红队攻击战术

低风险

作者 @sickn33已验证来源

4.8439 次安装v1.0.0更新于 2026年5月25日

使用方式

在 Claude Code 中运行以下命令

第一步：添加 Marketplace

/plugin marketplace add sickn33/antigravity-awesome-skills

第二步：安装插件

/plugin install red-team-tactics@antigravity-awesome-skills

关于

基于 MITRE ATT&CK 的红队战术原则。攻击阶段、检测规避、报告编写。

name: red-team-tactics description: "基于MITRE ATT&CK的红队战术原则。攻击阶段、检测规避、报告。" risk: offensive source: community date_added: "2026-02-27"

仅限授权使用：此技能仅用于授权的安全评估、防御验证或受控教育环境。

红队战术

基于MITRE ATT&CK框架的对手模拟原则。

1. MITRE ATT&CK阶段

攻击生命周期

侦察 → 初始访问 → 执行 → 持久化
  ↓        ↓        ↓       ↓
权限提升 → 防御规避 → 凭证访问 → 发现
  ↓        ↓        ↓       ↓
横向移动 → 收集 → C2 → 数据窃取 → 影响

阶段目标

| 阶段 | 目标 | |------|------| | 侦察 | 映射攻击面 | | 初始访问 | 获取第一个立足点 | | 执行 | 在目标上运行代码 | | 持久化 | 在重启后存活 | | 权限提升 | 获取管理员/root权限 | | 防御规避 | 避免被检测 | | 凭证访问 | 收集凭证 | | 发现 | 映射内部网络 | | 横向移动 | 扩散到其他系统 | | 收集 | 收集目标数据 | | C2 | 维持命令通道 | | 数据窃取 | 提取数据 |

2. 侦察原则

被动 vs 主动

| 类型 | 权衡 | |------|------| | 被动 | 无目标接触，信息有限 | | 主动 | 直接接触，更多检测风险 |

信息目标

| 类别 | 价值 | |------|------| | 技术栈 | 攻击向量选择 | | 员工信息 | 社会工程 | | 网络范围 | 扫描范围 | | 第三方 | 供应链攻击 |

3. 初始访问向量

选择标准

| 向量 | 何时使用 | |------|----------| | 钓鱼 | 人类目标，有邮件访问 | | 公开漏洞 | 暴露的脆弱服务 | | 有效凭证 | 泄露或破解的 | | 供应链 | 第三方访问 |

4. 权限提升原则

Windows目标

| 检查项 | 机会 | |--------|------| | 未加引号的服务路径 | 写入路径 | | 弱服务权限 | 修改服务 | | 令牌权限 | 滥用SeDebug等 | | 存储的凭证 | 收集 |

Linux目标

| 检查项 | 机会 | |--------|------| | SUID二进制文件 | 以所有者身份执行 | | Sudo配置错误 | 命令执行 | | 内核漏洞 | 内核利用 | | Cron任务 | 可写脚本 |

5. 防御规避原则

关键技术

| 技术 | 目的 | |------|------| | LOLBins | 使用合法工具 | | 混淆 | 隐藏恶意代码 | | 时间戳篡改 | 隐藏文件修改 | | 日志清除 | 移除证据 |

操作安全

在工作时间内操作
模仿合法流量模式
使用加密通道
融入正常行为

6. 横向移动原则

凭证类型

| 类型 | 用途 | |------|------| | 密码 | 标准认证 | | 哈希 | 哈希传递 | | 票据 | 票据传递 | | 证书 | 证书认证 |

移动路径

管理共享
远程服务（RDP、SSH、WinRM）
利用内部服务

7. Active Directory攻击

攻击类别

| 攻击 | 目标 | |------|------| | Kerberoasting | 服务账户密码 | | AS-REP Roasting | 无预认证的账户 | | DCSync | 域凭证 | | Golden Ticket | 持久域访问 |

8. 报告原则

攻击叙述

记录完整的攻击链：

如何获得初始访问
使用了哪些技术
达成了哪些目标
检测在哪里失败

检测缺口

对于每个成功的技术：

什么应该检测到它？
为什么检测没有生效？
如何改进检测

9. 道德边界

始终

保持在范围内
最小化影响
发现真实威胁时立即报告
记录所有操作

绝不

破坏生产数据
造成拒绝服务（除非在范围内）
超出概念验证的访问
保留敏感数据

10. 反模式

| 不要 | 应该 | |------|------| | 急于利用 | 遵循方法论 | | 造成损害 | 最小化影响 | | 跳过报告 | 记录一切 | | 忽略范围 | 保持在边界内 |

记住： 红队模拟攻击者是为了改善防御，而非造成伤害。

何时使用

此技能适用于执行概述中描述的工作流或操作。

限制

仅当任务明确匹配上述描述的范围时使用此技能。
不要将输出视为环境特定验证、测试或专家审查的替代品。
如果缺少所需输入、权限、安全边界或成功标准，请停下来要求澄清。

兼容工具

Claude CodeCursor