迟到的入秋第一杯“百香果汁”

0x00 背景介绍

斗哥最近接手了多个内（gong）网（fang）渗（yan）透（lian）的Case，还有在很多时候，当我们拿到一台内网的服务器的时候，其实这里面都涉及到内网渗透方面的知识。关于内网渗透，其实现在理论知识已经很多了，但是因为环境问题，很难将内网渗透真实模拟，在此，斗哥有一个隐藏在内心多年的想法，想与各位小伙伴们分享----搭建一套能够在自己的那台Windows 7小本本上使用的模拟各类简单或者复杂内网渗透环境，可根据需求进行模拟。

出于这些念想，斗哥决定放手一搏，进行了各种尝试，这才有了“百香果”的雏形。为什么斗哥要给其取名“百香果”呢？主要是想到它能够轻松模拟“百种”内网环境，难道不香吗？因此斗哥大胆地给其取名“百香果”，总称“百香果”内网安全沙盘。

涉及到的知识点

VMware Workstation

是一款功能强大的桌面虚拟计算机软件，提供用户可在单一的桌面上同时运行不同的操作系统，和进行开发、测试 、部署新的应用程序等。

ikuai系统

是一款软路由系统，上面集成了路由器、AC控制器等多类设备的功能模块。

VMnet

是一张由操作系统虚拟出来的网卡，用户可通过VM虚拟的网卡连接到VMware Workstation上对应的虚拟交换机，一个VMnet（仅主机模式）对应一个独立的网段。

0x01 构建目标

“百香果”的形态

整个“百香果”内网安全沙盘是基于VMware Workstation中的虚拟环境，其中内网中路由器和防火墙均由ikuai系统模拟，每个网段则由独立的VM虚拟网卡组成。

“百香果”的目标

“百香果”内网安全沙盘的构建，最主要的目标，斗哥归结为以下三点：

1. 模拟复杂的内网环境，避免出现早期的内网渗透环境较简单。
2. 环境的快速搭建，斗哥已事先搭建完毕并打包，直接在VMware Workstation上打开即可。
3. 方便交流共享，后续斗哥将会通过该沙盘发布一些内网渗透系列的文章，届时大家可以一起交流探讨。

0x02 使用介绍

拓扑展示

通过多天的不懈努力与不断尝试，终绘制出“百香果”内网安全沙盘的网络拓扑图

如图，“百香果”内网安全沙盘的默认环境仅包含拓扑中的设备R1、R2、R3、FW1、FW2、FW3、FW4、FW5、FW6，分别对应虚拟机中的R1、R2、R3、FW1、FW2、FW3、FW4、FW5、FW6。其余涉及区域中的服务器、终端均为现网常见的一些服务器、终端部署方式，即我们在内网渗透模拟中需要自行去添加的,在下文中，我们也将给大家演示如何去使用这个环境。

使用流程

基本使用“百香果”内网安全沙盘的流程如下，按需取用，我们只需做的操作，就是添加具体的攻击机、靶机等终端、服务器或其他虚拟设备。

简单示例

相信各位小伙伴们在看完上面的介绍后，内心可能还是有疑问，有点懵懵的，不知道如何去使用它。不要着急，接下来，斗哥将一个小示例给大家展示，大家可以根据上面的流程图，一步一步去理解。这个示例背景：主人公小斗，收到领导的渗透任务，需要在公司去远程渗透XXX公司总部的一台Web服务器，目前只知道该服务器的内网地址为10.10.16.10/24，但是在此之前，斗哥已经成功获取其分公司的一台Web服务器的后门，并通过这个后门，最终入侵到总部的Web服务器（详细过程省略，简单验证从攻击区控制服务器区的Webshell，并ping通总部的Web服务器）

确认需要使用到的设备

根据需求，此时我们就需要在9台设备中选取对应的设备FW1、R1、FW2、FW4、R3、FW5，为更清晰地查看，故斗哥将原拓扑进行简化，将需要的设备画出,得到

将对应设备的虚拟机开启

根据上一点，开启对应的虚拟机FW1、R1、FW2、FW4、R3、FW5。（PS：第一次开启时需要选择我已移动该虚拟机，否则将会出现网卡需重新绑定的问题）

在对应区域添加相关服务器或终端，并配置对应的IP地址

在小斗的PC中添加一台攻击机（以BT5为例），在分公司Web服务器中添加一台靶机1（以Windows 7为例），在总公司Web服务器中添加一台靶机2（以Windows XP为例）。 温馨小提示：配完IP后进行连通性测试。 攻击机设置 网卡桥接至VMnet 2上，根据拓扑展示给定的IP段，配置IP地址为192.168.2.10/24。网管地址为192.168.2.1/24

靶机1设置

将其网卡桥接至VMnet 19上，根据拓扑展示给定的IP段，配置IP地址为10.10.19.10/24。网管地址为10.10.19.1/24

靶机2设置

将其网卡桥接至VMnet 16上，根据拓扑展示给定的IP段，配置IP地址为10.10.16.20/24。网管地址为10.10.16.1/24

根据需求配置对应的路由器或防火墙上的相关策略

小插曲 如何进行登录ikuai系统管理页面：

1. 点击VMware Workstation左上角：编辑-虚拟网络编辑器

2. 打开后，如下图所示，点击更改设置（此处需要管理员权限确认更改）

3. 选中VMnet 1，修改子网IP为1.1.1.0，子网掩码为255.255.255.0，后点击确定即可

4. 打开浏览器，并在上面的拓扑中找到对应设备的管理地址，输入账号密码即可（账号密码在虚拟机描述）

本示例由于是Web服务器，故需要在FW2上对分公司的Web服务器进行端口映射，配置相当简单，通过登录ikuai管理页面-网络设置-端口映射-添加

按下面的内容将内网web端口映射至外网，输入后保存即可

最后在攻击机上进行访问查看，确认正常即可

测试

到此，环境就已经搭建完成了，让我们开始测试吧，通过攻击机访问分公司Web服务器（靶机1）后门，再通过该后门访问到总公司Web服务器（靶机2）。

测试完毕，环境一切正常，是不是使用起来简单粗暴呢，大家是不是都跃跃欲试了呢。

再等等~~~ 斗哥还得再唠叨唠叨，给大家再讲讲这个沙盘的环境设计。

0x03 环境设计

为了让大家能够更加了解“百香果”内网安全沙盘，斗哥也对每个区域后续内网渗透环境中计划放置什么类型的服务器或者终端进行说明。

攻击区 攻击区，即攻击者所在的网络区域，模拟攻击者通过宽带等上网方式，对外进行攻击。该区域是计划放置我们的攻击机。

互联网攻击区 互联网攻击区，即我们通常在渗透过程中所需使用到的一些VPS（虚拟专用服务器）。该区域较为简单，计划用于放置VPS。

互联网 互联网，顾名思义，就是我们平时所使用的互联网，该区域计划放置一台DNS服务器。有小伙伴知道斗哥为什么要在这边放一台DNS服务器吗？（故作玄虚，后续文章见分晓）

攻击目标-公司总部局域网 公司总部局域网分为多个区域：DMZ区、运维管理区、办公区、服务器区。其中

• DMZ区 该区域计划放置企业只需向互联网提供服务的服务器，如CMS系统、OA系统、邮件系统等，并且这些系统又无需访问内网。
• 运维管理区 该区域计划放置的是企业需要进行运维管理的服务器，如DC服务器（域控）、DNS服务器（域名解析）等。看到这两个服务器，不知道小伙伴们会联想到什么漏洞呢？
• 办公区 办公区想必不用斗哥介绍，大家也都知道是做什么的。但是斗哥还是需要讲解一下，设置这个区域除了是更真实的还原企业内网以外，后续还会有一些关于办公区的渗透小插曲。
• 服务器区 服务器区，这个区域，想必大家也很熟悉了，企业中大多的服务器，如数据库服务器、web服务器等，均放置于此，该区域也是属于企业内网的重灾区和重点保护区，因此也将是后续的内网渗透实战中的"常客"区。

攻击目标-分公司局域网

为了让我们的百香果能够有“百香”，斗哥也精心准备了这个分公司区域，贴合现在大部分公司均在多地开设分公司的情况。当然，毕竟是分公司，因此环境也相对于总公司来说会更简单一些，只有一台防火墙，除此之外，就剩下两个区域：服务器区和办公区。在我们真实的企业环境中，一般来说，总公司的诸多对外服务的系统都垒了好几层的安全防护设备，要想攻克实在是难之又难。因此在我们的真实渗透中，我们会更多的选择从分公司入手。毕竟分公司，相比于总公司，安全防护肯定没有做到特别好。

0x04 小结

看到这里，本期的“百香果”内网安全沙盘的雏形初现就算是结束，大家是否都很想要马上获取它进行测试呢，快来试试“百香果”内网安全沙盘的环境吧。后续呢，我们也将推出该主题的一系列文章哦，大家敬请关注。

小提示：关注漏斗社区微信公众号，并在后台发送百香果即可获取“百香果”的下载链接哦~~~