2025年红队工具 - C2框架、主动目录与网络渗透
我们再次带来了我们最喜爱的红队工具汇总——这次的内容非常丰富。虽然这些工具仅代表我们红队在任务中所用专业知识的冰山一角,但它们是在执行复杂进攻性安全行动时任何武器库中的关键组成部分。
“请记住,有效的红队行动更侧重于方法学、经验和战略思维,而非任何特定工具——但拥有合适的工具确实能帮助专家交付成果。”
这些是我们用于模拟真实世界对手、深入复杂环境并领先防御者一步的首选资源——我们希望它们能为您的红队任务提供同样的优势。
在第一部分中,我们将重点介绍专注于C2框架、主动目录和网络渗透的工具。在第二部分中,我们将转向云工具、身份利用、规避技术和有用的开发者库。
C2框架:
-
Sliver 创建者:Bishop Fox (@BishopFox) “一个开源跨平台对手模拟/红队框架。” 描述:Sliver是红队成员和渗透测试人员的绝佳工具。请相信我们,我们很清楚这一点。它可供任何规模的组织使用。其植入程序支持macOS、Windows和Linux,非常多功能。此外,植入程序可以通过多种渠道与服务器通信,如mTLS、HTTPS、DNS等。
-
PoshC2 创建者:Nettitude (@nettitude) “一个支持代理感知的C2框架,用于帮助红队成员进行后期利用和横向移动。” 描述:PoshC2为红队提供了一个高度灵活和可扩展的框架,主要使用Python3构建。它提供了各种现成的植入程序和有效载荷,支持多种操作系统和编程语言,确保广泛的兼容性。此外,操作安全性和隐蔽性是关键特性,如包含AMSI绕过和EW修补的shellcode、自动生成的Apache重写规则用于代理,以及完全加密的通信。
-
Cobalt Strike 维护者:(@Fortra) “一个网络安全工具,专为红队和渗透测试人员设计,用于在网络环境中进行高级威胁模拟和侦察。” 描述:Cobalt Strike通过使用隐蔽通信渠道和高度可配置的"Beacon"植入程序(与正常网络流量混合),帮助安全团队模拟复杂的网络攻击。凭借丰富的后期利用模块和自定义脚本功能,它专为现实、全面的红队行动而构建。
-
Nighthawk 创建者:MDSec Consulting Ltd “一个高级红队工具包,以操作安全为核心设计理念,包括一个规避性命令与控制框架。” 描述:Nighthawk的突出之处在于其以操作安全和规避为核心原则创建,允许其高度规避的信标绕过现代安全控制。它还提供非公开知识的独特能力,从而实现更有效的后期利用。
-
Mythic 创建者:Cody Thomas (@its-a-feature) “一个跨平台、后期利用、红队框架,旨在为操作员提供协作和用户友好的界面。” 描述:Mythic是"关心"操作员的工具。不开玩笑——它确实使红队成员更容易维护代理,具有强大的数据分析能力(跟踪从谁在何时使用哪个工具做了什么的一切),以便更好地进行实时分析,并允许自定义。
-
Metasploit 创建者:Rapid7 (@rapid7) “世界上使用最广泛的渗透测试框架。” 描述:Metasploit提供了大量预构建的漏洞利用,使渗透测试人员能够轻松发现和展示漏洞。它功能多样,允许用户自动化渗透测试任务、开发自定义漏洞利用程序,并执行各种后期利用活动。大多数(如果不是全部)从初学者到经验丰富的道德黑客都使用此工具。
-
Merlin 创建者:Russel Van Tuyl (@ne0nd0g) “一个用Golang编写的跨平台后期利用HTTP/2命令与控制服务器和代理。” 描述:Merlin是一个后期利用命令与控制(C2)工具,也称为远程访问工具(RAT),使用HTTP/1.1、HTTP/2和HTTP/3协议进行通信。HTTP/3是HTTP/2 over Quick UDP Internet Connections(QUIC)协议的组合。这个工具是我在评估HTTP/2时的工作成果,相关论文题为"实用方法检测和防止通过HTTP/2的Web应用程序攻击"。
-
Empire 维护者:BC Security (@BC-SECURITY) “一个后期利用和对手模拟框架,用于帮助红队和渗透测试人员。” 描述:Empire C2充满了高级功能,包括多语言代理(PowerShell、python3、C#等)、庞大的支持工具库和多样化的通信机制。它采用模块化设计,便于插件集成、可自定义的绕过、集成混淆和加密通信,使其在后期利用活动中非常有效。
主动目录与网络渗透:
-
SharpHound 创建者:SpecterOps (@SpecterOps) “一个用于BloodHound的C#数据收集器。” 描述:SharpHound快速、全面,旨在提取红队成员所需的关系数据——组成员身份、信任和权限——以映射网络中的权限提升路径和横向移动。凭借灵活的收集选项和无缝集成到BloodHound中,它是理解和利用AD信任关系的首选工具。
-
BloodHound.py 创建者:Dirk-jan Mollema、Edwin van Vliet和Matthijs Gielen(@dirkjanm和其他来自Fox-IT(NCC Group)的人员) “一个基于Python的BloodHound注入器。” 描述:它是传统注入器的轻量级、跨平台替代方案,允许远程收集主动目录信息,而无需在目标系统上执行.NET二进制文件。支持多种身份验证方法并与现代BloodHound版本兼容,是红队成员进行AD枚举的多功能选择。
-
NetExec(原名CrackMapExec) 创建者:Marcello (@byt3bl33d3r) 维护者:(NeffIsBack, Marshall-Hallenbeck, zblurx, mpgn_x64) “一个强大的网络服务利用工具,旨在自动化评估大规模Windows和主动目录环境。” 描述:NetExec通过使大规模验证凭据、执行命令和探测系统变得容易,简化了网络操作。它专为速度和灵活性而构建。
-
Certipy 创建者:Oliver Lyak (@ly4k) “一个用于枚举和滥用主动目录证书服务(AD CS)的攻击性工具。” 描述:Certipy重新成为深入研究AD证书服务的首选工具。它简化了发现错误配置、提取凭据和发起强大攻击(如影子凭据和黄金票据)的过程——所有这些都无需大量设置。
-
Impacket 创建者:SecureAuth “一个用于处理网络协议的Python类集合。” 描述:Impacket是需要精确性和控制力的红队成员的必备工具。它提供对Windows网络协议的低级访问,使其成为构建自定义攻击和自动化后期利用任务的理想选择。
-
MSLDAP 创建者:SkelSec (@skelsec) “一个用于审计MS AD的LDAP库。” 描述:MSLDAP的交互式客户端有助于实时探索主动目录结构,使识别错误配置和潜在攻击向量变得更加容易。无论您是编写复杂查询脚本还是进行手动评估,MSLDAP都简化了与AD环境交互的过程。
-
GhostPack 创建者:GhostPack (@ghostpack) by Lee Chagolla-Christensen、Will Shroeder和Christopher Maddalena (@leechristensen, @HarmJ0y, and @chrismaddalena) “GhostPack是一套C#工具,专为红队操作设计,专注于Windows后期利用、凭据访问和主动目录滥用。” 描述:GhostPack汇集了红队武器库中一些最有效和广泛使用的工具——如用于Kerberos滥用的Rubeus、用于主机侦察的Seatbelt、用于AD CS攻击的Certify和用于凭据提取的SharpDPAPI。每个工具都是模块化的、可编写脚本的,并以操作安全为核心设计理念,使其成为隐秘任务的理想选择。这是一个经过实战检验的工具包,已成为进攻性安全工作流程中的主要组成部分。
-
Octopwn 创建者:Octopwn GMBH (@octopwn) “一个模块化、基于浏览器的红队平台,将基本的内网测试工具集成到单一界面中。” 描述:OctoPwn将扫描器和攻击工具打包到一个基于浏览器、WebAssembly的界面中,部署快速且易于使用。支持Nmap、BloodHound和Hashcat数据,非常适合敏捷、模块化的渗透测试——即使在受监控的环境中也是如此。
我们希望这个工具包能给您带来一些新的灵感,并帮助您为下一次任务磨砺战术。请务必阅读第二部分,我们将深入探讨云工具、身份利用、规避技术和方便的开发者库,以完善您的红队武器库。
Bishop Fox的方法有何不同?它不仅仅是对目标运行工具——而是我们的红队将技术实力与战略思维相结合,提供对您的安全态势真正重要的见解。