infosecn1nja/Red-Teaming-Toolkit
GitHub: infosecn1nja/Red-Teaming-Toolkit
按 MITRE ATT&CK 攻击链阶段系统整理的红队与威胁狩猎开源工具合集,覆盖从侦察到数据外传的完整攻击生命周期。
Stars: 10260 | Forks: 2340
# 红队工具包
该仓库包含前沿的开源安全工具 (OST),可帮助您进行对手模拟,并为威胁猎手提供旨在使检测和预防控制更容易的信息。以下列出的工具可能会被威胁行为者(如 APT 和人工操作勒索软件)滥用。如果您想为此列表做出贡献,请向我发送 Pull Request。
## 目录
- [侦察](#Reconnaissance)
- [初始访问](#Initial-Access)
- [投递](#Delivery)
- [态势感知](#situational-awareness)
- [凭据转储](#credential-dumping)
- [权限提升](#privilege-escalation)
- [防御规避](#defense-evasion)
- [权限维持](#persistence)
- [横向移动](#lateral-movement)
- [数据窃取](#exfiltration)
- [其他](#miscellaneous)
## 侦察
|Name|Description|URL|
|-----|-----------|----|
|RustScan|现代端口扫描器。快速查找端口(最快只需 3 秒)。通过我们的脚本引擎运行脚本(支持 Python、Lua、Shell)。|https://github.com/RustScan/RustScan|
|Amass|深度攻击面映射与资产发现|https://github.com/OWASP/Amass|
|gitleaks|Gitleaks 是一个 SAST 工具,用于检测 git 仓库中硬编码的密码、API 密钥和 token 等秘密信息。|https://github.com/zricethezav/gitleaks|
|S3Scanner|扫描开放的 S3 存储桶并转储其内容|https://github.com/sa7mon/S3Scanner|
|cloud_enum|多云 OSINT 工具。枚举 AWS、Azure 和 Google Cloud 中的公共资源。|https://github.com/initstring/cloud_enum|
|Recon-ng|开源情报收集工具,旨在减少从开源中获取信息所花费的时间。|https://github.com/lanmaster53/recon-ng|
|buster|高级电子邮件侦察工具|https://github.com/sham00n/buster|
|linkedin2username|OSINT 工具:为 LinkedIn 上的公司生成用户名列表|https://github.com/initstring/linkedin2username|
|WitnessMe|Web 清单工具,使用 Pyppeteer(无头 Chrome/Chromium)对网页进行截图,并提供一些额外的功能让工作更轻松。|https://github.com/byt3bl33d3r/WitnessMe|
|pagodo|pagodo(被动 Google Dork) - 自动化 Google Hacking Database 抓取和搜索|https://github.com/opsdisk/pagodo|
|AttackSurfaceMapper|AttackSurfaceMapper 是一款旨在自动化侦察过程的工具。|https://github.com/superhedgy/AttackSurfaceMapper|
|SpiderFoot|SpiderFoot 是一个开源情报 (OSINT) 自动化工具。它集成了几乎所有可用的数据源,并利用多种方法进行数据分析,使数据易于浏览。|https://github.com/smicallef/spiderfoot|
|dnscan|dnscan 是一个基于 Python 字典的 DNS 子域扫描器。|https://github.com/rbsec/dnscan|
|spoofcheck|一个用于检查域是否可被伪造的程序。该程序检查 SPF 和 DMARC 记录中是否存在允许欺骗的薄弱配置。|https://github.com/BishopFox/spoofcheck|
|LinkedInt|LinkedIn 侦察工具|https://github.com/vysecurity/LinkedInt|
|BBOT|受 Spiderfoot 启发的递归互联网扫描器,但设计得更快、更可靠,对渗透测试人员、漏洞赏金猎人和开发者更友好。|https://github.com/blacklanternsecurity/bbot|
|Gato (Github Attack TOolkit)|Gato,即 GitHub 攻击工具包,是一个枚举和攻击工具,允许蓝队和进攻性安全从业者识别和利用 GitHub 组织的公共和私有仓库中的流水线漏洞。|https://github.com/praetorian-inc/gato|
## 初始访问
### 暴力破解
|Name|Description|URL|
|-----|-----------|----|
|SprayingToolkit|用于对 Lync/S4B、OWA 和 O365 进行密码喷洒攻击的脚本,使其更快捷、更轻松、更高效|https://github.com/byt3bl33d3r/SprayingToolkit|
|o365recon|使用有效凭据通过 O365 获取信息|https://github.com/nyxgeek/o365recon|
|CredMaster|重构并改进的 CredKing 密码喷洒工具,使用 FireProx API 轮换 IP 地址、保持匿名并突破速率限制|https://github.com/knavesec/CredMaster|
### 载荷开发
|Name|Description|URL|
|-----|-----------|----|
|Ivy|Ivy 是一个载荷创建框架,用于直接在内存中执行任意 VBA(宏)源代码。|https://github.com/optiv/Ivy|
|PEzor|开源 PE 打包器|https://github.com/phra/PEzor|
|GadgetToJScript|用于生成 .NET 序列化小工具的工具,当使用 JS/VBS/VBA 脚本中的 BinaryFormatter 进行反序列化时,可以触发 .NET 程序集加载/执行。|https://github.com/med0x2e/GadgetToJScript|
|ScareCrow|围绕 EDR 绕过设计的载荷创建框架。|https://github.com/optiv/ScareCrow|
|Donut|Donut 是一个位置无关代码,支持在内存中执行 VBScript、JScript、EXE、DLL 文件和 dotNET 程序集。 |https://github.com/TheWover/donut|
|Mystikal|macOS 初始访问载荷生成器|https://github.com/D00MFist/Mystikal|
|charlotte|C++ 完全免杀的 shellcode 启动器 ;)|https://github.com/9emin1/charlotte|
|InvisibilityCloak|用于 C# 后渗透工具的概念验证混淆工具包。它将为 C# Visual Studio 项目执行以下操作。|https://github.com/xforcered/InvisibilityCloak|
|Dendrobate|Dendrobate 是一个框架,旨在促进通过托管 .NET 代码挂钩非托管代码的载荷的开发。|https://github.com/FuzzySecurity/Dendrobate|
|Offensive VBA and XLS Entanglement|此仓库提供了 VBA 如何用于除简单释放器或 shellcode 注入器之外的进攻性目的的示例。随着我们开发更多用例,该仓库将不断更新。|https://github.com/BC-SECURITY/Offensive-VBA-and-XLS-Entanglement|
|xlsGen|微型 Excel BIFF8 生成器,用于在 *.xls 中嵌入 4.0 宏|https://github.com/aaaddress1/xlsGen|
|darkarmour|Windows AV 规避|https://github.com/bats3c/darkarmour|
|InlineWhispers|用于在 Cobalt Strike 的 Beacon Object Files (BOF) 中处理直接系统调用的工具|https://github.com/outflanknl/InlineWhispers|
|EvilClippy|用于创建恶意 MS Office 文档的跨平台助手。可以隐藏 VBA 宏、践踏 VBA 代码(通过 P-Code)并干扰宏分析工具。可在 Linux、OSX 和 Windows 上运行。|https://github.com/outflanknl/EvilClippy|
|OfficePurge|使用 OfficePurge 清除您的 Office 文档中的 VBA。VBA 清除将删除 Office 文档模块流中的 P-code。|https://github.com/fireeye/OfficePurge|
|ThreatCheck|识别 Microsoft Defender / AMSI Consumer 标记的字节。|https://github.com/rasta-mouse/ThreatCheck|
|CrossC2|生成 CobaltStrike 的跨平台载荷|https://github.com/gloxec/CrossC2|
|Ruler|Ruler 是一款允许您通过 MAPI/HTTP 或 RPC/HTTP 协议与 Exchange 服务器进行远程交互的工具。|https://github.com/sensepost/ruler|
|DueDLLigence|用于绕过应用程序白名单和 DLL 侧载的 shellcode 运行器框架。此项目中包含的 shellcode 会启动 calc.exe。|https://github.com/fireeye/DueDLLigence|
|RuralBishop|RuralBishop 实际上是 b33f 的 UrbanBishop 的翻版,但所有 P/Invoke 调用都已替换为 D/Invoke。|https://github.com/rasta-mouse/RuralBishop|
|TikiTorch|TikiTorch 的命名是为了向 Vincent Yiu 的 CACTUSTORCH 致敬。CACTUSTORCH 的基本概念是它生成一个新进程,分配一块内存,然后使用 CreateRemoteThread 在该目标进程中运行所需的 shellcode。进程和 shellcode 均由用户指定。|https://github.com/rasta-mouse/TikiTorch|
|SharpShooter|SharpShooter 是一个载荷创建框架,用于检索和执行任意 CSharp 源代码。SharpShooter 能够创建多种格式的载荷,包括 HTA、JS、VBS 和 WSF。|https://github.com/mdsecactivebreach/SharpShooter|
|SharpSploit|SharpSploit 是一个用 C# 编写的 .NET 后渗透利用库|https://github.com/cobbr/SharpSploit|
|MSBuildAPICaller|不使用 MSBuild.exe 的 MSBuild|https://github.com/rvrsh3ll/MSBuildAPICaller|
|macro_pack|macro_pack 是由 @EmericNasi 开发的工具,用于自动化混淆并生成用于渗透测试、演示和社会工程学评估的 MS Office 文档、VB 脚本和其他格式。|https://github.com/sevagas/macro_pack|
|inceptor|模板驱动的 AV/EDR 规避框架|https://github.com/klezVirus/inceptor|
|mortar|用于击败和转移安全产品(AV/EDR/XDR)检测与预防的规避技术|https://github.com/0xsp-SRD/mortar|
|ProtectMyTooling|多打包器包装器,允许我们将各种打包器、混淆器和其他红队导向的武器串联起来。具有工件水印、IOCs 收集和 PE 后门功能。你向其输入你的植入物,它会做很多隐蔽的事情并输出混淆后的可执行文件。|https://github.com/mgeeky/ProtectMyTooling|
|Freeze|Freeze 是一个载荷工具包,用于使用挂起进程、直接系统调用和替代执行方法绕过 EDR|https://github.com/optiv/Freeze|
|Shhhloader|Shhhloader 是一个正在开发中的 shellcode 加载器。它将原始 shellcode 作为输入,并编译一个 C++ 存根,通过许多不同的操作来尝试绕过 AV/EDR|https://github.com/icyguider/Shhhloader|
|DllShimmer|轻松将 DLL 劫持武器化。对任何 DLL 中的任何函数进行后门处理。|https://github.com/Print3M/DllShimmer|
## 投递
### 钓鱼
|Name|Description|URL|
|-----|-----------|----|
|o365-attack-toolkit|用于攻击 Office365 的工具包|https://github.com/mdsecactivebreach/o365-attack-toolkit|
|Evilginx2|Evilginx2 是一个中间人攻击框架,用于钓鱼任何 Web 服务的凭据和会话 cookie。|https://github.com/kgretzky/evilginx2|
|Gophish|Gophish 是一个开源的钓鱼工具包,专为企业单位和渗透测试人员设计。它提供了快速、轻松地设置和执行钓鱼活动及安全意识培训的能力。|https://github.com/gophish/gophish|
|PwnAuth|PwnAuth 是一个用于发起和管理 OAuth 滥用活动的 Web 应用框架。|https://github.com/fireeye/PwnAuth|
|Modlishka|Modlishka 是一个灵活且强大的反向代理,它将把你的合规钓鱼活动提升到一个新的水平。|https://github.com/drk1wi/Modlishka|
### 水坑攻击
|Name|Description|URL|
|-----|-----------|----|
|BeEF|BeEF 是浏览器利用框架的简称。它是一个专注于 Web 浏览器的渗透测试工具|https://github.com/beefproject/beef|
## 命令与控制
### 远程访问工具 (RAT)
|Name|Description|URL|
|-----|-----------|----|
|Cobalt Strike|Cobalt Strike 是一款用于对手模拟和红队行动的软件。|https://cobaltstrike.com/|
|SpecterInsight|SpecterInsight 是一个跨平台的后渗透命令与控制框架,基于 .NET,用于红队交战、威胁模拟和培训。它提供了开箱即用的各种混淆载荷,并将规避检测作为核心功能。命令输出以 JSON 格式返回,并导出到 ELK,通过预构建的仪表板进行操作分析。|https://practicalsecurityanalytics.com/specterinsight/|
|Brute Ratel C4|Brute Ratel当前 C2 市场中最先进的红队与对手模拟软件。|https://bruteratel.com/|
|Empire|Empire 5 是一个后渗透框架,包含一个纯 PowerShell 的 Windows 代理,并兼容 Python 3.x 的 Linux/OS X 代理。|https://github.com/BC-SECURITY/Empire|
|PoshC2|PoshC2 是一个支持代理的 C2 框架,旨在通过红队行动、后渗透和横向移动来辅助渗透测试人员。|https://github.com/nettitude/PoshC2|
|Koadic|Koadic C3 COM 命令与控制 - JScript RAT|https://github.com/zerosum0x0/koadic|
|merlin|Merlin 是一个用 Go 编写的跨平台后渗透命令与控制服务器和代理。|https://github.com/Ne0nd0g/merlin|
|Mythic|一个跨平台的后渗透红队框架,使用 python3、docker、docker-compose 和 Web 浏览器 UI 构建。|https://github.com/its-a-feature/Mythic|
|Covenant|Covenant 是一个 .NET 命令和控制框架,旨在突出 .NET 的攻击面,使进攻性 .NET 技巧的使用更容易,并作为红队人员的协作命令和控制平台。|https://github.com/cobbr/Covenant|
|shad0w|一个设计用于在高度监控环境中隐蔽运行的后渗透框架|https://github.com/bats3c/shad0w|
|Sliver|Sliver 是一个通用跨平台植入框架,支持通过 Mutual-TLS、HTTP(S) 和 DNS 进行 C2 通信。|https://github.com/BishopFox/sliver|
|SILENTTRINITY|由 Python 和 .NET 的 DLR 驱动的异步协作后渗透代理|https://github.com/byt3bl33d3r/SILENTTRINITY|
|Pupy|Pupy 是一个开源、跨平台(Windows、Linux、OSX、Android)的远程管理和后渗透工具,主要使用 Python 编写|https://github.com/n1nj4sec/pupy|
|Havoc|Havoc 是由 @C5pider 创建的一个现代化且可塑的后渗透命令与控制框架。|https://github.com/HavocFramework/Havoc|
|NimPlant|使用 Nim 和 Python 编写的轻型一阶 C2 植入物|https://github.com/chvancooten/NimPlant|
|SharpC2|SharpC2 是一个用 C# 编写的命令与控制 (C2) 框架。它由一个 ASP.NET Core Team Server、一个 .NET Framework 植入物和一个 .NET MAUI 客户端组成。|https://github.com/rasta-mouse/SharpC2|
|Loki|针对存在 Script-Jacking 漏洞的 Electron 应用程序的 Node.js 命令与控制工具|https://github.com/boku7/Loki|
|AdaptixC2|Adaptix 是一个为渗透测试人员打造的可扩展的后渗透和对手模拟框架。Adaptix 服务器使用 Golang 编写,以提供操作员的灵活性。|https://github.com/Adaptix-Framework/AdaptixC2|
|Nimhawk|一个用 Nim 编写的强大、模块化、轻量级且高效的命令与控制框架。|https://github.com/hdbreaker/Nimhawk|
### 分段
|Name|Description|URL|
|-----|-----------|----|
|pwndrop|面向红队人员的可自部署文件托管服务,允许通过 HTTP 和 WebDAV 轻松上传和共享载荷。|https://github.com/kgretzky/pwndrop|
|C2concealer|一个命令行工具,用于生成用于 Cobalt Strike 的随机 C2 malleable profile。|https://github.com/FortyNorthSecurity/C2concealer|
|FindFrontableDomains|搜索潜在的 frontable 域|https://github.com/rvrsh3ll/FindFrontableDomains|
|Domain Hunter|检查已过期域名的分类/信誉以及 Archive.org 的历史记录,以确定用于钓鱼和 C2 域名的良好候选者|https://github.com/threatexpress/domainhunter|
|RedWarden|灵活的 CobaltStrike Malleable 重定向器|https://github.com/mgeeky/RedWarden|
|AzureC2Relay|AzureC2Relay 是一个 Azure Function,它通过基于 Cobalt Strike Malleable C2 配置文件验证传入请求,来验证并中继 Cobalt Strike beacon 流量。|https://github.com/Flangvik/AzureC2Relay|
|C3|C3(自定义命令与控制)是一款允许红队快速开发和利用深奥命令与控制通道 (C2) 的工具。|https://github.com/FSecureLABS/C3|
|Chameleon|用于规避代理分类的工具|https://github.com/mdsecactivebreach/Chameleon|
|Cobalt Strike Malleable C2 Design and Reference Guide|Cobalt Strike Malleable C2 设计与参考指南|https://github.com/threatexpress/malleable-c2/|
|redirect.rules|快速简陋的动态 redirect.rules 生成器|https://github.com/0xZDH/redirect.rules|
|CobaltBus|Cobalt Strike 外部 C2 与 Azure Servicebus 的集成,通过 Azure Servicebus 进行 C2 流量传输|https://github.com/Flangvik/CobaltBus|
|SourcePoint|SourcePoint 是一个为 Cobalt Strike 命令与控制服务器设计的 C2 profile 生成器,旨在确保规避检测。|https://github.com/Tylous/SourcePoint|
|RedGuard|RedGuard 是一款 C2 前端流量控制工具,能够躲避蓝队、AVs、EDRs 的检查。|https://github.com/wikiZ/RedGuard|
|skyhook|一个用于绕过 IDS 检测的往返混淆 HTTP 文件传输设置。|https://github.com/blackhillsinfosec/skyhook|
|GraphStrike|通过 Microsoft Graph API 进行 Cobalt Strike HTTPS 信标通信|https://github.com/RedSiege/GraphStrike|
### 日志聚合
|Name|Description|URL|
|-----|-----------|----|
|RedELK|红队的 SIEM - 供红队用于跟踪和警报蓝队活动以及在长期行动中提供更好可用性的工具。|https://github.com/outflanknl/RedELK|
|Elastic for Red Teaming|使用 Elastic 配置红队 SIEM 的资源仓库。|https://github.com/SecurityRiskAdvisors/RedTeamSIEM|
|RedEye|RedEye 是一个支持红蓝队行动的可视化分析工具|https://github.com/cisagov/RedEye|
## 态势感知
### 主机态势感知
|Name|Description|URL|
|-----|-----------|----|
|AggressiveProxy|AggressiveProxy 是 .NET 3.5 二进制文件和 Cobalt Strike Aggressor 脚本 的组合。一旦在工作站上执行 LetMeOutSharp,它将尝试枚举所有可用的代理配置,并尝试使用识别出的代理配置通过 HTTP(s) 与 Cobalt Strike 服务器通信。|https://github.com/EncodeGroup/AggressiveProxy|
|Gopher|用于发现低垂果实(轻易可利用的漏洞)的 C# 工具|https://github.com/EncodeGroup/Gopher|
|SharpEDRChecker|检查正在运行的进程、进程元数据、加载到当前进程和每个 DLL 的元数据、常见安装目录、已安装的服务及每个服务二进制文件的元数据、已安装的驱动程序及每个驱动程序的元数据,以寻找是否存在已知的防御产品,如 AV、EDR 和日志工具。|https://github.com/PwnDexter/SharpEDRChecker|
|Situational Awareness BOF|此仓库旨在服务于两个目的。首先,它提供了一组在 BOF 中实现的良好基本态势感知命令。|https://github.com/trustedsec/CS-Situational-Awareness-BOF|
|Seatbelt|Seatbelt 是一个 C# 项目,从攻防双方的安全视角出发,执行大量面向安全的主机检查。|https://github.com/GhostPack/Seatbelt|
|SauronEye|SauronEye 是一个旨在帮助红队查找包含特定关键词的文件而构建的搜索工具。|https://github.com/vivami/SauronEye|
|SharpShares|用于枚举域中可访问网络共享的多线程 C# .NET 程序集|https://github.com/mitchmoser/SharpShares|
|SharpAppLocker|具有扩展功能的 Get-AppLockerPolicy PowerShell cmdlet 的 C# 移植版。包括过滤和搜索特定类型的规则和操作的能力。|https://github.com/Flangvik/SharpAppLocker/|
|SharpPrinter|Printer 是 ListNetworks 的修改版和控制台版|https://github.com/rvrsh3ll/SharpPrinter|
### 域态势感知
|Name|Description|URL|
|-----|-----------|----|
|StandIn|StandIn 是一个小型 AD 后渗透工具包。StandIn 的出现是因为最近在 xforcered 我们需要一个 .NET 原生解决方案来执行基于资源的约束委派。|https://github.com/FuzzySecurity/StandIn|
|Recon-AD|基于 ADSI 和反射式 DLL 的 AD 侦察工具|https://github.com/outflanknl/Recon-AD|
|BloodHound|六度域管|https://github.com/BloodHoundAD/BloodHound|
|PSPKIAudit|用于审计 Active Directory 证书服务 (AD CS) 的 PowerShell 工具包。|https://github.com/GhostPack/PSPKIAudit|
|SharpView|harmj0y 的 PowerView 的 C# 实现|https://github.com/tevora-threat/SharpView|
|Rubeus|Rubeus 是一个用于原始 Kerberos 交互和滥用的 C# 工具集。它深受 Benjamin Delpy 的 Kekeo 项目(CC BY-NC-SA 4.0 许可证)和 Vincent LE TOUX 的 MakeMeEnterpriseAdmin 项目(GPL v3.0 许可证)的启发。 |https://github.com/GhostPack/Rubeus|
|nanorobeus|用于管理 Kerberos 票据的极简工具。支持红队框架|https://github.com/wavvs/nanorobeus|
|Grouper|用于帮助发现 AD 组策略中易受攻击设置的 PowerShell 脚本。(已弃用,请改用 Grouper2!)|https://github.com/l0ss/Grouper|
|ImproHound|识别 BloodHound 中破坏您的 AD 分层结构的攻击路径|https://github.com/improsec/ImproHound|
|ADRecon|ADRecon 是一款用于收集有关 Active Directory 信息的工具,它生成的报告可以提供目标 AD 环境当前状态的整体情况。|https://github.com/adrecon/ADRecon|
|ADCSPwn|一款通过强制从机器帐户进行身份验证并中继到证书服务,从而在 Active Directory 网络中提升权限的工具。|https://github.com/bats3c/ADCSPwn|
## 凭据转储
|Name|Description|URL|
|-----|-----------|----|
|Mimikatz|Mimikatz 是一个开源应用程序,允许用户查看和保存身份验证凭据(如 Kerberos 票据)。|https://github.com/gentilkiwi/mimikatz|
|Dumpert|使用直接系统调用和 API unhooking 的 LSASS 内存转储器。|https://github.com/outflanknl/Dumpert|
|CredBandit| CredBandit 是一个概念验证的 Beacon Object File (BOF),它使用静态 x64 系统调用来执行进程的完整内存转储,并通过您现有的 Beacon 通信通道将其发送回去。|https://github.com/xforcered/CredBandit|
|CloneVault|CloneVault 允许红队操作员导出和导入条目,包括来自 Windows 凭据管理器的属性。 |https://github.com/mdsecactivebreach/CloneVault|
|SharpLAPS|从 LDAP 获取 LAPS 密码|https://github.com/swisskyrepo/SharpLAPS|
|SharpDPAPI|SharpDPAPI 是 @gentilkiwi 的 Mimikatz 项目中部分 DPAPI 功能的 C# 移植版。|https://github.com/GhostPack/SharpDPAPI|
|KeeThief|允许从内存中提取 KeePass 2.X 密钥材料,以及对 KeePass 触发器系统进行后门攻击和枚举。|https://github.com/GhostPack/KeeThief|
|SafetyKatz|SafetyKatz 是 @gentilkiwi 的 Mimikatz 项目的略微修改版和 @subtee 的 .NET PE Loader 的组合。|https://github.com/GhostPack/SafetyKatz|
|forkatz|使用 forshaw 技术和 SeTrustedCredmanAccessPrivilege 进行的凭据转储|https://github.com/Barbarisch/forkatz|
|PPLKiller|用于绕过 LSA 保护(即 Protected Process Light)的工具|https://github.com/RedCursorSecurityConsulting/PPLiller|
|LaZagne|LaZagne 项目是一个开源应用程序,用于检索存储在本地计算机上的大量密码。|https://github.com/AlessandroZ/LaZagne|
|AndrewSpecial|AndrewSpecial,自 2019 年以来隐蔽地转储 lsass 内存并绕过 "Cilence"。|https://github.com/hoangprod/AndrewSpecial|
|Net-GPPPassword|Get-GPPPassword 的 .NET 实现。检索通过组策略首选项推送的帐户明文密码和其他信息。|https://github.com/outflanknl/Net-GPPPassword|
|SharpChromium|.NET 4.0 CLR 项目,用于检索 Chromium 数据,如 cookies、历史记录和保存的登录信息。|https://github.com/djhohnstein/SharpChromium|
|Chlonium|Chlonium 是一个旨在克隆 Chromium Cookies 的应用程序。|https://github.com/rxwx/chlonium|
|SharpCloud|SharpCloud 是一个简单的 C# 实用程序,用于检查与 Amazon Web Services、Microsoft Azure 和 Google Compute 相关的凭据文件是否存在。|https://github.com/chrismaddalena/SharpCloud|
|pypykatz|纯 Python 实现的 Mimikatz。至少是其中的一部分 :)|https://github.com/skelsec/pypykatz|
|nanodump|一个创建 LSASS 进程 minidump 的 Beacon Object File。|https://github.com/helpsystems/nanodump|
|Koh|Koh 是一个 C# 和 Beacon Object File (BOF) 工具集,允许通过有目的的 token/logon session 泄露来捕获用户凭据材料。|https://github.com/GhostPack/Koh|
|PPLBlade|受保护进程转储工具,支持混淆内存转储并将其传输到远程工作站而不会将其存放到磁盘上。|https://github.com/tastypepperoni/PPLBlade|
|TrickDump|仅使用 NTAPIS 运行 3 个程序来转储 lsass,以创建 3 个 JSON 和 1 个 ZIP 文件...并稍后生成 Minidump!|https://github.com/ricardojoserf/TrickDump|
|RemoteMonologue|RemoteMonologue 是一种 Windows 凭据收集技术,它通过利用 Interactive User RunAs 键并通过 DCOM 强制进行 NTLM 身份验证来实现远程用户沦陷。|https://github.com/3lp4tr0n/RemoteMonologue|
## 权限提升
|Name|Description|URL|
|-----|-----------|----|
|ElevateKit|Elevate Kit 演示了如何将第三方权限提升攻击与 Cobalt Strike 的 Beacon 载荷结合使用。|https://github.com/rsmudge/ElevateKit|
|Watson|Watson 是一个 .NET 工具,旨在枚举缺失的 KB 并建议针对权限提升漏洞的利用方法。|https://github.com/rasta-mouse/Watson|
|SharpUp|SharpUp 是各种 PowerUp 功能的 C# 移植版。目前,仅移植了最常见的检查;尚未实现武器化功能。|https://github.com/GhostPack/SharpUp|
|dazzleUP|一款检测由于 Windows 操作系统中的错误配置和缺失更新而导致权限提升漏洞的工具。dazzleUP 可检测以下漏洞。|https://github.com/hlldz/dazzleUP|
|PEASS|权限提升的绝佳脚本套装 (带颜色)|https://github.com/carlospolop/PEASS-ng|
|SweetPotato|从服务帐户到 SYSTEM 的各种原生 Windows 权限提升技术集合|https://github.com/CCob/SweetPotato|
|MultiPotato| 另一个通过 SeImpersonate 权限获取 SYSTEM 的 Potato |https://github.com/S3cur3Th1sSh1t/MultiPotato|
|KrbRelayUp|在未强制执行 LDAP 签名(默认设置)的 Windows 域环境中的一个通用无补丁本地权限提升漏洞。|https://github.com/Dec0ne/KrbRelayUp|
|GodPotato|只要你拥有 ImpersonatePrivilege 权限,你就是 SYSTEM!|https://github.com/BeichenDream/GodPotato|
|PrivKit|PrivKit 是一个简单的 beacon object file,用于检测由 Windows OS 上的错误配置引起的权限提升漏洞。|https://github.com/mertdas/PrivKit|
## 防御规避
|Name|Description|URL|
|-----|-----------|----|
|RefleXXion|RefleXXion 是一款旨在帮助绕过由 AV/EPP/EDR 等利用的用户模式挂钩的实用工具。|https://github.com/hlldz/RefleXXion|
|EDRSandBlast|EDRSandBlast 是一款用 C 语言编写的工具,它利用易受攻击的签名驱动程序作为武器来绕过 EDR 检测(内核回调和 ETW TI 提供程序)和 LSASS 保护。|https://github.com/wavestone-cdt/EDRSandblast|
|unDefender|通过滥用本机符号链接和 NT 路径来杀死你偏爱的反恶意软件。|https://github.com/APTortellini/unDefender|
|Backstab|一款用于杀死受反恶意软件保护的进程的工具|https://github.com/Yaxser/Backstab|
|SPAWN - Cobalt Strike BOF|生成一个牺牲进程、向其注入 shellcode 并执行载荷的 Cobalt Strike BOF。旨在通过使用 Arbitrary Code Guard (ACG)、BlockDll 和 PPID 欺骗生成牺牲进程来规避 EDR/UserLand hooks。|https://github.com/boku7/spawn|
|BOF.NET - A .NET Runtime for Cobalt Strike's Beacon Object Files|BOF.NET 是一个小型的本机 BOF 对象,与 BOF.NET 托管运行时相结合,能够直接在 .NET 中开发 Cobalt Strike BOF。BOF.NET 消除了本机编译的复杂性以及手动导入本机 API 的繁琐工作。|https://github.com/CCob/BOF.NET|
|NetLoader|从文件路径或 URL 加载任何 C# 二进制文件,在运行时修补 AMSI 并绕过 Windows Defender|https://github.com/Flangvik/NetLoader|
|FindObjects-BOF|一个 Cobalt Strike Beacon Object File (BOF) 项目,它使用直接系统调用来枚举进程以查找特定的模块或进程句柄。|https://github.com/outflanknl/FindObjects-BOF|
|SharpUnhooker|基于 C# 的通用 API Unhooker - 自动解钩 API 库。|https://github.com/GetRektBoy724/SharpUnhooker|
|EvtMute|对 Windows 事件日志报告的事件应用过滤器|https://github.com/bats3c/EvtMute|
|InlineExecute-Assembly|InlineExecute-Assembly 是一个概念验证的 Beacon Object File (BOF),允许安全专业人员在进程内执行 .NET 程序集,作为 Cobalt Strike 传统 fork&run 的 execute-assembly 模块的替代方案|https://github.com/xforcered/InlineExecute-Assembly|
|Phant0m | Windows 事件日志杀手|https://github.com/hlldz/Phant0m|
|SharpBlock|一种通过阻止入口点执行来绕过 EDR 主动投影 DLL 的方法。|https://github.com/CCob/SharpBlock|
|NtdllUnpatcher|用于绕过 EDR 的示例代码,请使用此代码针对此类将绕过 EDR 用户态挂钩的恶意软件,来测试蓝队的检测能力。|https://github.com/Kharos102/NtdllUnpatcher|
|DarkLoadLibrary|用于进攻性操作的 LoadLibrary。|https://github.com/bats3c/DarkLoadLibrary|
|BlockETW|.Net 3.5 / 4.5 程序集,用于阻止进程中的 ETW 遥测|https://github.com/Soledge/BlockEtw|
|firewalker|此仓库包含一个简单的库,可用于为现有代码添加 FireWalker hook 绕过功能|https://github.com/mdsecactivebreach/firewalker|
|KillDefenderBOF|KillDefender 的 Beacon Object File 概念验证实现|https://github.com/Cerbersec/KillDefenderBOF|
|Mangle|Mangle 是一款用于操纵已编译可执行文件(.exe 或 DLL)各方面的工具,以避免被 EDR 检测|https://github.com/optiv/Mangle|
|AceLdr|用于内存扫描器规避的 Cobalt Strike UDRL。|https://github.com/kyleavery/AceLdr|
|AtomLdr|具有高级规避功能的 C# DLL 加载器|https://github.com/NUL0x4C/AtomLdr|
|Inline-Execute-PE|在 CobaltStrike Beacons 中执行非托管的 Windows 可执行文件|https://github.com/Octoberfest7/Inline-Execute-PE|
|SigFlip|SigFlip 是一款用于修补具有 Authenticode 签名的 PE 文件(exe、dll、sys 等)的工具,且不会使现有签名失效或破坏。|https://github.com/med0x2e/SigFlip|
|Blackout|杀死受反恶意软件保护的进程 (BYOVD)|https://github.com/ZeroMemoryEx/Blackout|
|ShellGhost|一种基于内存的规避技术,使 shellcode 从进程开始到结束都不可见。|https://github.com/lem0nSec/ShellGhost
|PoolPartyBof|由 @SafeBreach 和 @0xDeku 编写的 PoolParty 进程注入技术的 beacon object file 实现,该技术滥用 Windows 线程池。|https://github.com/0xEr3bus/PoolPartyBof|
|EDRSilencer|一款使用 Windows Filtering Platform (WFP) 阻止终端检测和响应 (EDR) 代理向服务器报告安全事件的工具|https://github.com/netero1010/EDRSilencer|
|EDR-Freeze|EDR-Freeze 是一款可将 EDR、AntiMalware 的进程置于假死状态的工具。|https://github.com/TwoSevenOneT/EDR-Freeze|
## 权限维持
|Name|Description|URL|
|-----|-----------|----|
|SharpStay|用于安装权限维持的 .NET 项目|https://github.com/0xthirteen/SharpStay|
|SharPersist|用 C# 编写的 Windows 权限维持工具包。|https://github.com/fireeye/SharPersist|
|SharpHide|用于创建隐藏注册表键的工具。|https://github.com/outflanknl/SharpHide|
|DoUCMe|利用 NetUserAdd Win32 API 创建一个新的计算机账户。这是通过将 USER_INFO_1 类型的 usri1_priv 设置为 0x1000 来实现的。|https://github.com/Ben0xA/DoUCMe|
|A Black Path Toward The Sun|(用于 Web 应用程序服务器的基于 HTTP 的 TCP 隧道)|https://github.com/nccgroup/ABPTTS|
|pivotnacci|一款通过 HTTP 代理建立 socks 连接的工具|https://github.com/blackarrowsec/pivotnacci|
|reGeorg|reDuh 的继任者,攻陷堡垒 Web 服务器并通过 DMZ 创建 SOCKS 代理。进行内网穿透并攻陷目标。|https://github.com/sensepost/reGeorg|
|DAMP|自主 ACL 修改项目:通过基于主机的安全描述符修改实现权限维持。|https://github.com/HarmJ0y/DAMP|
|IIS-Raid|一个用于 Microsoft IIS (Internet Information Services) 的本机后门模块|https://github.com/0x09AL/IIS-Raid|
|SharPyShell|用于 C# Web 应用程序的微型混淆 ASP.NET webshell|https://github.com/antonioCoco/SharPyShell|
|ScheduleRunner|一款 C# 工具,具有更高的灵活性,可为红队行动中的权限维持和横向移动自定义计划任务|https://github.com/netero1010/ScheduleRunner|
|SharpEventPersist|通过向事件日志写入/读取 shellcode 实现权限维持|https://github.com/improsec/SharpEventPersist|
|Kraken|Kraken,一个由 @secu_x11 编码的模块化多语言 webshell。|https://github.com/kraken-ng/Kraken|
|HiddenDesktop|Cobalt Strike 的 HVNC|https://github.com/WKL-Sec/HiddenDesktop|
## 横向移动
|Name|Description|URL|
|-----|-----------|----|
|Liquid Snake|LiquidSnake 是一款允许操作员使用 WMI 事件订阅和 GadgetToJScript 执行无文件横向移动的工具|https://github.com/RiccardoAncarani/LiquidSnake|
|PowerUpSQL|用于攻击 SQL Server 的 PowerShell 工具包|https://github.com/NetSPI/PowerUpSQL|
|SQLRecon|专为进攻性侦察和后渗透设计的 C# MS SQL 工具包。|https://github.com/skahwah/SQLRecon|
|SCShell|依赖 ChangeServiceConfigA 运行命令的无文件横向移动工具|https://github.com/Mr-Un1k0d3r/SCShell|SharpRDP|用于已验证命令执行的远程桌面协议控制台应用程序|https://github.com/0xthirteen/SharpRDP|
|MoveKit|Movekit 是内置 Cobalt Strike 横向移动的扩展,通过利用 execute_assembly 函数配合 SharpMove 和 SharpRDP .NET 程序集来实现。|https://github.com/0xthirteen/MoveKit|
|SharpNoPSExec|用于横向移动的无文件命令执行。|https://github.com/juliourena/SharpNoPSExec|
|Responder/MultiRelay|LLMNR/NBT-NS/mDNS 投毒器和 NTLMv1/2 中继。|https://github.com/lgandx/Responder|
|impacket|Impacket 是一个用于处理网络协议的 Python 类集合。Impacket 专注于为数据包提供低级别的编程访问,并为某些协议(例如 SMB1-3 和 MSRPC)提供协议实现本身。|https://github.com/SecureAuthCorp/impacket|
|Farmer|Farmer 是一个用于在 Windows 域中收集 NetNTLM 哈希的项目。 |https://github.com/mdsecactivebreach/Farmer|
|CIMplant|WMImplant 的 C# 移植版,它使用 CIM 或 WMI 查询远程系统。它可以使用提供的凭据或当前用户的会话。|https://github.com/FortyNorthSecurity/CIMplant|
|PowerLessShell|PowerLessShell 依赖 MSBuild.exe 远程执行 PowerShell 脚本和命令,而不会生成 powershell.exe。您也可以使用相同的方法执行原始 shellcode。|https://github.com/Mr-Un1k0d3r/PowerLessShell|
|SharpGPOAbuse|SharpGPOAbuse 是一个用 C# 编写的 .NET 应用程序,可用于利用用户对组策略对象 (GPO) 的编辑权限,以破坏由该 GPO 控制的对象。|https://github.com/FSecureLABS/SharpGPOAbuse|
|kerbrute|一款用于通过 Kerberos 预身份验证快速暴力破解和枚举有效 Active Directory 账户的工具|https://github.com/ropnop/kerbrute|
|mssqlproxy|mssqlproxy 是一个工具包,旨在通过受损的 Microsoft SQL Server 并利用 socket reuse 在受限环境中执行横向移动|https://github.com/blackarrowsec/mssqlproxy|
|Invoke-TheHash|PowerShell 哈希传递工具|https://github.com/Kevin-Robertson/Invoke-TheHash|
|InveighZero|面向渗透测试人员的 .NET IPv4/IPv6 中间人工具|https://github.com/Kevin-Robertson/InveighZero|
|SharpSpray|SharpSpray 一个简单的代码集,用于使用 LDAP 对域中所有用户执行密码喷洒攻击,并兼容 Cobalt Strike。|https://github.com/jnqpblc/SharpSpray|
|CrackMapExec|网络渗透测试的瑞士军刀|https://github.com/byt3bl33d3r/CrackMapExec|
|SharpAllowedToAct|基于 @elad_shamir 的研究,通过基于资源的约束委派 实现计算机对象接管的 C# 实现。|https://github.com/pkb1s/SharpAllowedToAct|
|SharpRDPHijack|Sharp RDP Hijack 是一个概念验证的 .NET/C# 远程桌面协议 (RDP) 会话劫持实用程序,针对断开会话|https://github.com/bohops/SharpRDPHijack|
|CheeseTools|此仓库是基于已存在的 MiscTool 构建的,因此非常感谢 rasta-mouse 发布它们,并为我提供了研究它们的正确动力。|https://github.com/klezVirus/CheeseTools|
|LatLoader|用于演示使用 Havoc C2 框架进行自动化横向移动的概念验证模块。|https://github.com/icyguider/LatLoader|
|SharpSpray|SharpSpray 是一款用 .NET C# 编写的 Windows 域密码喷洒工具。|https://github.com/iomoath/SharpSpray|
|MalSCCM|此工具允许您滥用本地或远程 SCCM 服务器,以向其管理的主机部署恶意应用程序。|https://github.com/nettitude/MalSCCM
|Coercer|一个 Python 脚本,用于通过 9 种方法自动强制 Windows 服务器在任意机器上进行身份验证。|https://github.com/p0dalirius/Coercer|
|SharpSploit|SharpSploit 是一个用 C# 编写的 .NET 后渗透利用库,旨在突出 .NET 的攻击面,并使红队人员更容易使用进攻性的 .NET 技巧。|https://github.com/cobbr/SharpSploit|
|orpheus|通过修改 KDC 选项和加密类型绕过 Kerberoast 检测|https://github.com/trustedsec/orpheus|
|goexec|GoExec 是对用于在 Windows 设备上获得远程执行的一些方法的新尝试。GoExec 实现了许多很大程度上未实现的执行方法,并在整体上提供了显著的 OPSEC 改进。|https://github.com/FalconOpsLLC/goexec|
|BitlockMove|通过 Bitlocker DCOM 接口和 COM 劫持进行横向移动|https://github.com/rtecCyberSec/BitlockMove|
### 隧道
|Name|Description|URL|
|-----|-----------|----|
|Chisel|Chisel 是一个快速的 TCP/UDP 隧道,通过 HTTP 传输,通过 SSH 加密。包含客户端和服务器的单一可执行文件。|https://github.com/jpillora/chisel|
|frp|frp 是一个快速的反向代理,允许您将位于 NAT 或防火墙后面的本地服务器暴露给 Internet。|https://github.com/fatedier/frp|
|ligolo-ng|一个先进但简单的使用 TUN 接口的隧道工具。|https://github.com/nicocha30/ligolo-ng|
|SockTail|SockTail 是一个将设备加入 Tailscale 网络并在端口 1080 上暴露本地 SOCKS5 代理的小型二进制文件。它适用于需要访问目标系统网络而又不想设置古怪的端口转发、持久化守护程序或嘈杂隧道的红队行动。|https://github.com/Yeeb1/SockTail|
## 数据窃取
|Name|Description|URL|
|-----|-----------|----|
|SharpExfiltrate|通过安全可信通道窃取赃物的模块化 C# 框架。|https://github.com/Flangvik/SharpExfiltrate|
|DNSExfiltrator|通过 DNS 请求隐蔽通道进行数据窃取|https://github.com/Arno0x/DNSExfiltrator|
|Egress-Assess|Egress-Assess 是一款用于测试出站数据检测能力的工具。|https://github.com/FortyNorthSecurity/Egress-Assess|
|VeilTransfer|VeilTransfer 是一款旨在测试和增强检测能力的数据窃取工具。该工具模拟高级威胁行为者使用的真实世界数据窃取技术,允许组织评估和改善其安全态势。|https://github.com/infosecn1nja/VeilTransfer|
## 其他
### 威胁知情防御
|Name|Description|URL|
|-----|-----------|----|
|Tidal Cyber|Tidal Cyber 帮助企业组织定义、衡量和改进其防御能力,以应对对他们最重要的对手行为。|https://app.tidalcyber.com|
|Control Validation Compass|威胁建模助手和紫队内容仓库,为安全和情报团队指向 10,000 多个可公开访问的技术和策略控制以及 2,100 多项进攻性安全测试,并与近 600 种常见攻击者技术保持一致|https://controlcompass.github.io|
### 云
#### Amazon Web Services (AWS)
|Name|Description|URL|
|-----|-----------|----|
|pacu|AWS 利用框架,专为测试 Amazon Web Services 环境的安全性而设计。|https://github.com/RhinoSecurityLabs/pacu|
|CloudMapper|CloudMapper 帮助您分析您的 Amazon Web Services (AWS) 环境。|https://github.com/duo-labs/cloudmapper|
|Enumerate IAM permissions|枚举与 AWS 凭据集关联的权限|https://github.com/andresriancho/enumerate-iam|
#### Azure
|Name|Description|URL|
|-----|-----------|----|
|Azure AD Connect password extraction|此工具包提供了多种方法来从 Azure AD Connect 服务器中提取和解密存储的 Azure AD 和 Active Directory 凭据。|https://github.com/fox-it/adconnectdump|
|Storm Spotter|用于绘制 Azure 和 Azure Active Directory 对象关系图的 Azure 红队工具|https://github.com/Azure/Stormspotter|
|ROADtools|Azure AD 探索框架。|https://github.com/dirkjanm/ROADtools|
|MicroBurst: A PowerShell Toolkit for Attacking Azure|用于评估 Microsoft Azure 安全的脚本集合|https://github.com/NetSPI/MicroBurst|
|AADInternals|用于管理 Azure AD 和 Office 365 的 AADInternals PowerShell 模块|https://github.com/Gerenios/AADInternals|
|TeamFiltration|TeamFiltration 是一个跨平台框架,用于枚举、喷洒、窃取和后门 O365 AAD 账户。|https://github.com/Flangvik/TeamFiltration|
|MAAD Attack Framework|一款用于简单、快速和有效的 M365 与 Azure AD 安全测试的攻击工具。|https://github.com/vectra-ai-research/MAAD-AF|
|GraphRunner|用于与 Microsoft Graph API 交互的后渗透工具集|https://github.com/dafthack/GraphRunner/|
|ADOKit|ADOKit 是一个可利用 REST API 攻击 Azure DevOps Services 的工具包|https://github.com/xforcered/ADOKit|
|TokenTactics|Azure JWT Token 操纵工具集|https://github.com/rvrsh3ll/TokenTactics|
|Maestro|Maestro 是一款后渗透工具,旨在从用户工作站上的 C2 代理与 Intune/EntraID 交互,而无需知道用户密码或进行 Azure 身份验证流程、token 操纵以及基于 Web 的管理控制台操作。|https://github.com/Mayyhem/Maestro|
### 对手模拟
|Name|Description|URL|
|-----|-----------|----|
|Stratus Red Team|Stratus Red Team 是云端的 "Atomic Red Team™",允许以细粒度和自包含的方式模拟进攻性攻击技术。|https://github.com/DataDog/stratus-red-team|
|Prelude Operator|开发者优先的高级安全平台。通过模拟真实的对抗性攻击来保护您的组织。|https://www.preludesecurity.com/products/operator|
|Prelude Build|一个开源 IDE,用于编写、测试和验证可用于生产环境的安全测试。|https://www.preludesecurity.com/products/build|
|Caldera|一个自动化的对手模拟系统,在 Windows 企业网络中执行后渗透对抗行为。|https://github.com/mitre/caldera|
|APTSimulator|一个 Windows 批处理脚本,使用一组工具和输出文件使系统看起来像已被攻陷。|https://github.com/NextronSystems/APTSimulator|
|Atomic Red Team|映射到 Mitre ATT&CK 框架的小巧且高度便携的检测测试。|https://github.com/redcanaryco/atomic-red-team|
|Network Flight Simulator|flightsim 是一个轻量级实用程序,用于生成恶意网络流量并帮助安全团队评估安全控制和网络可见性。|https://github.com/alphasoc/flightsim|
|Metta|一个用于进行对手模拟的安全准备工具。|https://github.com/uber-common/metta|
|Red Team Automation (RTA)| RTA 提供了一个脚本框架,旨在让蓝团队根据模仿 MITRE ATT&CK 的恶意行为测试其检测能力。|https://github.com/endgameinc/RTA|
|TTPForge|TTPForge 是一个创建用于促进战术、技术和程序 的开发、自动化和执行的框架。|https://github.com/facebookincubator/TTPForge|
### Living Off the Living Off the Land
|Name|Description|URL|
|-----|-----------|----|
|Living Off The Land Drivers|Living Off The Land Drivers 是一个精心策划的 Windows 驱动程序列表,对手可利用这些驱动程序绕过安全控制并实施攻击|https://www.loldrivers.io/|
|GTFOBins|GTFOBins 是一个精心策划的 Unix 二进制文件列表,可用于绕过配置不当系统中的本地安全限制|https://gtfobins.github.io|
|LOLBAS|LOLBAS 项目的目标是记录每个可用于 Living Off The Land 技术的二进制文件、脚本和库|https://lolbas-project.github.io/|
|Living Off Trusted Sites (LOTS) Project|攻击者在进行钓鱼、C&C、窃取数据和下载工具时正在使用流行的合法域以规避检测。下面列出的网站允许攻击者使用他们的域或子域|https://lots-project.com|
|Filesec|随时了解攻击者正在使用的最新文件扩展名。|https://filesec.io/|
|LOOBins|Living Off the Orchard: macOS Binaries (LOOB) 旨在提供有关各种内置 macOS 二进制文件以及威胁行为者如何将其用于恶意目的的详细信息。|https://www.loobins.io/|
|WTFBins|WTFBin(n):行为与恶意软件完全相同,但不知何故却不是恶意软件的二进制文件?该项目旨在编目表现出可疑行为的良性应用程序。这些二进制文件可能会在威胁狩猎和自动检测中产生噪音和误报。|https://wtfbins.wtf/|
|Hijack Libs|此项目提供了精心策划的 DLL 劫持候选列表|https://hijacklibs.net|
### 红队脚本
|Name|Description|URL|
|-----|-----------|----|
|RedTeamCCode|红队 C 代码仓库|https://github.com/Mr-Un1k0d3r/RedTeamCCode|
|EDRs|此仓库包含有关 EDR 的信息,在红队演练期间可能很有用。|https://github.com/Mr-Un1k0d3r/EDRs|
|Cobalt Strike Community Kit|Community Kit 是由用户社区编写的扩展中央仓库,旨在扩展 Cobalt Strike 的功能。|https://cobalt-strike.github.io/community_kit/|
### 红队基础设施
|Name|Description|URL|
|-----|-----------|----|
|Red Team Infrastructure Wiki|收集红队基础设施加固资源的 Wiki|https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki|
### DevOps
|Name|Description|URL|
|-----|-----------|----|
|Nemesis|Nemesis 是一个攻击性数据富集流水线和操作员支持系统。|https://github.com/SpecterOps/Nemesis|
### 报告与跟踪
|Name|Description|URL|
|-----|-----------|----|
|Ghostwriter|Ghostwriter 是一个基于 Django 的 Web 应用程序,旨在供单个红队操作员或红队团队使用。|https://github.com/GhostManager/Ghostwriter|
|VECTR|VECTR 是一款便于跟踪您的红蓝队测试活动,以衡量不同攻击场景中的检测和预防能力的工具|https://github.com/SecurityRiskAdvisors/VECTR|
|PurpleOps|一个开源的自托管紫队管理 Web 应用程序。|https://github.com/CyberCX-STA/PurpleOps|
### 威胁情报
|Name|Description|URL|
|-----|-----------|----|
|APT REPORT|有趣的 APT 报告合集和一些特殊的 IOC|https://github.com/blackorbird/APT_REPORT|
|Awesome Threat Intelligence|精选的绝佳威胁情报资源列表|https://github.com/hslatman/awesome-threat-intelligence|
|deepdarkCTI|来自深网和暗网的网络威胁情报来源集合|https://github.com/fastfire/deepdarkCTI|
|CTI Dashboard|随时实时了解网络安全威胁!在一个地方访问各种威胁情报供应商的报告和有用的资源。|https://start.me/p/wMrA5z/cyber-threat-intelligence|
|Hudson Rock|免费的网络犯罪情报工具集,用于检查电子邮件地址或域名是否在 Infostealer 恶意软件攻击中遭到泄露|https://www.hudsonrock.com/threat-intelligence-cybercrime-tools|
## 许可证
[](http://creativecommons.org/publicdomain/zero/1.0)
在法律允许的范围内,Rahmat Nurfauzi "@infosecn1nja" 已放弃对该作品的所有版权及相关或邻接权利。
标签:AD攻击面, AI合规, APT攻击, CISA项目, HTTP/HTTPS抓包, IP 地址批量处理, PE 加载器, 凭据窃取, 初始访问, 勒索软件, 协议分析, 可视化界面, 多人体追踪, 子域名变形, 安全工具集, 安全清单, 安全资源收集, 实时处理, 密码管理, 开源安全工具, 态势感知, 投递, 攻击模拟, 数据窃取, 日志审计, 权限提升, 横向移动, 私有化部署, 编程规范, 网络安全, 网络安全仓库, 请求拦截, 逆向工具, 逆向工程平台, 防御规避, 隐私保护, 驱动签名利用