⚠️ 警告:保命须知
- 虚拟机原则: 本列表中提到的所有工具,必须且只能在虚拟机(VMware/VirtualBox)中运行。绝不要在宿主机上安装或运行任何攻防工具。
- 来源警示: 对于 Cobalt Strike 等商业软件,市面上流传的“破解版”极大概率含有后门。请务必保持警惕,我们仅提供官方链接,使用非官方版本后果自负。
- 法律边界: 所有工具仅限用于授权的红队演习、靶场训练或 CTF 比赛。
搭建一个安全、可控的实验环境是红队行动的第一步。
| 工具名称 | 用途 | 官方/项目地址 | 备注 |
|---|---|---|---|
| VMware Workstation | 虚拟机软件 | 官网 | 必备。 建议使用 Pro 版本以便于网络配置(如仅主机模式)。 |
| VirtualBox | 虚拟机软件 | 官网 | 免费开源的替代方案。 |
| Commando VM | Windows 攻击机环境 | GitHub | Mandiant 出品的脚本,能把纯净的 Windows 变成全功能的攻击机。 |
| Docker | 容器服务 | 官网 | 快速搭建靶场(如 Vulfocus)或隔离运行工具。 |
| Visual Studio | C/C++ 开发环境 | 官网 | 开发 Loader 必备。建议安装“C++ 桌面开发”组件。 |
| Python | 脚本语言环境 | 官网 | 红队脚本(Exp/Poc)最常用的语言。 |
这些工具是红队行动中的“主力武器”,涵盖从侦察到控制的全流程。虽然它们已经不适合当前的实战强度,但仍是很好的教学工具。
注意: C2 服务端必须运行在 Linux 虚拟机中。
| 工具名称 | 用途 | 官方/项目地址 | 备注 |
|---|---|---|---|
| Cobalt Strike | 商业 C2 框架 | 官网 | 业界标准。提供强大的 Beacon 和定制化能力。(注意:请仅在隔离环境研究) |
| Metasploit (MSF) | 漏洞利用框架 | 官网 | 新手入门首选。拥有海量 Exploit 库,适合漏洞验证。 |
| Sliver | 开源 C2 框架 | GitHub | 优秀的开源替代品,支持 Go 语言开发 Implant,免杀效果较好。 |
| Havoc | 现代化 C2 | GitHub | 界面类似 CS,开源且更新活跃,适合研究学习。 |
原则: 被动侦察优先,避免直接接触目标。
| 工具名称 | 用途 | 官方/项目地址 | 备注 |
|---|---|---|---|
| Nmap | 端口扫描神器 | 官网 | 主机发现、端口扫描、服务识别。 |
| Fscan | 内网综合扫描 | GitHub | 内网大杀器。单文件,速度快,支持弱口令爆破和漏洞扫描。 |
| Ladon | 大型内网渗透扫描器 | GitHub | 功能极其丰富,支持多种协议扫描和利用。 |
| Shodan | 网络空间测绘 | 官网 | 搜索暴露在互联网上的设备(被动侦察)。 |
| Fofa | 网络空间测绘 | 官网 | 国内常用的资产测绘平台。 |
场景: 获得初始立足点后,扩大战果。
| 工具名称 | 用途 | 官方/项目地址 | 备注 |
|---|---|---|---|
| Mimikatz | 凭证抓取 | GitHub | 内网之王。从内存中抓取密码、哈希、票据。 |
| Impacket | 协议工具包 | GitHub | 必备库。包含 psexec.py, wmiexec.py, secretsdump.py 等横向移动神器的 Python 库。 |
| BloodHound | 域分析工具 | GitHub | 图形化展示 AD 域内的攻击路径,寻找最短提权路线。 |
| Ligolo-ng | 内网隧道 | GitHub | 新一代隧道工具,性能优于传统的 Socks 代理,支持 TUN 接口。 |
| Frp | 反向代理 | GitHub | 高性能反向代理应用,常用于内网穿透。 |
场景: 让你的 Payload 绕过 AV/EDR。
| 工具名称 | 用途 | 官方/项目地址 | 备注 |
|---|---|---|---|
| Donut | Shellcode 生成器 | GitHub | 将 EXE/.NET 程序转换为 Shellcode。 |
| SysWhispers2/3 | 系统调用生成 | GitHub | 生成直接系统调用 (Direct Syscalls) 代码,绕过 EDR 的 API Hook。 |
虽然 Red Team 更侧重实战,但部分工具在特定场景(如 Web 漏洞挖掘、逆向分析、流量取证)中依然非常有用。
Tools 目录,将常用工具分类存放(如 Scan, Exploit, C2, Tunnel)。