Loading... # 中国红队工具箱分析 # 一、概述 ## 1. 背景 中国网络安全行业在过去几年中被广泛记录和分析。自 I-Soon 泄密事件及后续事件曝光以来,越来越清楚的是,部分私营商业部门有时会代表中国政府从事网络攻击行动。 ## 2. 获取渠道 通过特殊渠道,获得了一份来自中国活跃渗透测试人员和安全分析师的工具箱。 ## 3. 分析目的 本文旨在分析中国渗透测试专业人员使用的工具集合,了解中国红队的工具生态和工作模式。 ## 4. 免责声明 这些软件包并非明确由中国 APT 组织或国家级黑客使用,而是提供了基层士兵可能使用的工具概览。 # 二、工具分类 ## 1. BURP Suite 及插件 Burp Suite 由 PortSwigger 开发,是全球范围内流行的渗透测试和安全工具,在中国渗透测试人员中同样广受欢迎。 ### A. 中国开发的插件 | 插件名称 | 功能描述 | 状态 | |---------|---------|------| | ByPassPro | 基于 AutoBypass403 的自动化权限绕过工具 | 活跃 | | Domain Hunter Pro | Burp 目标信息管理集成 | 活跃 | | MingDong | 丰富的 Burp Suite 插件集合,提供中文本地化版本 | 较老 | | OneScan | 递归目录扫描插件 | 2025年6月停止维护 | | Turbo-intruder | PortSwigger 的补充插件,发送大量 HTTP 请求 | 2020年停止维护 | | xia_yue | HTTP 权限提升自动化工具 | 活跃 | | xia_sql | SQL 注入工具 | 活跃 | | TsojanScan | TsojanScanTeam 开发的扩展漏洞检测插件 | 活跃 | ### B. 插件特点分析 这些插件大多封装了已知的技术和漏洞利用模式,是中国市场特有的本地化工具。 ## 2. 中国本土工具 ### A. Godzilla(哥斯拉) Godzilla 是一个 Webshell 和漏洞利用框架,特点包括: - 使用 AES 加密网络流量以规避检测 - 功能强大且全面 - 被官方归因于与中国国家相关的攻击者 - 2021 年被用于攻击美国基础设施 - CISA 和 DHS 曾发布详细分析报告 ### B. LiqunKit LiqunKit 是另一个中文漏洞利用框架: - 最后重大更新约在 2021 年 - 专注于 MySQL、Oracle、Redis、PostgreSQL、Struts、Weblogic 等漏洞 - 包含一些办公自动化漏洞利用 ### C. 天狐渗透工具箱 这是一个相当全面的商业漏洞利用元框架: - 不专注于特定的载荷或漏洞利用 - 为 Cobalt Strike、Burp 等知名漏洞利用框架提供控制中心 - 社区版 V2.0 纪念版 ### D. NacosExploitGUI 针对阿里巴巴 NACOS 服务的漏洞利用框架: - 集成默认密码漏洞检测和利用 - SQL 注入漏洞利用 - 认证绕过漏洞利用 - 反序列化漏洞利用 # 三、工具生态系统架构 ```mermaid graph TB subgraph 主框架 A[Burp Suite] B[天狐工具箱] C[LiqunKit] end subgraph Webshell D[Godzilla] end subgraph 专用工具 E[NacosExploitGUI] end subgraph 自定义脚本 F[python.py] G[sql.py] end A --> A1[ByPassPro] A --> A2[Domain Hunter Pro] A --> A3[OneScan] A --> A4[xia_sql] B --> B1[Cobalt Strike 集成] B --> B2[Burp 集成] E --> E1[默认密码利用] E --> E2[SQL 注入] E --> E3[反序列化] F --> F1[文件服务器] G --> G1[SOAP 包装 SQL] ```  # 四、实际渗透测试案例分析 从同一操作者的安全测试报告中,可以看到以下实际攻击案例: ## 1. Nacos 实体漏洞利用 通过利用 Nacos 漏洞获取 Webshell 访问权限。 ## 2. Kubernetes 集群访问 通过获取管理员配置文件访问 Kubernetes 集群,数据集中包含完整的 Kubernetes 配置转储。 ## 3. 数据库权限提升 通过利用 Nacos 进行 SQL 注入获取数据库权限。 ## 4. 阿里云资源获取 通过 Access/Secret Key 泄露获取 55 个云服务器实例,加上 OSS(阿里云对象存储)访问权限。 ```mermaid sequenceDiagram participant P as 渗透测试者 participant T as 目标系统 participant C as 云服务 P->>T: Nacos 漏洞扫描 T-->>P: 发现漏洞 P->>T: 利用获取 Webshell P->>T: 提权获取配置文件 P->>T: SQL 注入攻击 P->>C: 使用泄露的 Key C-->>P: 获取云资源访问 ```  # 五、技术特点总结 ## 1. 工具选择特点 - 国际通用工具与本土工具并存 - Burp Suite 仍是主流工具 - 针对中国广泛使用的技术栈(如阿里云 Nacos)有专门的利用工具 - 工具集涵盖了从扫描到利用的完整流程 ## 2. 攻击模式 - 优先利用配置错误和默认密码 - 重视云服务资源的获取 - 利用常用中间件和框架漏洞 - 注重权限维持和数据窃取 ## 3. 区域性特征 中国渗透测试工具生态系统反映了区域基础设施模式: - 阿里云在中国及周边国家的广泛部署使得 Nacos 相关工具成为标准配置 - 区域云主导地位塑造了漏洞利用格局 # 六、思考与启示 ## 1. 工具生态的本地化 尽管 Burp Suite 在全球范围内占主导地位,但不同地区仍会开发适应本地技术栈的工具。这说明: - 工具生态系统反映了目标环境的基础设施差异 - 全球化和本地化在网络安全工具领域并存 ## 2. 商业渗透测试与国家攻击的界限 从获取的工具箱来看: - 这些工具大多公开可用 - 不能仅凭工具使用判断与国家行为的关联 - 商业渗透测试人员使用的工具与 APT 组织使用的工具可能存在重叠 ## 3. 防御建议 针对中国红队工具特点,防御者应关注: - 加强 Nacos 等国产中间件的安全配置 - 监控云服务密钥泄露 - 部署针对 Godzilla 等 Webshell 的检测规则 - 定期审计 Kubernetes 集群配置 *** ## 参考资料 1. [What's in the box !? - NetAskari](https://netaskari.substack.com/p/whats-in-the-box) 最后修改:2026 年 01 月 19 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏