación y configuración
Sección titulada «Instalación y configuración»¿XoloC2 funciona en Windows como servidor?
Sección titulada «¿XoloC2 funciona en Windows como servidor?»No. El servidor requiere Linux. Se recomienda Ubuntu 22.04 LTS en un VPS. Los beacons se ejecutan en objetivos Windows, Linux y macOS.
¿Puedo usar un certificado TLS válido en lugar del autofirmado?
Sección titulada «¿Puedo usar un certificado TLS válido en lugar del autofirmado?»Sí. Reemplaza server/certs/cert.pem y server/certs/key.pem con tus propios archivos de certificado. Para un VPS redirector, usa Let’s Encrypt:
certbot certonly --standalone -d tu-redirector.comLuego referencia los archivos de Let’s Encrypt en la configuración de tu servidor web. El propio C2 puede mantener un certificado autofirmado ya que los beacons están configurados para omitir la verificación de certificados.
¿Puedo cambiar el puerto después de la instalación?
Sección titulada «¿Puedo cambiar el puerto después de la instalación?»Edita start.sh y actualiza el argumento --port. Si tienes un servicio systemd, actualiza también la línea ExecStart en el archivo del servicio y ejecuta systemctl daemon-reload.
¿Por qué el instalador pregunta sobre JDK y Go?
Sección titulada «¿Por qué el instalador pregunta sobre JDK y Go?»JDK es necesario para compilar beacons Java (.jar) en el servidor. Go es necesario para compilar beacons Go de forma cruzada (Linux ELF / Windows EXE). Si los rechazas, esos tipos de beacon pueden descargarse como código fuente y compilarse manualmente.
Beacons
Sección titulada «Beacons»¿Por qué la shell PTY solo está disponible para beacons Python en Linux?
Sección titulada «¿Por qué la shell PTY solo está disponible para beacons Python en Linux?»El PTY completo requiere un pseudo-terminal Unix real (pty.openpty()), que solo está implementado en Python en XoloC2. En Windows, el beacon Python usa modo de pipe de PowerShell en su lugar. Los beacons Java y Go actualmente muestran “not supported” para PTY — usa un beacon Python cuando necesites una shell interactiva completa.
¿Por qué el binario compilado Go/Python es detectado por el AV?
Sección titulada «¿Por qué el binario compilado Go/Python es detectado por el AV?»Los binarios estáticos y los EXE de PyInstaller tienen firmas bien conocidas. La obfuscación ayuda (ProGuard para Java, xPy + PyArmor + --strip para Python), pero ningún beacon garantiza evadir todo el AV. Para objetivos de alta seguridad, usa el modo de encriptación de clave desde servidor y considera entregar via el stager. El beacon PowerShell (-nop -w hidden) es la opción más sigilosa en Windows ya que se ejecuta en memoria sin tocar el disco.
¿Cuál es la diferencia entre los tres modos de encriptación?
Sección titulada «¿Cuál es la diferencia entre los tres modos de encriptación?»| Modo | Mejor para |
|---|---|
| XOR (por defecto) | La mayoría de engagements — rápido, sin overhead, contenido de bytes diferente por generación |
| AES-256-CTR | Cuando la captura de tráfico es un riesgo y quieres mayor confidencialidad del payload |
| Clave desde servidor | Cuando el análisis forense del binario es una preocupación — clave AES nunca en el binario, inútil sin C2 |
Ver Beacons → Modos de encriptación para detalles completos.
¿El beacon puede funcionar sin acceso a internet en el objetivo?
Sección titulada «¿El beacon puede funcionar sin acceso a internet en el objetivo?»Sí, siempre que el objetivo pueda alcanzar tu servidor C2 (o redirector) via HTTPS. El beacon no necesita acceso a internet externo — solo conectividad a la URL C2 configurada.
Pivoting y redes
Sección titulada «Pivoting y redes»¿Puedo ejecutar múltiples túneles SOCKS5 al mismo tiempo?
Sección titulada «¿Puedo ejecutar múltiples túneles SOCKS5 al mismo tiempo?»Sí. Cada sesión puede tener su propio túnel en un puerto diferente:
# Sesión A → puerto 1080__tunnel__ 1080
# Sesión B → puerto 1081__tunnel__ 1081¿El túnel SOCKS5 soporta UDP?
Sección titulada «¿El túnel SOCKS5 soporta UDP?»No. UDP ASSOCIATE no está implementado. Todos los protocolos TCP funcionan: HTTP, HTTPS, SSH, SMB, RDP y más.
¿Por qué Cloudflare bloquea mi tráfico de beacon?
Sección titulada «¿Por qué Cloudflare bloquea mi tráfico de beacon?»Cloudflare inspecciona el SNI de TLS y puede bloquear patrones de tráfico que no sean de navegador. Usa un VPS redirector dedicado (sin proxy de Cloudflare) para el tráfico C2. Ver el tutorial de Redirectores.
Seguridad y operaciones
Sección titulada «Seguridad y operaciones»¿Los operadores pueden ver las sesiones de los demás?
Sección titulada «¿Los operadores pueden ver las sesiones de los demás?»Sí. Todos los operadores comparten el mismo pool de beacons. No hay aislamiento de sesión por operador — todos ven la misma lista de sesiones.
¿Cómo asciendo a un usuario a admin?
Sección titulada «¿Cómo asciendo a un usuario a admin?»No hay UI para esto. Edita la base de datos directamente:
sqlite3 server/xoloc2.db "UPDATE users SET is_admin=1 WHERE username='usuario';"¿Qué pasa si roto el agent secret mientras los beacons están activos?
Sección titulada «¿Qué pasa si roto el agent secret mientras los beacons están activos?»Los beacons activos reciben el nuevo secret en su próximo check-in y se actualizan automáticamente. El secret antiguo sigue siendo válido hasta que todos los beacons hayan rotado, por lo que no hay interrupción del servicio. Después de la rotación, los beacons generados con el secret antiguo dejan de funcionar.
¿Dónde se almacenan los archivos exfiltrados?
Sección titulada «¿Dónde se almacenan los archivos exfiltrados?»En server/uploads/ en el servidor C2, organizados por ID de sesión. También son accesibles desde el Navegador de Archivos en el panel.
Actualizaciones
Sección titulada «Actualizaciones»¿Cómo actualizo XoloC2?
Sección titulada «¿Cómo actualizo XoloC2?»cd XoloC2cp server/xoloc2.db server/xoloc2.db.bak # copia de seguridad de la base de datosgit pullbash install.sh # re-ejecutar para aplicar nuevas dependencias./start.shLa base de datos se migra automáticamente al iniciar — se agregan nuevas columnas sin perder datos existentes.
¿Puedo actualizar sin perder mis sesiones y datos?
Sección titulada «¿Puedo actualizar sin perder mis sesiones y datos?»Sí. La base de datos se preserva entre actualizaciones. Siempre haz una copia de seguridad de server/xoloc2.db antes de hacer pull, por si acaso.