2025红队工具——C2框架、活动目录与网络渗透
我们再次带来最受欢迎的红队工具汇总——这次的内容非常丰富。虽然这些工具仅代表我们红队在任务中所用专业知识的冰山一角,但它们是在执行复杂进攻性安全操作时任何武器库中的关键组成部分。
“请记住,有效的红队操作更侧重于方法论、经验和战略思维,而非特定工具——但拥有合适的工具确实能帮助专家交付成果。”
这些是我们用于模拟真实世界对手、深入复杂环境并领先防御者一步的首选资源——我们希望它们能为您的红队任务带来同样的优势。
在第一部分中,我们将重点介绍专注于C2框架、活动目录和网络渗透的工具。在第二部分中,我们将转向云工具、身份利用、规避技术和有用的开发者库。
C2框架:
1. Sliver
创建者: Bishop Fox (@BishopFox)
“一个开源跨平台对手模拟/红队框架。”
描述: Sliver是红队成员和渗透测试人员的绝佳工具。请相信我们,我们很了解。它可供任何规模的组织使用。其植入程序支持macOS、Windows和Linux,非常通用。此外,植入程序可以通过多种渠道与服务器通信,如mTLS、HTTPS、DNS等。
2. PoshC2
创建者: Nettitude (@nettitude)
“一个支持代理感知的C2框架,用于协助红队成员进行后期利用和横向移动。”
描述: PoshC2为红队操作提供了一个高度灵活和可扩展的框架,主要使用Python3构建。它提供了各种操作系统和编程语言的即用型植入程序和有效载荷,确保了广泛的兼容性。此外,操作安全性和隐蔽性是关键特性,如包含AMSI绕过和EW修补的shellcode、自动生成的Apache重写规则用于代理,以及完全加密的通信。
3. Cobalt Strike
维护者: (@Fortra)
“一个网络安全工具,专为红队和渗透测试人员设计,用于在网络环境中进行高级威胁模拟和侦察。”
描述: Cobalt Strike通过使用隐蔽通信渠道和高度可配置的"Beacon"植入程序(与正常网络流量混合),帮助安全团队模拟复杂的网络攻击。凭借丰富的后期利用模块和自定义脚本,它专为现实、全面的红队操作而构建。
4. Nighthawk
创建者: MDSec Consulting Ltd
“一个高级红队工具包,以操作安全为核心设计,包括规避性命令与控制框架。”
描述: Nighthawk的突出之处在于其以操作安全和规避为核心原则创建,允许其高度规避的信标绕过现代安全控制。它还提供了非公开知识的独特能力,允许更有效的后期利用。
5. Mythic
创建者: Cody Thomas (@its-a-feature)
“一个跨平台、后期利用、红队框架,旨在为操作员提供协作和用户友好的界面。”
描述: Mythic是"关心"操作员的工具。不开玩笑——它确实使红队成员更容易维护代理,具有强大的数据分析能力(跟踪从谁做了什么、何时以及使用哪种工具的一切)以进行更好的实时分析,并允许定制。
6. Metasploit
创建者: Rapid7 (@rapid7)
“世界上使用最广泛的渗透测试框架。”
描述: Metasploit提供了大量预构建的漏洞利用,使渗透测试人员易于发现和展示漏洞。它用途广泛,允许用户自动化渗透测试任务、开发自定义漏洞利用并执行各种后期利用活动。大多数(如果不是全部)从初学者到经验丰富的道德黑客都使用此工具。
7. Merlin
创建者: Russel Van Tuyl (@ne0nd0g)
“一个用Golang编写的跨平台后期利用HTTP/2命令与控制服务器和代理。”
描述: Merlin是一个后期利用命令与控制(C2)工具,也称为远程访问工具(RAT),使用HTTP/1.1、HTTP/2和HTTP/3协议进行通信。HTTP/3是HTTP/2 over Quick UDP Internet Connections(QUIC)协议的组合。这个工具是我在评估HTTP/2的论文"实用方法检测和防止通过HTTP/2的Web应用程序攻击"中的工作成果。
8. Empire
维护者: BC Security (@BC-SECURITY)
“一个后期利用和对手模拟框架,用于协助红队和渗透测试人员。”
描述: Empire C2充满了高级功能,包括多语言代理(PowerShell、python3、C#等)、庞大的支持工具库和多样化的通信机制。它拥有模块化设计,便于插件集成、可自定义的绕过、集成混淆和加密通信,使其在后期利用活动中非常有效。
活动目录与网络渗透:
9. SharpHound
创建者: SpecterOps (@SpecterOps)
“一个用于BloodHound的C#数据收集器。”
描述: SharpHound快速、彻底,旨在提取红队成员所需的关系数据——组成员身份、信任和权限——以映射网络中的权限提升路径和横向移动。凭借灵活的收集选项和无缝集成到BloodHound中,它是理解和利用AD信任关系的首选工具。
10. BloodHound.py
创建者: Dirk-jan Mollema、Edwin van Vliet和Matthijs Gielen(@dirkjanm和其他来自Fox-IT(NCC Group)的人员)
“一个基于Python的BloodHound注入器。”
描述: 它是传统注入器的轻量级跨平台替代方案,允许远程收集活动目录信息,而无需在目标系统上执行.NET二进制文件。支持多种身份验证方法并与现代BloodHound版本兼容,是红队成员进行AD枚举的多功能选择。
11. NetExec(原名CrackMapExec)
创建者: Marcello (@byt3bl33d3r) 维护者:(NeffIsBack, Marshall-Hallenbeck, zblurx, mpgn_x64)
“一个强大的网络服务利用工具,旨在自动化评估大规模Windows和活动目录环境。”
描述: NetExec通过使验证凭据、执行命令和探测系统变得容易来简化网络操作。它专为速度和灵活性而构建。
12. Certipy
创建者: Oliver Lyak (@ly4k)
“一个用于枚举和滥用活动目录证书服务(AD CS)的进攻性工具。”
描述: Certipy重新成为深入研究AD证书服务的首选。它简化了发现错误配置、提取凭据和发起强大攻击(如影子凭据和黄金票据)的过程——所有这些都无需大量设置。
13. Impacket
创建者: SecureAuth
“一个用于处理网络协议的Python类集合。”
描述: Impacket是需要精确和控制的红队成员的必备工具。它提供对Windows网络协议的低级访问,使其成为定制攻击和自动化后期利用任务的理想选择。
14. MSLDAP
创建者: SkelSec (@skelsec)
“一个用于审计MS AD的LDAP库。”
描述: MSLDAP的交互式客户端便于实时探索活动目录结构,使识别错误配置和潜在攻击向量变得更容易。无论您是编写复杂查询脚本还是进行手动评估,MSLDAP都简化了与AD环境交互的过程。
15. GhostPack
创建者: GhostPack (@ghostpack) by Lee Chagolla-Christensen、Will Shroeder和Christopher Maddalena (@leechristensen, @HarmJ0y, and @chrismaddalena)
“GhostPack是一套C#工具,专为红队操作设计,专注于Windows后期利用、凭据访问和活动目录滥用。”
描述: GhostPack汇集了红队武器库中一些最有效和广泛使用的工具——如用于Kerberos滥用的Rubeus、用于主机侦察的Seatbelt、用于AD CS攻击的Certify和用于凭据提取的SharpDPAPI。每个工具都是模块化的、可编写脚本的,并以操作安全为核心设计,使其成为隐蔽任务的理想选择。这是一个经过实战检验的工具包,已成为进攻性安全工作流程中的主要工具。
16. Octopwn
创建者: Octopwn GMBH (@octopwn)
“一个模块化、基于浏览器的红队平台,将基本内部测试工具集成到单一界面中。”
描述: OctoPwn将扫描器和攻击工具打包到一个基于浏览器、WebAssembly的界面中,部署快速且易于使用。支持Nmap、BloodHound和Hashcat数据,非常适合敏捷、模块化的渗透测试——即使在受监控的环境中也是如此。
我们希望这个工具包能给您带来一些新的灵感,并帮助您为下一次任务锐化战术。请务必阅读第二部分,我们将深入探讨云工具、身份利用、规避技术和方便的开发者库,以完善您的红队武器库。
Bishop Fox的方法有何不同?不仅仅是针对目标运行工具——而是我们的红队将技术实力与战略思维相结合,提供对您的安全状况真正重要的见解。