Vulfocus场景编排:构建企业级红蓝对抗训练场的实战指南
当企业安全团队从单点漏洞修复转向体系化防御能力建设时,真实的攻防场景复现成为提升实战能力的关键。传统靶场往往局限于独立漏洞环境,而Vulfocus的场景编排功能就像安全领域的"乐高积木",允许我们自由组合多个漏洞容器,构建包含边界突破、横向移动、权限维持等完整攻击链的微型内网生态。这种训练方式能让防御者直观感受攻击者的思维路径,也能帮助红队成员在合规环境中磨练内网渗透技巧。
1. 环境规划:设计你的攻防剧本
1.1 靶场拓扑设计原则
一个典型的企业内网模拟环境需要包含以下核心区域:
| 区域类型 | 代表设备 | 漏洞类型示例 | 网络可见性 |
|---|---|---|---|
| 边界区 | Web服务器、VPN网关 | Tomcat弱口令、Struts2漏洞 | 对外开放端口 |
| 办公网区 | 文件服务器、OA系统 | SMB共享漏洞、Weblogic反序列化 | 仅内网可达 |
| 核心业务区 | 数据库服务器、Redis集群 | Redis未授权、SQL注入 | 多层网络隔离 |
| 管理运维区 | Jenkins、GitLab | 代码执行、信息泄露 | 特殊权限访问 |
实战建议:初期建议采用"三明治"结构——1台边界机(如Tomcat)、2-3台办公网主机(如Redis、SMB)、1台核心业务机(如数据库)。这种结构足够呈现基本攻击路径,又不会因复杂度影响训练效果。
1.2 容器网络配置技巧
在Docker中创建自定义网络是场景编排的基础操作:
# 创建用于模拟内网的桥接网络 docker network create --subnet=172.16.1.0/24 internal_network1 docker network create --subnet=192.168.2.0/24 internal_network2 # 查看已创建网络 docker network ls | grep internal常见网络隔离策略:
- 全开放模式:所有容器互连(适合新手熟悉流程)
- 层级隔离:边界机可访问办公网,办公网可访问核心区(模拟真实网络分区)
- 单向通行:通过iptables规则设置特定端口访问权限
注意:生产环境演练建议添加网络延迟和带宽限制,更真实模拟跨机房访问场景:
docker network create --driver bridge --subnet=10.0.0.0/24 --opt "com.docker.network.bridge.enable_icc=true" --opt "com.docker.network.delay.delay=100ms" delay_net
2. 漏洞镜像选型:构建攻击链的关键节点
2.1 边界突破点选择
优秀的入口点漏洞应具备以下特征:
- 利用稳定性高:如Tomcat弱口令比0day漏洞更适合训练
- 权限适中:通常获得www-data或nobody权限
- 具备扩展性:支持上传Webshell或执行系统命令
推荐组合方案:
- Web应用漏洞(Tomcat弱口令 / Spring Boot Actuator未授权)
- 暴露的管理接口(Jenkins脚本控制台 / Docker API未授权)
- 协议类漏洞(SMBGhost / EternalBlue)
2.2 横向移动技术实现
在内网容器中预置以下常见漏洞环境:
# Redis未授权访问容器 docker run -d --name redis_vul --network internal_network1 vulhub/redis:4.0 # MySQL提权环境 docker run -d --name mysql_vul --network internal_network2 -e MYSQL_ROOT_PASSWORD=weakpass vulhub/mysql:5.7配套工具准备:
- 信息收集:fscan、nmap静态编译版
- 隧道工具:frp、reGeorg、Chisel
- 权限维持:Cobalt Strike Beacon、Meterpreter
关键技巧:在容器中预装常用工具可节省时间
docker exec -it target_container bash -c "apt update && apt install -y net-tools curl wget"
3. 高级场景编排实战
3.1 多层网络穿透模拟
通过Vulfaces界面创建复杂网络拓扑:
- 创建场景时添加多个网络接口卡
- 为每个网络分配不同子网(如192.168.1.0/24、10.10.1.0/24)
- 设置跳板机具有多网卡特性:
# docker-compose.yml片段示例 services: jump_host: image: ubuntu:20.04 networks: - dmz_net - internal_net1 ports: - "8080:80" networks: dmz_net: driver: bridge ipam: config: - subnet: 172.18.0.0/24 internal_net1: driver: bridge ipam: config: - subnet: 192.168.90.0/243.2 防御对抗元素植入
提升训练真实性的进阶方法:
- 蜜罐节点:部署HFish等开源蜜罐
- 流量监控:在关键路径部署Tcpdump容器
- 告警规则:模拟SIEM的基线检测规则
- 权限控制:设置sudo权限和审计日志
防御方训练要点:
- 分析异常登录日志(/var/log/auth.log)
- 检测可疑进程(ps auxf)
- 网络连接分析(netstat -antp)
- 文件完整性校验(rkhunter)
4. 常见问题与稳定性优化
4.1 容器环境适配技巧
在Docker环境中常遇到的特殊问题及解决方案:
| 问题现象 | 根本原因 | 解决方案 |
|---|---|---|
| 反弹Shell不稳定 | 容器缺少TTY | 使用socat或script创建完整终端 |
| 计划任务无法执行 | 未安装cron服务 | 改用内存驻留型后门或SSH隧道 |
| 内网工具无法正常运行 | 缺少动态链接库 | 使用静态编译版本或Alpine基础镜像 |
| 网络代理异常 | 容器网络命名空间隔离 | 使用host网络模式或正确配置iptables |
4.2 持久化训练环境构建
保持靶场稳定运行的建议配置:
# 使用docker-compose管理复杂场景 version: '3' services: vulfocus: image: vulfocus/vulfocus:latest ports: - "8000:80" volumes: - /var/run/docker.sock:/var/run/docker.sock environment: - VUL_IP=your_server_ip restart: always # 配套的MySQL监控容器 mysql_monitor: image: phpmyadmin/phpmyadmin links: - vulfocus ports: - "8080:80"性能优化参数:
- 限制CPU使用:
--cpus 2 - 内存限制:
-m 4g - 日志轮转:
--log-opt max-size=50m
5. 训练效果评估与迭代
建立科学的评分体系能显著提升训练效果。建议从以下维度设计评分卡:
攻击方评估指标:
- 边界突破时间(从开始到获取第一个shell)
- 横向移动效率(每台内网主机平均耗时)
- 权限维持稳定性(后门存活时间)
- 关键数据获取完整性
防御方评估指标:
- 攻击检测时间(从入侵到首次告警)
- 事件响应速度(从发现到处置完成)
- 日志分析深度(还原攻击链完整度)
- 加固措施有效性(防止同一漏洞复用)
在每次训练后,建议组织参与者进行战术复盘(AAR),重点讨论:
- 攻击路径中最脆弱的环节
- 防御盲点和误报情况
- 工具链的适用性改进
- 应急预案的实际效果
对于长期运行的训练环境,可采用渐进式复杂度提升策略:
- 第一阶段:开放网络拓扑+基础漏洞
- 第二阶段:添加网络隔离+常见防御设备
- 第三阶段:引入动态对抗+多团队协作
1.12——插件系统)
到底在学什么?)
