Rioktoy/red-team-ops-platform
GitHub: Rioktoy/red-team-ops-platform
一款模块化红队作战平台,将侦察、钓鱼模拟、C2模拟、规避测试与持久化审计串联为自动化战役流程并生成多格式报告。
Stars: 0 | Forks: 0
# 红队作战平台
**专为红队作战设计的模块化战役自动化引擎。**
一款专业的攻击安全平台,可统筹协调侦察、
钓鱼模拟、C2 模拟、规避测试以及持久化扫描
—— 所有这些都配备精美的 CLI 和自动化的 PDF/HTML 报告。
## 功能
| 类别 | 能力 |
|----------|-------------|
| **侦察** | DNS 枚举、端口扫描、WHOIS 查询、Banner 抓取、DMARC 审计 |
| **钓鱼模拟** | 电子邮件模板生成、活动跟踪、点击率分析 |
| **C2 模拟** | HTTPS/DNS/WebSocket 通道测试、Beacon 模拟、Payload 生成 |
| **规避检查** | AV 检测测试、EDR 绕过模拟、沙箱规避、混淆 |
| **持久化扫描** | 注册表、计划任务、WMI、启动文件夹、服务审计 |
| **报告** | 专业 PDF 报告 (ReportLab)、HTML 仪表板 (Jinja2)、Markdown |
| **CLI** | 基于 Click 的 Rich 终端界面,实时进度,颜色编码结果 |
| **调度** | 通过 APScheduler 进行基于 Cron/间隔的循环任务 |
## 快速开始
```
# 安装
pip install -e ".[dev]"
# 显示 banner
redteam banner
# 列出 modules
redteam modules
# 生成默认 config
redteam init-config
# 运行完整 campaign
redteam run example.com
# 运行单个 module
redteam single example.com -m reconnaissance
# 安排每日 campaigns
redteam schedule corp.local -s "@daily"
# 查看报告
redteam view-report ./reports/report_abc123_example_com.pdf
```
## 项目结构
```
red-team-ops-platform/
├── src/redteam/
│ ├── core/ # Engine, config, module loader, result collector, scheduler
│ ├── modules/ # Recon, phishing, C2, evasion, persistence
│ ├── cli/ # Click CLI with Rich terminal UI
│ ├── reporting/ # PDF, HTML, Markdown report generation
│ └── utils/ # Validation, hashing, faker data generation
├── tests/ # pytest test suite
├── configs/ # Campaign YAML configurations
├── reports/ # Generated report output
└── pyproject.toml # Project metadata and dependencies
```
## 模块
### 1. 侦察 (`reconnaissance`)
网络扫描、DNS 枚举、WHOIS 查询、带服务检测的端口扫描。检查 SMBv1 (EternalBlue)、FTP 匿名访问以及缺失的 DMARC 记录。
### 2. 钓鱼模拟 (`phishing_simulation`)
使用多种模板(密码重置、MFA 更新、高管共享)模拟钓鱼活动。跟踪电子邮件打开情况、链接点击情况和用户报告率。
### 3. C2 模拟器 (`c2_emulator`)
模拟通过 HTTPS、DNS 隧道和 WebSocket 的命令与控制通道。测试出站过滤并生成带有抖动的 Beacon 心跳模式。
### 4. 规避检查 (`evasion_check`)
测试针对混淆 Payload 的 AV 检出率,模拟 EDR 绕过技术(进程注入、DLL 侧加载、直接 syscall),并评估沙箱规避能力。
### 5. 持久化扫描 (`persistence_scan`)
审计注册表 Run 键、计划任务、WMI 事件订阅、启动文件夹和 Windows 服务,以发现持久化机制(映射至 MITRE ATT&CK)。
## 配置
战役由 YAML 配置文件驱动。生成默认配置:
```
redteam init-config -o my-campaign.yaml
```
自定义模块、超时、报告设置等。有关示例,请参见 `configs/`。
## 报告
每次战役后会自动生成您所选格式的报告:
- **PDF**:包含严重程度表格、详细发现结果和执行摘要的专业报告
- **HTML**:带有摘要卡片、颜色编码发现结果和响应式布局的深色主题仪表板
- **Markdown**:用于版本控制或与其他工具集成的纯文本报告
## 测试
```
# 运行所有带 coverage 的测试
pytest -v --cov=redteam --cov-report=term-missing
# 运行特定测试文件
pytest tests/test_modules.py -v
```
## 技术栈
| 组件 | 技术 |
|-----------|-----------|
| 引擎 | Python 3.10+ 支持 async |
| CLI | Click 8.x + Rich 13.x |
| 数据模型 | Pydantic v2 |
| 日志 | Loguru |
| 调度 | APScheduler 3.x |
| PDF 报告 | ReportLab 4.x |
| HTML 报告 | Jinja2 |
| 测试 | pytest + pytest-cov |
| 虚假数据 | Faker |
## MITRE ATT&CK 覆盖范围
| 战术 | 技术 | 模块 |
|--------|-----------|--------|
| 侦察 | T1595 - 主动扫描 | reconnaissance |
| 初始访问 | T1566 - 钓鱼 | phishing_simulation |
| 命令与控制 | T1071 - 应用层协议 | c2_emulator |
| 防御规避 | T1027 - 混淆文件 | evasion_check |
| 持久化 | T1547 - 启动/登录自启动 | persistence_scan |
## 作者
**Ismael Carlos Barros** — ismaelcarlosbarros404@gmail.com
## 许可证
MIT 许可证。详情请参阅 `LICENSE` 文件。
*专为攻击安全专业人员打造。请负责任地使用,并且仅在您拥有或获得明确授权测试的系统上使用。*
标签:C2仿真, DNS 反向解析, GitHub, IP 地址批量处理, 免杀测试, 安全规则引擎, 自动化攻击模拟, 逆向工具