【技术创作101训练营】真香预警：带你玩转“百香果”内网安全沙盘

PPT - 第1页

PPT - 第2页

第2页演讲文稿：

大家好，很高兴能参加腾讯云+社区技术创作101训练营第二季的活动，来进行这个技术分享，先来做个自我介绍吧，我叫xxx，但在圈内大家都习惯叫我小表姐，目前是漏斗社区一名普通的信息安全研究员，主要从事网络信息安全相关的工作，不知道大家有没有好奇为啥圈内都叫我小表姐呢？那还得从我刚开始接触信息安全的时候说起，那时候发现群里都喜欢把大佬称之为表哥，而圈内本来就男孩子居多，表姐是难得的存在，所以在遇到大表姐之后我就是小表姐咯，嘿嘿，目前大表姐在滴滴安全，而我的目标就是向大表姐学习，继续延续漏斗社区从成立以来一直坚持的带你走进白帽子的奇妙世界的宗旨，带领更多的人了解信息安全和学习信息安全。

那我今天技术分享的内容：带你玩转“百香果”内网安全沙盘，也是基于这个初心选的这个课题，不是我一个人玩得转，而是我们一群人都玩得转。

PPT - 第3页

第3页演讲文稿：

Ok，那开始我们本次的技术分享，主要分为4个部分的内容，第一个部分的内容是要说下，因为要分享的课题其实蛮多的，那为啥要选择内网安全的课题进行分享，主要是针对选题初衷这样的一个说明；第二是针对内网安全课题的需要，我们设计了“百香果”内网安全的这样一个沙盘，会对沙盘是如何规划和设计进行一个说明和阐述；第三部分就是针对沙盘的具体的使用介绍和说明，带你快速上手；最后一部分就是我们希望通过一个案例，来更生动的说明百香果内网安全沙盘来带给你们的体验。

PPT - 第4页

第4页演讲文稿：

选择内网安全的课题的原因有三个：技术热点！ 不可实操！萌新入门难！

技术热点，圈内的应该比较有感觉，从前年开始到去年，以及今年，网络安全攻防演练已经是常态化的存在，另一个比较直观的体现就是关于红蓝攻防演练的技术文章也越来越多，这类文章的阅读量也都非常高。

攻防演练相关的技术文是看的津津有味，但是看完之后想要具体实际操作确实是难之有难，主要有两个原因：一方面，非授权情况下进行攻击是法律禁止的，而在授权的情况-攻防演练类的项目不是最多的，也不是轻易就能遇到的，大多数项目一般很少触及内网安全的部分，另一面，很多技术场景都是可遇而不可求，不是所有项目都要求拿内网，而要求拿内网权限的项目不一定都有域控，也有可能就一台云主机，因此实操环境是可遇不可求。

就萌新而言，文章看得太多也缺少实操，总是一知半解，难得的项目也不是都有机会一一参与，还没参加工作，就只能看着大佬讨论技术热点，很难参与进去，萌新能想象的是（VS左图），而大佬考虑是（VS右图）。

因此基于上面这些原因，我们希望设计一个沙盘，能够将这些简单、复杂的内网安全的过程进行复盘和模拟，通过这个沙盘我就能够实现攻击者从外网到内网攻击的全过程，作为防守队我也能通过这个沙盘区队攻击者的攻击过程进行了解，以便进行更好的防御。

学习技术热点，可复盘实操，解决萌新入门难的问题，就是选择内网安全课题的三个理由。

PPT - 第5页

第5页演讲文稿：

基于上述的原因以及调研了相关人员的需求，那我们设计了“百香果”内网安全沙盘，PPT上展示的是我们百香果内网安全沙盘的整体网络拓扑图，大家可以先看下熟悉一下，后面我会分模块进行说明解释。大家可以根据提供的沙盘下载链接进行下载，后面进行的使用和案例分享的环节可以同步进行操作。

那为何取为名百香果呢？主要是因为该沙盘可以模拟上百种攻防演练的场景环境，可以众观全局，实在是“真香”的存在，因此取名”百香“，”百香果“内网安全沙盘。

PPT - 第6页

第6页演讲文稿：

那下面我们具体来看百香果内网安全沙盘的一些具体设计说明，针对萌新，先来打个预防针，需要对基础的网络知识、vmware workstation软件的使用、Ikuai软路由系统的使用有一个基本的了解和学习，相信这部分内容对大家来说应该很容易掌握。

关于百香果内网安全沙盘的设计，这里大家可以把自己带入一个网络架构设计师的角色，来进行这部分的学习和理解，

作为一个网络架构师，我们需要对设计攻防演练全过程的网络结构进行分类一个区域的划分，这里主要有是三个类别的区域划分：

首先是攻击者，也就是我们的红队人员的所在的网络区域，分为互联网攻击区和攻击区两部分

其次是攻击目标区，也就是我们蓝队目标单位所在的网络区域，主要分为攻击目标-公司总部局域网、攻击目标-分公司局域网

那第三个网络区域就是所有红队和蓝队都需要连入的互联网网区，目前百香果1.0的版本互联网仅通过两台公网的路由器进行模拟。

沙盘的基本组成设备由两部分组成，分别由沙盘的固定设备和自选连入沙盘的设备组成，固定设备主要是沙盘基础网络架构中的支干设备，主要有路由器、防火墙、交换机等设备组成。路由器+防火墙，总共有9台设备，对应沙盘的实物就是对应wmware workstation的虚拟机，其中路由器和防火墙通过Ikuai软路由系统的虚拟机进行模拟，而交换机则由我们的Vmnet虚拟机网卡进行模拟，而自选设备就是常见的虚拟机，比如自己配置的靶机或者互联网上下载的靶机，如vulnhub等。

针对固定设备我们规划了一个管理网段1.1.1.0/24，进行设备的维护和管理，设备对应的固定管理地址如右图截图所示，记忆起来特别简单，管理网段以1.1.1开头，第4字节防火墙都是1开头，FW1就是11，FW2就是12，路由器是2开头，R1就对应21，R2对应22，以此类推。

PPT - 第7页

第7页演讲文稿：

针对红队对应就是沙盘中的攻击区和互联网攻击区，

攻击区有两个网段，实物对应的就是Vmnet 2攻击区内网：192.168.2.0/24网段 ，攻击区外网也就是Vmnet 3攻击外网： 66.298.3.0/24网段，因为红队人员他也是某个连入互联网的公司或者某个连入互联网的家庭网络。

攻击区对应的沙盘实物FW1的两个网卡的地址如上图所示

互联网攻击区则是红队人员通过购买云服务器VPS作为攻击主机，vps的好处是有固定的公网IP地址，对应规划网段：互联网攻击区网（Vmnet 6）：66.28.6.0/24

PPT - 第8页

第8页演讲文稿：

第二部门就是我们的蓝队，攻击目标单位的网络规划，那我们蓝队，作为目标单位要防守的保护的资产就比较多，大一点的公司还有总部和分公司，

先来看下目标单位公司总部的局域网网络，公司总部局域网具体下面又分为DMZ区、总部运维管理区、总部办公区、总部服务器区4个分区

公司总部外网也就是互联网，互联网对应就是规划的66.28开头的网段，Vmnet 7 网卡，则对应66.28.7.0/24的网段，

而内网则是统一是10.10开头的网段，对应VMnet13的网卡，则对应网段为：10.10.13.0/24，其他网段规划规则类似，

公司总部局域网对应固定设备有防火墙FW3、FW4、FW5、FW6以及路由器R3，对应的Vmnet网络和规划地址如上述所示，这里不再具体念出来了。

PPT - 第9页

第9页演讲文稿：

那分公司局域网内部，我们同样也进行了服务器与和办公区两个分区，

对应的规划的网段有企业专线（Vmnet 17）网卡：10.10.17.0/24，专线是一条抓门连接公司部门和分公司的实物独用网络线路，一般来说专线花费比较贵，小公司基本没有，政企单位一般会有专线，

其他网段规划规则和上述类似，

同样的分公司局域网内部对应的只有一台FW2防火墙，防火墙对应的网卡和对应接口的IP地址如上所示。

PPT - 第10页

第10页演讲文稿：

互联网区对应就是我们所有红队蓝队所接入的互联网区，设计规划的网段都是66.28开头的网段，根据Vmnet网卡确定对应的具体网段，如VMnet4，则对应网段为：66.28.4.0/24

对应的固定设备主要有路由器R1和路由器R2，如路由器R1的eth2对应IP地址为66.28.4.1，则对应连接的R2的eth1的对应的IP地址则为66.28.4.2。

以上就是百香果内网安全拓扑的三个类别网络区域的网段规划和固定设备对应的固定IP地址的说明，

当然上述这些网段和IP地址不必全部记住，稍微掌握规划的规律即可，当然刚才前几页展示的百香果内网安全沙盘网络拓扑图上涵盖了所有的网段和IP地址，具体使用的时候可以回顾查看即可。

PPT - 第11页

第11页演讲文稿：

第三部门就是就是“百香果”内网安全沙盘的使用介绍了，相信大家已经把沙盘都下载好了，那下面就来一起操作起来，首先先把百香果下载好的文件进行解压，然后打开Vmware workstation软件，选择文件-》打开-》切换到要百香果文件目录，点击打开即可，打卡之后可以看到为对应虚拟的设备信息和描述信息，设备信息可以看到对应的Vmnet网卡，描述信息可以看到Ikuai虚拟机的web管理的账号和密码。

选择开启此虚拟机后，弹出对话框时，注意选择【我已移动该虚拟机】

PPT - 第12页

第12页演讲文稿：

然后启动加载完成后就可以进行到ikuai虚拟机的控制台界面，如要进行控制台操作则具体根据控制台的菜单提示进行操作，

除了控制台ikuai虚拟机还支持通过WEB界面的方式进行管理，具体操作为，使用物理机任意开发一个浏览器，然后输出控制台显示的web管理地址进行访问，然后输入账号密码即可登录到ikuai的web管理页面来对设备进行更细致的配置。

其他的ikuai设备导入操作一样，重复步骤三之前的操作即可完成百香果内网安全沙盘固定设备的全部导入

这里大家可能会有点担心，固定设备全部开启电脑会不会卡，当然这个跟电脑的具体配置有关，但是ikuai虚拟机的实际占用的内存并大，这个我们在最低配的笔记本电脑上是经过测试，所以大家无需过多担心。

PPT - 第13页

第13页演讲文稿：

自选设备导入百香果沙盘，其实过程和上述并无太大差别，主要区别是需要对带入的虚拟机进行Vmnet网卡的选择，以及对应IP地址的配置：

首先选择一台要连入百香果内网安全沙盘的服务器，这里，假设我是该公司的网站管理员，公司新上面一个商城系统需要开放到互联上，因此我计划把它导入DMZ区域，

根据百香果内网安全靶场网络拓扑图，这里我们需要将服务器接入Vmnet 13虚拟机网卡（也就是图上的SW3交换机），对应可配置的网段为：10.10.13.0/24，对应网关地址为10.10.13.1/24

PPT - 第14页

第14页演讲文稿：

具体操作起来，步骤如右图所示，在关机或开启状态下，

->虚拟机(M)

->设置(S)

->网络适配器

->网络连接

->自定义(U):特定虚拟网络 ，然后选择VMnet13 虚拟网卡，点击确定即可，相当于完成虚机接入交换机的操作。

PPT - 第15页

第15页演讲文稿：

然后就是开启虚机机，进入虚拟机IP地址的配置，这个我导入的设备是一台ubuntu虚拟机是，并且通过图形化的方式进行IP地址的配置，

这里需要配置的IP地址必须是10.10.13.0/24网段，网关是10.10.13.1/24

当然你也要会通过修改网卡文件的方式进行IP地址的配置。

配置完成之后，接可以进行简单ping测试，比如先ping下网关。

Ok

关于自选设备的导入就是简单是接入Vmnet虚拟网卡以及IP地址的配置。

PPT - 第16页

第16页演讲文稿：

接下来，我们再来看下ikuai的web管理界面的使用配置

首先是端口映射的配置，登录后选择网络设置，端口映射，添加即可进行端口映射的配置，

假设我是网络管理员，需要将DMZ区域10.10.13.110的80端口开放到互联网，那内网地址的填写就是10.10.13.110，内网端口就是80，协议有三种可选这里我们选择tcp即可

外网地址就是互联网的出口，这里是wan1，外网端口则根据需求设计，这里我们设置为80端口，然后备用进行简单备注。端口映射配置就是这样

PPT - 第17页

第17页演讲文稿：

第二个是关于ACL策略的配置，主要配置项如上文字罗列总共有13个配置项，其他配置项比较好理解，协议就是协议对应的协议，动作就是要么允许，要么阻断，这里我重点解释一下

方向和连接方向配置两个配置选项

PPT翻到下一页

PPT - 第18页

第18页演讲文稿：

我们具体以这个网络拓扑进行方向和连接方向配置两个配置选项的解释说明

假设我是网络管理员，我要让服务器区和运维管理区的网络不出网，那不出网要在那台设备上进行配置，比如实在FW3上进行配置

那么汇总的流量从R3走向FW3的eth3端口就是方向的进，出网到vmnet7 的eth1就是转发

那连接方向配置就是：从FW3出去到互联网的方向就是原始方向，反过来，互联网到FW3到R3的方向就是应答方向

应该理解了吧

这里的方向不是固定的，而是先选择一个进行ACL配置的设备，然后看这个设备的要约束的流量的放心进行方向的定位，

因此根据方向的不同，选定方向后的源地址源端口、目的地址目的端口也是跟这个关联的，

还是上述的例子，服务器区和运维管理区的地址就是源地址，互联网的地址就是目的地址。

如果配置项为空就是默认全部的意思，也就是所有地址

最后如果配置了多条ACL策略，需要注意ACL策略的配置规则是从上往下进行配置，也就是列表的第一条策略先执行，然后逐条策略执行。

Ok

百香果关于Ikuai的使用重点就讲端口映射和ACL策略的配置。

PPT - 第19页

第19页演讲文稿：

最后一个部分就是我们的举例子环节，时间比较紧，这里我们就举一个简单的案例，不在进行额外的扩展了

先来看下右边两张章截图，这是两篇关于不出完情况下socks隧道的搭建的技术文章，这里我们就是这个文章为例在百香果拓扑上进行复盘，

网络的网络情况为某公司DMZ区域有两台服务器，其中A 服务器的80端口映射到外网，而B服务器不出网，但是A服务器可以访问B服务器

因此这里我们在沙盘中加入A、B两台服务器，IP地址分为为10.10.13.110、10.10.13.111

PPT - 第20页

第20页演讲文稿：

根据上述分析的网络情况我们进行ACL策略配置如上截图所示，

首先配置服务器A 80端口可以出网，然后再配置除了A的80端口外其他都流量都阻断。

PPT - 第21页

第21页演讲文稿：

第二步

我们来配置攻击者，这里我们选择互联网区进行攻击，将攻击机window7 接入Vmnet 6网卡 ，然后配置IP地址为66.28.6.11

首先我们拿到了内网的入场门票，也是我们目标公司 服务器A开发到互联网的80端口的web服务存在漏洞，进而拿到该服务器的webshell权限

由于只开发80端口，因此我们选择通过建立socks隧道的的方式，直接进入内网

准备工具reGeorg进行socks隧道建立，proxifier用来代理RDP流量等。

reGeorg 使用的是Python2.7版本，因此这里攻击机上需要安装Python2.7

reGeorg的建立隧道的命令非常简单，

使用命令为：python reGeorgSocksProxy.py -p 1080 -u http://66.28.7.2/tunnel.nosocket.php

PPT - 第22页

第22页演讲文稿：

第三步

内网攻击实施的开始：

Socks隧道的建立：

首先利用入场门票webshell将reGeorg的隧道连接shell上传到目标服务器，即对应目标内网服务器A:10.10.13.110

PPT - 第23页

第23页演讲文稿：

然后在攻击机window7上 reGeorg 执行命令：python reGeorgSocksProxy.py -p 1080 -u http://66.28.7.2/tunnel.nosocket.php

可以看到隧道以及成功建立起来

通过访问tunnel文件可以看到Georg says, ‘All seems fine‘也代表隧道以及成功建立起来

PPT - 第24页

第24页演讲文稿：

隧道已经建立好，那么接下啦就可以基于socks隧道愉快地进行内网渗透，比如使用Goby进行内网资产探测：

这里Goby是支撑进行socks代理的配置，代理的端口就是我们reGeorg命令-p中所指定的代理端口

PPT - 第25页

第25页演讲文稿：

利用socks隧道，可以对不出网的服务器，也就是本次沙盘中服务器B：IP地址10.10.13.111, 进行漏洞扫描，扫描发现服务器B存在tomcat弱口令漏洞

PPT - 第26页

第26页演讲文稿：

进一步内网资产探测发现了10.10.16.0网段的10.10.16.110服务器，并且存在ms17010等高危漏洞。

PPT - 第27页

第27页演讲文稿：

以上就是带你玩转百香果内网安全沙盘的全部介绍内容的分享，关于百香果案例的其他经典案例的学习，欢迎大家关注漏斗社区公众号以及漏斗社区云+社区专栏，每周更新，不见不散呦~

感谢聆听（致谢）