文章总结: WolfShell2.5是一款专为ASPX设计的高级WebShell管理工具,主打内存加载无文件落地以规避检测。新版新增内存加载扫描器插件,允许加载针对单IP的.NET程序并自动转化为内网C段扫描器,极大提升了内网探测效率。文章详细介绍了工具的AI渗透、加密通信及横向移动等核心功能,并提供了插件开发代码示例与具体使用说明,具有极高的实战价值与可操作性。 综合评分: 92 文章分类: 渗透测试,内网渗透,安全工具,红队,WEB安全
WolfShell 2.5 内存加载exe插件内网扫描器
0x7556 0x7556
金刚狼不懂安全
2026年3月9日 21:47 中国香港
金刚狼:专为ASPX设计的高级WebShell管理工具
金刚狼是一款专为 ASPX 环境设计的高级 WebShell 管理工具,为安全研究人员和渗透测试人员提供强大的命令执行、提权、和内网穿透能力。它集成了大量渗透工具,支持内存加载无文件落地操作,实现高隐蔽性的内网渗透。
🚀 核心优势
- 支持AI渗透:支持使用自然语言指挥AI操作WebShell执行命令进行渗透。
- 高效隐蔽的通信: 采用 二进制流 传输协议,确保通信的高效性与隐蔽性。
- 端到端安全加密: 所有传输 Payload 均经过 AES加密 保护,且每次通信使用 随机密钥,保障数据安全。
- 无痕运行: 支持直接在 内存中加载并执行代码,最大程度避免在磁盘留下痕迹,显著提升操作隐蔽性和安全性。
- 内网级联WebShell控制: 通过现有已控的WebShell,无需部署代理或配置端口转发,即可连接控制更深层内网环境中的WebShell。
- Hacking后渗透:通过已控的 WebShell 在内存中加载渗透工具,无需部署代理或配置端口转发,即可实现便捷高效的内网横向渗透。
- 语言特征: 服务端(webshell)及payload均为纯英文,只有提供的WebShell变种文件包含英文、日文、韩文。
🔥 功能特性
- Shell:支持ASPX、ASHX、ASMX、HTTP、TCP、PS1、EXE、DLL,(目前仅开放ASPX、ASHX、内存马3种类型)。
- 内存马:ASPX一键注入内存马,任意路径访问,每次都可修改shell地址连接,干扰蓝队分析。
- Cmd命令执行: 在目标系统上直接执行任意 CMD 命令。魔改whoami防止被EDR记录并报警。
- 文件管理: 在目标系统上枚举目录文件、新建文件、文件上传、EXE执行、重命令、删除、设置文件时间等。
- PowerShell执行: 支持执行 PowerShell 代码和命令。魔改whoami防止被EDR记录并报警。
- Shellcode执行: 可在目标环境内直接执行原生的 Shellcode,一键上线Cobalt Strike、Metasploit。
- .NET程序执行: 支持内存加载执行自定义.NET程序集,快速扩展后渗透能力。
- 内存加载扫描器: 只需研发单个IP的.NET程序,通过该模块即可变成内存加载的C段扫描器。
- C#代码执行: 支持动态加载与执行 C# 代码。
- ValidationKey:提取ValidationKey、Validation、DecryptionKey等ViewState反序列化信息。
- web.config读取:提取数据库连接信息(数据库名、用户、密码)、SMTP/邮件服务器用户密码等。
- 端口转发: 实现本地端口到远程内网主机的映射,方便安全地访问内部网络服务。
- HTTP代理: 一键内存注入Suo5高性能 HTTP 隧道代理工具。
- EfsPotato: 利用系统服务漏洞进行权限提升。
- BadPotato: 利用系统服务漏洞进行权限提升。
- 内网级联Cmd命令执行: 支持级联内网第2层 WebShell 执行 CMD 命令进行横向移动。
- 内网级联PowerShell执行: 支持级联内网第2层 WebShell 执行 PowerShell 命令进行横向移动。
- SshCmd:SSH 远程命令执行工具,支持对内网主机的命令执行、文件上传下载实现横向移动。
- MysqlCmd:MySQL 数据库连接工具,支持连接内网MySQL,执行查询、导入导出等数据库操作。
- MssqlCmd:SQL Server数据库连接工具,支持连接内网数据库,执行查询、导入导出、横向移动、命令执行、Potato提权等。
- SharpWeb:浏览器凭据抓取工具,支持提取已保存的 Chrome、Firefox、Edge 登录信息与凭据。
- 密码读取: IISpwd wifipwd FileZillaPwd firefoxpwd XshellPwd GetPwd FirefoxHistory FirefoxCookie
- 漏洞检测:MS17010 SMBGhost HikvisionPoc ActivemqPoc Struts2Poc WeblogicPoc CVE-2022-36537 CVE-2024-47176 CVE-2022-27925 CVE-2024-27956
- 横向工具:wshell SmbExec WmiExec WmiExec2 AtExec MssqlCmd MmcExec ShellExec ShellBrowserExec
- AI免杀:接入AI人工智能,聊个天就能免杀WebShell。
- Ladon:内网渗透工具集,内存加载无文件落地,包含端口扫描、资产探测、密码审计、漏洞检测、漏洞利用、横向移动等。(工具在集成中,目前已完成10多种协议资产探测,其它模块暂未支持,和potato一样,无法集成所有工具,有些功能可能得使用原程序)
- AddUser: 绕过杀软EDR\XDR添加系统用户、管理员、域用户、域管理员工具。
- NoPowerShell:禁用或没有PowerShell执行PowerShell命令、代码、文件功能。
2.5新增内存加载扫描器
- 只需研发单个IP的.NET程序,通过该模块即可变成内存加载的C段扫描器。
- 如只需实现对1个IP的检测、漏洞利用等工具,注意:类和方法需为 Public
- 任意EXE程序,加载后,直接变成内网C段扫描器,如MS17010你只需实现针对一个IP探测或利用的能力,加载后可针对内网C段批量探测或利用。
扫描插件 极简例子
demo.cs代码
using System;
using System.Collections.Generic;
using System.Text;
namespacewolfshell
{
classProgram
{
public static void Main(string[] args)
{
if (args.Length < 1)
Console.WriteLine("args is null");
else
Console.WriteLine("Demo: " + args[0]);
}
}
}
编译demo插件
"C:\Windows\Microsoft.NET\Framework\v3.5\csc.exe" /target:exe /out:demo.exe demo.cs
Demo程序原始用法
C:\Users\Administrator\>demo.exe 192.168.1.11
Demo: 192.168.1.11
获取网站服务器Banner插件
using System;
using System.Net;
class Program
{
static void Main(string[] args)
{
if (args.Length == 0) { Console.WriteLine("Usage: urlbanner.exe <host>"); return; }
string url = args[0].StartsWith("http", StringComparison.OrdinalIgnoreCase) ? args[0] : "http://" + args[0];
Scan(url);
}
static void Scan(string url)
{
try
{
var req = (HttpWebRequest)WebRequest.Create(url);
req.Method = "HEAD";
req.Timeout = 3000;
req.AllowAutoRedirect = true;
req.MaximumAutomaticRedirections = 2;
req.UserAgent = "Mozilla/5.0";
using (var res = (HttpWebResponse)req.GetResponse())
{
string banner = res.Headers["Server"] ?? "Unknown";
Console.WriteLine($"{res.ResponseUri} | {(int)res.StatusCode} | {banner}");
}
}
catch (WebException wex) when (wex.Response is HttpWebResponse r)
{
string banner = r.Headers["Server"] ?? "Unknown";
Console.WriteLine($"{url} | {(int)r.StatusCode} | {banner} | {wex.Message}");
}
catch (Exception ex)
{
Console.WriteLine($"{url} | Error: {ex.Message}");
}
}
}
编译webscan
"C:\Windows\Microsoft.NET\Framework\v3.5\csc.exe" /target:exe /out:webscan.exe webscan.cs
自定义工具 原始用法 范例
F:\py>webscan.exe 192.168.50.1
URL: http://192.168.50.1/ | Status: 200 | Banner: httpd/2.0 | Title: No Title
远程内存加载 变身 内网C段扫描器
使用方法:
- 将目标 EXE 拖放到“ExePath”文件路径输入框,如webscan.exe。
- 在“C 段”输入框中填写要扫描的网段(例如 192.168.1.0/24)。
- 点击“Scan”按钮开始扫描。扫描行为和结果由所加载的 EXE 功能决定。
说明:
- 加载器默认先通过 ICMP(ping)探测目标是否存活,只有存活的主机才会被加载并执行自定义 EXE。
- 若目标网络禁用 ICMP 响应,请取消勾选“先行探测/ICMP”选项以跳过探测步骤。
免责声明
使用WolfShell时,请遵循相关法律法规,确保在授权的环境中进行测试和使用。
本工具仅供教育和研究目的,任何滥用行为将由用户自行承担后果。
金刚狼下载
https://github.com/0x7556/wolfshell/releases/tag/2.5
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:金刚狼不懂安全 0x7556 0x7556《WolfShell 2.5 内存加载exe插件内网扫描器》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论