33 Repos
Utilities for managing persistent sessions and delivering payloads remotely.
Distinguishing note: Focuses on remote execution capabilities rather than general administration.
Explore 33 awesome GitHub repositories matching security & cryptography · Remote Command Execution Tools. Refine with filters or upvote what's useful.
The framework is a comprehensive penetration testing platform designed for the development, testing, and execution of security exploits. It serves as a research toolkit and automated assessment environment, enabling security professionals to identify and validate vulnerabilities within networked systems and infrastructure through repeatable, standardized procedures. The platform distinguishes itself through a modular architecture that supports reflective payload injection, allowing for the execution of code directly in memory without writing to disk. It utilizes an asynchronous event loop to
Manages persistent sessions and delivers custom payloads to compromised systems.
Nishang is a PowerShell-based offensive security framework designed for red teaming and penetration testing on Windows targets. It functions as a post-exploitation toolkit and payload generator to automate attacks and manage remote targets. The project provides specialized capabilities for bypassing security controls, such as disabling the Antimalware Scan Interface and employing in-memory execution to avoid disk-based detection. It includes a variety of stealthy command and control mechanisms, utilizing non-standard channels like DNS TXT records, ICMP traffic, and webmail for communication a
Provides utilities for managing persistent sessions and delivering payloads to remote target systems.
ysoserial is a security research tool and payload generator designed to identify and exploit insecure Java deserialization. It functions as a framework for creating malicious serialized objects that can trigger remote code execution on Java virtual machines. The project provides a library of known gadget chains, which are sequences of vulnerable class calls that achieve arbitrary command execution during the deserialization process. It automates the generation of these payloads by leveraging common third-party libraries. The tool covers capabilities for security penetration testing, Java app
Generates deserialization gadget chains from common libraries to execute remote commands on target systems.
LOLBAS is a curated database and knowledge base of signed Windows binaries that can be misused to bypass security restrictions and execute unauthorized code. It serves as a technical registry that maps trusted system files to their functional capabilities and the offensive tactics they enable. The project distinguishes itself by providing a capability-driven indexing system and a tactics registry that relates legitimate binary functionality to known security evasion techniques. It includes an association layer that links specific system binaries to attack patterns and tactical objectives, pro
Identifies signed system libraries that can be used to launch DLLs or command-line instructions.
Havoc is a post-exploitation framework used for red team operations. It provides a centralized command and control system for managing remote agents through persistent network connections and customizable communication profiles. The framework focuses on security evasion and stealth, utilizing indirect syscall execution, return address spoofing, and hardware-breakpoint patching to bypass endpoint detection and response tools. It includes a payload generation workflow to create executable shellcode or DLLs for initial remote access. The system covers a broad range of operational capabilities,
Includes a utility for creating executable, shellcode, or DLL payloads to establish initial remote access.
Empire is a command and control framework and post-exploitation toolkit used for network penetration testing. It serves as a centralized platform for coordinating remote agent communication and automating the delivery of security testing payloads to target systems. The project provides a suite of modules for host reconnaissance, lateral movement, and credential harvesting across corporate environments. It functions as a remote administration tool to maintain persistence and execute commands on compromised hosts. The framework incorporates capabilities for agent orchestration and the executio
Provides utilities for managing persistent sessions and delivering payloads to target systems remotely.
HackTools is a browser extension pentesting toolkit designed for offensive security professionals. It serves as a centralized collection of tools for generating payloads, managing penetration testing workflows, and accessing security reference materials within a web-based interface. The project provides specialized utilities for generating attack strings for XSS, SQL injection, and reverse shells to identify and exploit web vulnerabilities. It includes a data encoding and hashing utility to convert information between various formats for the purpose of bypassing security filters or verifying
Includes tools and methods for running remote commands to exfiltrate sensitive data.
K8tools is a multi-stage attack framework that combines memory-only payload execution, credential testing, port forwarding, privilege escalation, and physical USB-based keystroke injection for comprehensive system compromise. At its core, the Ladon PowerShell module loads a multi-function scanner directly into memory, enabling command execution without writing files to disk, while supporting memory-only payload delivery that downloads and runs obfuscated shellcode or PowerShell commands to evade antivirus detection. The framework distinguishes itself through its breadth of integrated capabili
Delivers ready-to-compile exploit code for known vulnerabilities to gain initial access.
Sends shell commands to a target server through an encrypted channel and returns the output.
Dieses Projekt ist ein Leistungsoptimierer und Ressourcen-Bencher für AWS Lambda. Es analysiert das Verhältnis zwischen Ausführungsgeschwindigkeit und Kosten, indem es verschiedene Speicherkonfigurationen testet, um die kosteneffizientesten Einstellungen zu identifizieren und die Betriebsausgaben zu minimieren. Das Tool nutzt einen AWS-Step-Functions-Orchestrator, um die Ausführung und Datensammlung mehrerer Funktionstestläufe über verschiedene Leistungsstufen hinweg zu automatisieren. Es simuliert Produktions-Workloads durch das Injizieren benutzerdefinierter statischer oder Remote-Daten und die Verwendung gewichteter Payload-Verteilung, um reale Verkehrsmuster nachzuahmen. Die Suite deckt mehrere Funktionsbereiche ab, einschließlich iterativer Speicherabtastung und metrikbasierter Kostenmodellierung zur Visualisierung von Leistungs-Trade-offs. Sie bietet automatisierte Ressourcenbereinigung für temporäre Funktionsversionen und Aliase, private Netzwerkkonfiguration für eingeschränkte interne Ressourcen und Remote-Payload-Laden, um Standard-Aufrufgrößenbeschränkungen zu umgehen. Die Bereitstellung erfolgt über Infrastructure-as-Code-Konstrukte, um eine konsistente Umgebungseinrichtung und Wiederholbarkeit zu gewährleisten.
Fetches input data from remote storage to bypass size limits for payloads exceeding the standard maximum.
PhoneSploit-Pro ist ein Android-Exploitation- und Remote-Administration-Toolkit. Es bietet ein System zur Fernsteuerung von Android-Geräten und zur Datenextraktion unter Verwendung des Android Debug Bridge-Protokolls. Das Projekt integriert sich in Metasploit, um die Erstellung und Installation von Payloads zu automatisieren und persistente Command-and-Control-Sitzungen aufzubauen. Es enthält zudem einen Netzwerk-Scanner, um aktive Android-Hosts in lokalen Netzwerken durch das Scannen von TCP-Ports zu identifizieren. Das Toolkit deckt ein breites Spektrum an administrativen und forensischen Funktionen ab, darunter Remote-Shell-Ausführung, App-Management und Hardware-Zustandskontrolle. Es ermöglicht die Extraktion von Benutzerdaten wie Nachrichten und Kontakten sowie eine Echtzeit-Überwachung durch Screen-Mirroring und Live-Streaming von Audio und Video der Gerätekamera. Die Software enthält Automatisierungs-Utilities zur Erkennung des Host-Betriebssystems und zur Installation der erforderlichen binären Abhängigkeiten.
Automates the creation and installation of payloads to establish remote sessions for device compromise.
Dieses Projekt ist eine Sammlung von Malware-Analyseberichten und dekompiliertem Code, die sich auf eine in eine Android-Anwendung eingebettete Backdoor konzentriert. Es dient als Studie zu Android-APK-Malware und dokumentiert die spezifischen Codemuster, die für unbefugten Datenzugriff und die Umgehung von Systemsicherheitsmechanismen verwendet werden. Die Forschung konzentriert sich auf dynamisches Bytecode-Laden und die Ausführung von Remote-Dateien zur Implementierung von Persistenz. Sie analysiert spezifisch Mechanismen zum Herunterladen und Ausführen von Remote-Dalvik-Executable-Dateien, um das Anwendungsverhalten zu ändern, ohne das installierte Paket zu aktualisieren. Die Analyse deckt mehrere Sicherheitsdomänen ab, einschließlich der Forschung zur Privilegienerweiterung, um zu identifizieren, wie Systemprüfungen für erhöhte Berechtigungen umgangen werden. Sie enthält zudem Audits von Datenexfiltrationstechniken, die zum Abfangen von Systembenachrichtigungen und Anwendungsnutzungsaufzeichnungen verwendet werden.
Retrieves encrypted execution modules from remote servers to implement persistence and background data collection.
Ladon ist ein interner Netzwerk-Penetrationsscanner und ein Tool zur Schwachstellenbewertung, das darauf ausgelegt ist, hochriskante Sicherheitslücken und Assets über Netzwerksegmente hinweg zu identifizieren. Es arbeitet als dateiloser Sicherheitsscanner, der seine Engine und Module direkt im Arbeitsspeicher ausführt, um keinen Festplatten-Footprint auf Zielsystemen zu hinterlassen. Das Projekt zeichnet sich durch seine Integration als Plugin für Command-Beacons aus, speziell innerhalb des Cobalt-Strike-Frameworks. Dies ermöglicht speicherresidente Netzwerkerkennung und Schwachstellenerkennung. Es unterstützt zudem Stealth-Operationen durch Payload- und Skript-Obfuskation sowie Techniken zur Umgehung der Erkennung durch Endpoint-Detection-and-Response-Systeme (EDR). Das Tool bietet eine umfassende Suite an Funktionen für Post-Exploitation, einschließlich Credential-Auditing, Extraktion und der Ausführung von Kerberos-Angriffen für Domain-Penetration. Es handhabt Asset-Discovery mittels Multi-Protokoll-Scanning und Service-Fingerprinting, um Betriebssysteme und Webtechnologien zu identifizieren. Zusätzlich unterstützt es die Automatisierung lateraler Bewegungen, Privilegieneskalation und die Bereitstellung von Remote-Code-Execution-Payloads. Das Framework ist über eine Plugin-Architektur erweiterbar, die das dynamische Laden externer Assemblies oder Skripte ermöglicht, um benutzerdefinierte Scanning-Module und Proofs of Concept hinzuzufügen.
Runs commands on target systems via remote protocols in both interactive and non-interactive modes.
AndroRAT is a remote administration tool and surveillance framework for Android devices. It consists of a Python-based command server and a Java-based client agent that establish persistent socket connections to enable remote control and data extraction. The project includes a payload generator to create signed installation packages configured with specific network addresses and ports for deployment. Once active, the framework provides a central interface to manage multiple connected devices, maintaining access via a background service that restarts upon device boot. The system covers remote
Includes automated workflows to generate signed installation packages as remote access payloads for target devices.
Covenant ist ein .NET-basiertes Command-and-Control-Framework, das für Red-Team-Operationen und Adversary-Simulation konzipiert ist. Es dient als kollaborative Plattform zur Koordination von Sicherheitsbewertungen, zur Verwaltung von Remote-Implants und zur Ausführung von Aufgaben auf kompromittierten Systemen über einen zentralen Server. Das Projekt zeichnet sich durch seinen dynamischen Payload-Generator aus, der ausführbare Binärdateien und Skripte zur Laufzeit kompiliert und verschleiert, um Erkennung zu umgehen. Es unterscheidet sich zudem durch eine kollaborative Umgebung, die es mehreren authentifizierten Operatoren ermöglicht, einen synchronisierten Status zu teilen, operative Indikatoren zu verfolgen und gemeinsame Engagements innerhalb eines einzigen Interfaces zu verwalten. Das Framework bietet umfangreiche Funktionen für Traffic-Obfuscation, einschließlich der Verwendung benutzerdefinierter Netzwerkprofile, Datentransformations-Pipelines und Bridge-basierter Protokollübersetzung, um die Kommunikation zu maskieren. Es deckt zudem Post-Exploitation-Anforderungen ab, wie Remote-File-Retrieval, zentralisierte Credential-Sammlung und die Entwicklung benutzerdefinierter Remote-Task-Module mittels eines Plug-in-Erweiterungsmodells. Das System sichert die Kommunikation zwischen Server und Agenten mittels SSL-Zertifikats-Pinning und verschlüsselten Key-Exchanges, um Forward Secrecy zu gewährleisten.
Generates and obfuscates dynamic .NET binaries to establish persistent remote access to target hosts.
Dieses Projekt ist ein technischer Leitfaden und eine Referenz für interne Netzwerk-Penetrationstests. Es dient als Sammlung von Verfahren zur Ausnutzung und Navigation in privaten Unternehmensnetzwerken während Sicherheitsüberprüfungen. Das Repository bietet spezialisierte Handbücher und Cheat Sheets mit Fokus auf Active-Directory-Angriffe, laterale Bewegung und Privilegieneskalation. Es enthält ein Post-Exploitation-Playbook zur Aufrechterhaltung der Systempersistenz und zur Bereinigung forensischer Spuren. Die Dokumentation deckt ein breites Spektrum an Sicherheitsfunktionen ab, einschließlich Erstzugriff, Netzwerk-Pivoting und Tunneling sowie interner Aufklärung. Zudem werden Methoden zur Umgehung von Sicherheitserkennungen und zur Kompromittierung von Verzeichnisdiensten zum Extrahieren von Domain-Hashes detailliert beschrieben.
Details the use of administration tools and protocols to execute programs on remote target systems.
Mythic ist ein Red-Teaming-Framework und ein Command-and-Control-Server, der für die Verwaltung von Post-Exploitation-Aktivitäten entwickelt wurde. Es bietet ein zentralisiertes System zum Erteilen von Aufgaben und zum Empfangen von Telemetriedaten von Agents, die auf verschiedenen Zielplattformen und Betriebssystemen bereitgestellt werden. Die Plattform verfügt über eine kollaborative Operator-Schnittstelle, die es mehreren Sicherheitsforschern ermöglicht, Operationen zu koordinieren und Zielaktivitäten in einer gemeinsamen Umgebung zu verfolgen. Sie unterstützt die Bereitstellung und Aktualisierung verschiedener Agent-Payloads durch einen Multi-Plattform-Payload-Manager. Das Framework nutzt eine Plugin-basierte Architektur zur Erweiterung der Funktionalität, was die Integration benutzerdefinierter Befehlsprofile und Payload-Definitionen aus Remote-Repositories ermöglicht. Die operative Struktur verwendet containerbasierte Service-Isolation und eine Messaging-Bridge, um Daten und Aufgaben zwischen entkoppelten Komponenten zu synchronisieren.
Manages the deployment and updating of diverse agent payloads and external command profiles across different operating systems.
Apfell ist ein Red-Teaming-Framework und ein Command-and-Control-Server, der für kollaborative Gegnersimulationen entwickelt wurde. Er bietet eine zentralisierte Infrastruktur zur Verwaltung von Remote-Agents und zur Verteilung von Aufgaben über mehrere Betriebssysteme hinweg unter Verwendung eines Message-Brokers für Echtzeit-Synchronisation. Das System fungiert als verteilter Agent-Orchestrator, der es Teams ermöglicht, komplexe Angriffsketten zu koordinieren und Containerdaten zu synchronisieren. Es verfügt über einen Multi-Plattform-Payload-Manager, der das Herunterladen und Integrieren benutzerdefinierter Agents und Befehlsprofile aus Remote-Repositories ermöglicht. Die Plattform deckt die Verwaltung von Gegnersimulationen, verteilter Befehlssteuerung und die Verwendung modularer Befehlsprofilierung ab, um konsistente Ausführungsverhaltensweisen über verschiedene Zielumgebungen hinweg beizubehalten.
Allows the retrieval and injection of external agent types and command profiles from remote repositories.
Donut is a toolset for loading and executing payloads in memory, featuring a position-independent shellcode generator, an in-memory payload injector, and a .NET assembly loader. It is designed to convert executable files and scripts into shellcode that can be executed within the memory space of a remote process without writing files to disk. The project specializes in security evasion through memory-based patching and payload obfuscation using symmetric block ciphers and compression. It includes a remote payload stager to retrieve encrypted modules from HTTP or DNS servers during runtime, red
Downloads an encrypted Donut Module from a specified URL at runtime instead of embedding it in the shellcode.
Godzilla is a post-exploitation toolkit and webshell management framework designed for remote administration, credential extraction, and memory shell injection. It provides a centralized platform to deploy, control, and monitor encrypted remote access scripts across multiple server environments. The project differentiates itself through a memory shell injector that loads binaries and shellcode directly into server memory to avoid disk-based detection. It also employs polyglot payload injection, deploying encrypted scripts across various language environments to maintain persistent connections
Generates and deploys dynamic webshell payloads across Java, .NET, PHP, and ASP environments.