文章总结： 本文盘点2025年红队关键工具，涵盖Sliver、CobaltStrike等C2框架及SharpHound、Impacket等AD攻击工具。强调演练核心在于方法论与经验，但利用NetExec、GhostPack等工具可显著提升模拟真实对手、横向移动及后渗透的效率与隐蔽性。 综合评分： 83 文章分类： 红队,安全工具,内网渗透,渗透测试

2025 年红队工具——C2 框架、Active Directory 和网络攻击

Ots安全

2026年1月1日 02:10 广东

威胁简报

恶意软件

漏洞攻击

我们又来啦！这次带来的是我们最爱的红队工具盘点——而且这次的绝对不容小觑。虽然这些工具仅仅代表了我们红队在实战中运用的专业知识的一小部分，但它们却是执行复杂攻击性安全行动时不可或缺的关键组成部分。

“记住，有效的红队演练更多地取决于方法论、经验和战略思维，而不是任何特定的工具——但拥有合适的工具当然有助于专家取得成果。”

这些是我们模拟现实世界对手、深入研究复杂环境以及领先防御者一步的首选资源——我们希望它们能为您的红队演练带来同样的优势。

C2框架：

1.    Sliver

创作者： Bishop Fox（@BishopFox）

“一个开源的跨平台敌方模拟/红队框架。”

描述：  Sliver 是红队成员和渗透测试人员的得力助手。相信我们，我们深有体会。它适用于任何规模的组织。其植入程序支持 macOS、Windows 和 Linux 系统，因此用途非常广泛。此外，这些植入程序可以通过多种渠道与服务器通信，例如 mTLS、HTTPS、DNS 等。

2.    PoshC2

创建者： Nettitude（@nettitude）

“一种支持代理的 C2 框架，用于帮助红队成员进行后渗透和横向移动。”

描述： PoshC2 提供了一个高度灵活且可扩展的红队演练框架，主要基于 Python3 构建。它为各种操作系统和编程语言提供了丰富的即用型植入程序和有效载荷，确保了广泛的兼容性。此外，其关键特性还包括操作安全性和隐蔽性，例如包含 AMSI 绕过和电子战补丁的 shellcode、用于代理的自动生成的 Apache 重写规则以及完全加密的通信。

3.    Cobalt Strike

维护者：（@Fortra）

“一款专为红队和渗透测试人员设计的网络安全工具，用于在网络环境中进行高级威胁模拟和侦察。”

描述： Cobalt Strike 利用隐蔽的通信通道和高度可配置的“信标”植入程序，帮助安全团队模拟复杂的网络攻击，这些植入程序能够与正常的网络流量融为一体。凭借丰富的后渗透模块和自定义脚本功能，它专为逼真、全面的红队演练而设计。

4.    Nighthawk

创建者： MDSec Consulting Ltd

“一套先进的红队工具包，以作战安全为核心构建，包含一个规避型的指挥控制框架。”

描述： Nighthawk之所以脱颖而出，是因为它以运行安全性和规避为核心设计原则，使其高度隐蔽的信标能够绕过现代安全控制。它还拥有一些尚未公开的独特功能，从而能够进行更有效的后续攻击。

5.    Mythic

创作者： Cody Thomas ( @its-a-feature )

“一个跨平台、后渗透、红队演练框架，旨在为操作人员提供协作和用户友好的界面。”

描述： Mythic 是一款真正“关心”操作员的工具。玩笑归玩笑，它确实能让红队成员更轻松地维护代理，拥有强大的数据分析功能（追踪所有操作，包括谁在何时使用何种工具执行了哪些操作），从而实现更佳的实时分析，并且支持自定义设置。

6.    Metasploit

创建者： Rapid7（@rapid7）

“全球使用最广泛的渗透测试框架。”

描述： Metasploit 提供海量的预构建漏洞利用程序，方便渗透测试人员发现并展示漏洞。它功能强大，允许用户自动化渗透测试任务、开发自定义漏洞利用程序以及执行各种后渗透活动。几乎所有（如果不是全部）从新手到经验丰富的道德黑客都在使用这款工具。

7.    Merlin

创作者：拉塞尔·范·图伊尔 ( @ne0nd0g )

“一个用 Golang 编写的跨平台后渗透 HTTP/2 命令与控制服务器和代理。”

描述： Merlin 是一款后渗透命令与控制 (C2) 工具，也称为远程访问工具 (RAT)，它使用 HTTP/1.1、HTTP/2 和 HTTP/3 协议进行通信。HTTP/3 是 HTTP/2 与快速 UDP 互联网连接 (QUIC) 协议的结合。该工具是我在题为“检测和预防基于 HTTP/2 的 Web 应用程序攻击的实用方法”的论文中评估 HTTP/2 协议后开发的成果。

8.    Empire

维护者： BC Security（@BC-SECURITY）

“一种用于辅助红队和渗透测试人员的后渗透和敌方模拟框架。”

描述： Empire C2 拥有众多高级功能，包括多语言代理（PowerShell、Python 3、C# 等）、庞大的支持工具库以及多种通信机制。它采用模块化设计，易于插件集成，并提供可自定义的绕过方案、集成混淆功能和加密通信，使其成为后渗透活动的高效工具。

Active Directory 和网络攻击：

9.    SharpHound

创建者： SpecterOps（@SpecterOps）

“用于 BloodHound 的 AC# 数据收集器。”

描述： SharpHound 快速、全面，专为提取红队成员所需的关系数据而设计，例如组成员关系、信任关系和权限，从而绘制网络中的权限提升路径和横向移动路线。凭借灵活的数据采集选项和与BloodHound的无缝集成，它是理解和利用 AD 信任关系的理想工具。

10.  BloodHound.py

创建者： Dirk-jan Mollema、Edwin van Vliet 和 Matthijs Gielen（@dirkjanm以及来自Fox-IT（NCC Group ）的其他人）

“基于 Python 的BloodHound 数据摄取器。”

描述：这是一款轻量级、跨平台的工具，可替代传统的数据采集器，无需在目标系统上执行 .NET 二进制文件即可远程收集 Active Directory 信息。它支持多种身份验证方法，并兼容最新版本的 BloodHound，是红队成员进行 AD 枚举的理想选择。

11.  NetExec（原名CrackMapExec）

创建者： Marcello ( @byt3bl33d3r )

维护者： ( NeffIsBack、Marshall-Hallenbeck、zblurx、mpgn_x64 )

“一款功能强大的网络服务漏洞利用工具，旨在自动评估大规模 Windows 和 Active Directory 环境。”

描述： NetExec 通过简化大规模身份验证、命令执行和系统探测，显著提升了网络运维效率。它兼具速度和灵活性。

12. Certipy

创作者： Oliver Lyak ( @ly4k )

“一种用于枚举和滥用 Active Directory 证书服务 (AD CS) 的攻击性工具。”

描述： Certipy 已重新成为深入分析 AD 证书服务的首选工具。它简化了发现错误配置、提取凭据以及发起强大的攻击（例如影子凭据和黄金票据）的过程——所有这些都无需大量的设置。

13. Impacket

创建者：SecureAuth

“用于处理网络协议的 Python 类集合。”

描述： Impacket 是红队成员必备的工具，它能提供对 Windows 网络协议的底层访问权限，非常适合用于构建自定义攻击和自动化后渗透任务。

14. MSLDAP

创建者：  SkelSec（@skelsec）

“用于审核 MS AD 的 LDAP 库。”

描述： MSLDAP 的交互式客户端支持实时探索 Active Directory 结构，从而更容易识别配置错误和潜在攻击途径。无论您是编写复杂的查询脚本还是进行实际操作评估，MSLDAP 都能简化与 AD 环境交互的流程。

15. GhostPack

创建者： GhostPack ( @ghostpack )，作者为 Lee Chagolla-Christensen、Will Shroeder 和 Christopher Maddalena ( @leechristensen、@HarmJ0y和@chrismaddalena )

“ GhostPack 是一套专为红队行动设计的 C# 工具，专注于 Windows 后渗透、凭据访问和 Active Directory 滥用。

描述： GhostPack 汇集了红队演练中最有效、应用最广泛的一些工具，例如用于 Kerberos 滥用的 Rubeus、用于主机侦察的 Seatbelt、用于 AD CS 攻击的 Certify 以及用于凭证提取的 SharpDPAPI。每个工具都采用模块化设计，支持脚本编写，并以操作安全性为核心构建，使其成为隐蔽行动的理想之选。这套久经沙场的工具包已成为攻击性安全工作流程中的必备工具。

16. Octopwn

创建者： Octopwn GMBH ( @octopwn )

“一个模块化的、基于浏览器的红队演练平台，将必要的内部测试工具集成到一个界面中。”

描述： OctoPwn 将扫描器和攻击工具集成到一个基于浏览器的 WebAssembly 界面中，部署快速且易于使用。它支持 Nmap、BloodHound 和 Hashcat 数据，非常适合敏捷、模块化的渗透测试——即使在受监控的环境中也能正常运行。

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《2025 年红队工具——C2 框架、Active Directory 和网络攻击》