33 dépôts
Utilities for managing persistent sessions and delivering payloads remotely.
Distinguishing note: Focuses on remote execution capabilities rather than general administration.
Explore 33 awesome GitHub repositories matching security & cryptography · Remote Command Execution Tools. Refine with filters or upvote what's useful.
The framework is a comprehensive penetration testing platform designed for the development, testing, and execution of security exploits. It serves as a research toolkit and automated assessment environment, enabling security professionals to identify and validate vulnerabilities within networked systems and infrastructure through repeatable, standardized procedures. The platform distinguishes itself through a modular architecture that supports reflective payload injection, allowing for the execution of code directly in memory without writing to disk. It utilizes an asynchronous event loop to
Manages persistent sessions and delivers custom payloads to compromised systems.
Nishang is a PowerShell-based offensive security framework designed for red teaming and penetration testing on Windows targets. It functions as a post-exploitation toolkit and payload generator to automate attacks and manage remote targets. The project provides specialized capabilities for bypassing security controls, such as disabling the Antimalware Scan Interface and employing in-memory execution to avoid disk-based detection. It includes a variety of stealthy command and control mechanisms, utilizing non-standard channels like DNS TXT records, ICMP traffic, and webmail for communication a
Provides utilities for managing persistent sessions and delivering payloads to remote target systems.
ysoserial is a security research tool and payload generator designed to identify and exploit insecure Java deserialization. It functions as a framework for creating malicious serialized objects that can trigger remote code execution on Java virtual machines. The project provides a library of known gadget chains, which are sequences of vulnerable class calls that achieve arbitrary command execution during the deserialization process. It automates the generation of these payloads by leveraging common third-party libraries. The tool covers capabilities for security penetration testing, Java app
Generates deserialization gadget chains from common libraries to execute remote commands on target systems.
LOLBAS is a curated database and knowledge base of signed Windows binaries that can be misused to bypass security restrictions and execute unauthorized code. It serves as a technical registry that maps trusted system files to their functional capabilities and the offensive tactics they enable. The project distinguishes itself by providing a capability-driven indexing system and a tactics registry that relates legitimate binary functionality to known security evasion techniques. It includes an association layer that links specific system binaries to attack patterns and tactical objectives, pro
Identifies signed system libraries that can be used to launch DLLs or command-line instructions.
Havoc is a post-exploitation framework used for red team operations. It provides a centralized command and control system for managing remote agents through persistent network connections and customizable communication profiles. The framework focuses on security evasion and stealth, utilizing indirect syscall execution, return address spoofing, and hardware-breakpoint patching to bypass endpoint detection and response tools. It includes a payload generation workflow to create executable shellcode or DLLs for initial remote access. The system covers a broad range of operational capabilities,
Includes a utility for creating executable, shellcode, or DLL payloads to establish initial remote access.
Empire is a command and control framework and post-exploitation toolkit used for network penetration testing. It serves as a centralized platform for coordinating remote agent communication and automating the delivery of security testing payloads to target systems. The project provides a suite of modules for host reconnaissance, lateral movement, and credential harvesting across corporate environments. It functions as a remote administration tool to maintain persistence and execute commands on compromised hosts. The framework incorporates capabilities for agent orchestration and the executio
Provides utilities for managing persistent sessions and delivering payloads to target systems remotely.
HackTools is a browser extension pentesting toolkit designed for offensive security professionals. It serves as a centralized collection of tools for generating payloads, managing penetration testing workflows, and accessing security reference materials within a web-based interface. The project provides specialized utilities for generating attack strings for XSS, SQL injection, and reverse shells to identify and exploit web vulnerabilities. It includes a data encoding and hashing utility to convert information between various formats for the purpose of bypassing security filters or verifying
Includes tools and methods for running remote commands to exfiltrate sensitive data.
K8tools is a multi-stage attack framework that combines memory-only payload execution, credential testing, port forwarding, privilege escalation, and physical USB-based keystroke injection for comprehensive system compromise. At its core, the Ladon PowerShell module loads a multi-function scanner directly into memory, enabling command execution without writing files to disk, while supporting memory-only payload delivery that downloads and runs obfuscated shellcode or PowerShell commands to evade antivirus detection. The framework distinguishes itself through its breadth of integrated capabili
Delivers ready-to-compile exploit code for known vulnerabilities to gain initial access.
Sends shell commands to a target server through an encrypted channel and returns the output.
Ce projet est un optimiseur de performance et un benchmark de ressources pour AWS Lambda. Il analyse le compromis entre la vitesse d'exécution et le coût en testant diverses configurations de mémoire pour identifier les paramètres les plus rentables et minimiser les dépenses opérationnelles. L'outil utilise un orchestrateur AWS Step Functions pour automatiser l'exécution et la collecte de données de plusieurs tests de fonctions à différents niveaux de puissance. Il simule des charges de travail de production en injectant des données statiques ou distantes personnalisées et en utilisant une distribution de charge utile pondérée pour imiter des modèles de trafic réels. La suite couvre plusieurs domaines de capacité, incluant l'échantillonnage itératif de la mémoire et la modélisation des coûts basée sur les métriques pour visualiser les compromis de performance. Elle fournit un nettoyage automatisé des ressources pour les versions et alias de fonctions temporaires, une configuration réseau privée pour les ressources internes restreintes et le chargement de charge utile à distance pour contourner les limites de taille d'invocation standard. Le déploiement est géré via des constructions d'infrastructure-as-code pour garantir une configuration d'environnement cohérente et une répétabilité.
Fetches input data from remote storage to bypass size limits for payloads exceeding the standard maximum.
PhoneSploit-Pro est une boîte à outils d'exploitation et d'administration à distance pour Android. Elle fournit un système pour contrôler à distance des appareils Android et extraire des données en utilisant le protocole Android Debug Bridge. Le projet s'intègre avec Metasploit pour automatiser la création et l'installation de payloads, établissant des sessions de commande et contrôle persistantes. Il inclut également un scanner de périphériques réseau pour identifier les hôtes Android actifs sur les réseaux locaux en sondant les ports TCP. La boîte à outils couvre un large éventail de capacités administratives et forensiques, incluant l'exécution de shell à distance, la gestion d'applications et le contrôle de l'état matériel. Elle permet l'extraction de données utilisateur telles que les messages et contacts, ainsi qu'une surveillance en temps réel via le mirroring d'écran et le streaming audio/vidéo en direct depuis la caméra de l'appareil. Le logiciel inclut des utilitaires d'automatisation pour détecter le système d'exploitation hôte et installer les dépendances binaires requises.
Automates the creation and installation of payloads to establish remote sessions for device compromise.
Ce projet est une collection de rapports d'analyse de malware et de code décompilé axés sur une porte dérobée (backdoor) intégrée dans une application Android. Il sert d'étude sur les malwares APK Android, documentant les patterns de code spécifiques utilisés pour l'accès non autorisé aux données et le contournement de la sécurité système. La recherche se concentre sur le chargement dynamique de bytecode et l'exécution de fichiers distants pour implémenter la persistance. Elle analyse spécifiquement les mécanismes de téléchargement et d'exécution de fichiers Dalvik Executable distants pour modifier le comportement de l'application sans mettre à jour le paquet installé. L'analyse couvre plusieurs domaines de sécurité, incluant la recherche sur l'élévation de privilèges pour identifier comment les vérifications système sont contournées pour obtenir des permissions élevées. Elle inclut également des audits des techniques d'exfiltration de données utilisées pour capturer les notifications système et les enregistrements d'utilisation des applications.
Retrieves encrypted execution modules from remote servers to implement persistence and background data collection.
Ladon est un scanner de pénétration réseau interne et un outil d'évaluation de vulnérabilité conçu pour identifier les failles de sécurité et les actifs à haut risque à travers les segments réseau. Il fonctionne comme un scanner de sécurité sans fichier (fileless), exécutant son moteur et ses modules directement en mémoire pour éviter de laisser une empreinte disque sur les systèmes cibles. Le projet se distingue par son intégration en tant que plugin pour les balises de commande (beacons), spécifiquement au sein du framework Cobalt Strike. Cela permet une découverte réseau et une détection de vulnérabilité résidant en mémoire. Il prend en outre en charge les opérations furtives via l'obfuscation de charge utile et de script, ainsi que des techniques pour contourner la détection par les systèmes de détection et de réponse aux points de terminaison (EDR). L'outil fournit une suite complète de capacités pour la post-exploitation, incluant l'audit d'identifiants, l'extraction et l'exécution d'attaques Kerberos pour la pénétration de domaine. Il gère la découverte d'actifs via le scan multi-protocole et l'empreinte de service pour identifier les systèmes d'exploitation et les technologies web. De plus, il prend en charge l'automatisation des mouvements latéraux, l'élévation de privilèges et le déploiement de charges utiles d'exécution de code à distance. Le framework est extensible via une architecture de plugin qui permet le chargement dynamique d'assemblages ou de scripts externes pour ajouter des modules de scan personnalisés et des preuves de concept.
Runs commands on target systems via remote protocols in both interactive and non-interactive modes.
AndroRAT est un outil d'administration à distance et un framework de surveillance pour les appareils Android. Il consiste en un serveur de commande basé sur Python et un agent client basé sur Java qui établissent des connexions socket persistantes pour permettre le contrôle à distance et l'extraction de données. Le projet inclut un générateur de payload pour créer des paquets d'installation signés configurés avec des adresses réseau et des ports spécifiques pour le déploiement. Une fois actif, le framework fournit une interface centrale pour gérer plusieurs appareils connectés, maintenant l'accès via un service en arrière-plan qui redémarre au démarrage de l'appareil. Le système couvre l'administration à distance via l'exécution de shell interactif et la transmission de données système. Il fournit également des capacités de monitoring pour récupérer les journaux de communication, extraire les informations de l'appareil et les données de localisation, et capturer à distance l'audio, la vidéo et les photos.
Includes automated workflows to generate signed installation packages as remote access payloads for target devices.
Covenant est un framework de commande et contrôle basé sur .NET conçu pour les opérations d'équipe rouge (red team) et la simulation d'adversaires. Il sert de plateforme collaborative pour coordonner les évaluations de sécurité, gérer les implants distants et exécuter des tâches sur des systèmes compromis via un serveur centralisé. Le projet se distingue par son générateur de charge utile dynamique, qui compile et obfusque des binaires exécutables et des scripts à la volée pour contourner la détection. Il se sépare davantage par un environnement collaboratif qui permet à plusieurs opérateurs authentifiés de partager un état synchronisé, de suivre les indicateurs opérationnels et de gérer des engagements conjoints au sein d'une interface unique. Le framework fournit des capacités étendues pour l'obfuscation du trafic, incluant l'utilisation de profils réseau personnalisés, de pipelines de transformation de données et de traduction de protocole basée sur des ponts pour masquer les communications. Il couvre également les besoins post-exploitation tels que la récupération de fichiers distants, la collecte centralisée d'identifiants et le développement de modules de tâches distants personnalisés en utilisant un modèle d'extension par plugin. Le système sécurise les communications entre le serveur et les agents en utilisant l'épinglage de certificat SSL et des échanges de clés chiffrés pour assurer la confidentialité persistante.
Generates and obfuscates dynamic .NET binaries to establish persistent remote access to target hosts.
This project is a technical guide and reference for internal network penetration testing. It serves as a collection of procedures for exploiting and navigating private corporate networks during security assessments. The repository provides specialized manuals and cheat sheets focused on active directory attacks, lateral movement, and privilege escalation. It includes a post-exploitation playbook for maintaining system persistence and clearing forensic traces. The documentation covers a broad range of security capabilities, including initial access, network pivoting and tunneling, and interna
Details the use of administration tools and protocols to execute programs on remote target systems.
Mythic is a red teaming framework and command and control server designed for managing post-exploitation activities. It provides a centralized system for issuing tasks and receiving telemetry from agents deployed across diverse target platforms and operating systems. The platform features a collaborative operator interface that allows multiple security researchers to coordinate operations and track target activity within a shared environment. It supports the deployment and updating of diverse agent payloads through a multi-platform payload manager. The framework utilizes a plugin-based archi
Manages the deployment and updating of diverse agent payloads and external command profiles across different operating systems.
Apfell is a red teaming framework and command and control server designed for collaborative adversary simulation. It provides a centralized infrastructure to manage remote agents and distribute tasking across multiple operating systems using a message broker for real-time synchronization. The system functions as a distributed agent orchestrator, allowing teams to coordinate complex attack chains and synchronize container data. It features a multi-platform payload manager that enables the downloading and integration of custom agents and command profiles from remote repositories. The platform
Allows the retrieval and injection of external agent types and command profiles from remote repositories.
Donut is a toolset for loading and executing payloads in memory, featuring a position-independent shellcode generator, an in-memory payload injector, and a .NET assembly loader. It is designed to convert executable files and scripts into shellcode that can be executed within the memory space of a remote process without writing files to disk. The project specializes in security evasion through memory-based patching and payload obfuscation using symmetric block ciphers and compression. It includes a remote payload stager to retrieve encrypted modules from HTTP or DNS servers during runtime, red
Downloads an encrypted Donut Module from a specified URL at runtime instead of embedding it in the shellcode.
Godzilla is a post-exploitation toolkit and webshell management framework designed for remote administration, credential extraction, and memory shell injection. It provides a centralized platform to deploy, control, and monitor encrypted remote access scripts across multiple server environments. The project differentiates itself through a memory shell injector that loads binaries and shellcode directly into server memory to avoid disk-based detection. It also employs polyglot payload injection, deploying encrypted scripts across various language environments to maintain persistent connections
Generates and deploys dynamic webshell payloads across Java, .NET, PHP, and ASP environments.