15款红队常用C2框架对比：从Metasploit到Sliver的渗透测试工具盘点

本文汇总了在渗透测试与红队行动中常见的命令与控制（C2）框架，便于安全从业者了解与选型。

CobaltStrike

Cobalt Strike 是一款 GUI 框架式渗透工具，功能全面，集成了端口转发、服务扫描、自动化溢出、多模式端口监听，支持生成包括 Win EXE/DLL 木马、Java 木马、Office 宏病毒在内的多种载荷。其钓鱼攻击模块支持站点克隆、目标信息获取、Java执行以及浏览器自动攻击等。

官网地址：https://www.cobaltstrike.com/

Metasploit Framework

Metasploit Framework 是全球使用最广泛的开源渗透测试框架，由开源社区与 Rapid7 公司共同维护。它为渗透测试、shellcode编写和漏洞研究提供了一个完善的平台，用于编写、测试和使用 exploit代码。

项目地址：https://github.com/rapid7/metasploit-framework

VSHELL

vshell 是一款专注于安全对抗模拟的红队工具，旨在模拟长期潜伏攻击者的策略。它通过提供隧道代理和多种协议的隐蔽通道（如TCP、UDP/KCP、WebSocket、DNS、DOH、DOT、OSS），来帮助蓝队评估安全设备水平并提高应急响应能力。这是一款国产闭源的C2框架，需要license使用。

其支持的功能包括：

• 支持文件管理、终端、屏幕截屏、开机启动等管理功能。
• 支持内存运行多种格式的插件（exe、.net、elf、dll、so、dylib）。
• 支持多种协议的隧道代理。
• 支持正、反向连接模式，支持代理上线。
• 支持Windows shellcode客户端。
• 支持域名上线、CDN上线。
• 支持eBPF客户端穿透防火墙。

项目地址：https://github.com/veo/vshell

Viper（炫彩蛇）

Viper（炫彩蛇）是一款由国内开发者打造的、自带图形化操作界面的红队服务器，用户可通过浏览器直接开展内网渗透工作。它被定义为一款图形化的互联网攻击面管理与红队模拟平台。

主要特点如下：

• 覆盖了红队模拟的常用功能，如杀软绕过、内网隧道、文件管理、命令行控制等。
• 已集成 100 多个红队模拟模块，覆盖 MITRE ATT&CK 的所有战术大类。
• 支持基于 LLM 的智能体，允许用户用自然语言调用系统功能。
• 在攻击面管理方面，能实现备案、域名、IP、公众号小程序、CDN、WAF、漏洞等信息的采集和管理。

项目地址：https://github.com/FunnyWolf/Viper
Wiki：https://www.yuque.com/vipersec

Havoc C2

Havoc C2 是一款基于加密通信技术的多功能 C&C 框架，采用 Golang 与 C 语言开发。其架构分为三个核心部分：Havoc_Teamserver（服务端）、Havoc_Client（客户端）以及 Havoc_Demon（被控端）。

项目地址：https://github.com/HavocFramework/Havoc
官方文档：https://havocframework.com/docs/welcome

Sliver C2

Sliver 是一款开源的跨平台对手模拟与红队框架。其植入程序支持多种 C2 通信协议，包括 Mutual TLS (mTLS)、WireGuard、HTTP(S) 以及 DNS。它采用动态编译技术，每个二进制文件都使用非对称加密密钥进行签名，增强了隐蔽性。

项目地址：https://github.com/BishopFox/sliver
官方文档：https://sliver.sh/docs

XiebroC2

XiebroC2 是一款功能全面的渗透测试专用 C2 工具。它支持 Lua 插件扩展，能够实现域前置 / CDN 上线，并具备自定义 profile、前置 sRDI 功能。此外，文件管理、进程管理、内存加载、截图、反向代理以及分组管理等实用功能也都包含在内。

项目地址：https://github.com/INotGreen/XiebroC2

Supershell

Supershell 是一款可通过 WEB 服务直接访问的 C2 远控平台。它的核心机制是通过建立反向 SSH 隧道来获取完全交互式的 Shell，同时支持生成多平台架构的 Payload。

项目地址：https://github.com/tdragon6/Supershell
官方文档：https://github.com/tdragon6/Supershell/wiki

Empire

Empire 是一款主要针对 Windows 平台的渗透测试框架，其攻击载荷以 PowerShell 脚本为核心，涵盖了从 stager 生成、权限提升到渗透维持的完整流程。

其核心优势包括：跨平台适配（Windows、Linux、macOS）；支持动态加载模块；采用 AES-256 和 RSA 加密技术保障通信安全；虽以PowerShell为主，但能适配Python等其他语言；且拥有齐全的配套文档和简洁的命令行界面，降低了学习门槛。

项目地址：https://github.com/EmpireProject/Empire

Mythic

Mythic 是一款采用 GoLang、Docker、Docker Compose 及 Web 浏览器 UI 构建的跨平台后渗透利用红队框架。它的核心目标是为红队流程中的操作员、管理人员和报告人员，提供一个便于协作且易于上手的统一操作界面。

项目地址：https://github.com/its-a-feature/Mythic
官方文档：https://docs.mythic-c2.net/

convoC2

convoC2 是一款借助 Microsoft Teams 实现命令控制的 C2 框架。其攻击思路颇具巧思：首先在 Microsoft Teams 的消息中隐藏 <span> 标签来传递指令数据；随后，将命令执行结果嵌入到适应性卡片（Adaptive Cards）的图像 URL 中，通过触发向 C2 服务器的出界（out-of-bound）请求，最终完成数据窃取。

项目地址：https://github.com/cxnturi0n/convoC2

emp3r0r

emp3r0r 是一款支持通过终端 UI 远程管理被控主机（agent）的 C2 框架工具。它支持多种安全传输机制，如基于 TLS 的 HTTP2、Shadowsocks（TCP/UDP）、TOR 以及借助 CDN 的 Websocket 传输。

功能上，它具备跨平台适配能力，兼容所有 CPU 架构的 Linux 系统及 386/amd64 架构的 Windows 系统。同时支持灵活配置，如自定义安装路径，以及自主调整 agent 的生成和通信方式。

项目地址：https://github.com/jm33-m0/emp3r0r
官方文档：https://github.com/jm33-m0/emp3r0r/wiki/Getting-Started-(zh%E2%80%90CN)

Villain

Villain 是一款高级的 Stage 0/1 命令与控制（C2）框架，适用于渗透测试与红队评估场景。它能够管理多个反向 TCP 及 HoaxShell 类型的 Shell，并可通过添加命令和工具来增强这些Shell的功能。该框架基于 Python 和 PowerShell 开发。

其核心特性包括：支持为 Windows 和 Linux 系统生成默认、可定制及用户自定义的 Payload 模板；具备动态伪 Shell 提示以快速切换会话；能通过 HTTP 上传文件、对活动会话执行无文件脚本；在 PowerShell 反向 Shell 会话中会自动调用 ConPtyShell 来获取完全交互式 Windows Shell；支持多 Villain 实例间的会话共享，并配有会话守护者功能来防止Shell因误操作挂起。

项目地址：https://github.com/t3l3machus/Villain
使用指南：https://github.com/t3l3machus/Villain/blob/main/Usage_Guide.md

AsyncRAT

AsyncRAT 是一款采用 C# 开发的命令与控制（C2）工具。它能够从 Pastebin 读取 C2 服务器的配置信息，支持在内存中加载 PE 文件、动态编译并执行 C# 或 VB 代码。此外，它还具备 U 盘感染能力，并能自动读取 Firefox 和 Chrome 浏览器中保存的密码。

项目地址：https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

0xC2

0xC2 是由 @cube0x0 开发的一个针对 Windows、Linux 和 MacOS 环境的跨平台 C2 框架。

介绍：https://www.0xc2.io/posts/introduction-and-technical-overview/

以上便是对当前主流C2框架的一个简要梳理。这些工具多数已在 GitHub 等平台开源，是进行安全研究与渗透测试学习与实践的重要资源。持续关注并理解这些框架的演进，对于安全从业人员至关重要。如果你想与其他安全爱好者交流，可以关注 云栈社区 的相关讨论。