应急响应靶场设计与制作实战指南

一、前言

本文基于好靶场团队在应急响应靶场制作过程中的实践经验，详细记录了他们遇到的关键问题及解决方案。本文旨在为安全从业人员和教育者提供实用的靶场建设指导，帮助大家避免常见陷阱，设计出高质量的应急响应训练环境。

二、靶场架构设计

2.1 技术选型：替代传统SSH方案

问题背景：传统应急响应靶场通常开放22端口（SSH）供学员接入，但存在架构限制和安全风险。

解决方案：采用 gotty 工具

基于Web的终端接入方案
提供与SSH相似的命令行操作体验
部署简单，使用流畅
避免了传统SSH服务的端口管理和安全配置复杂度

2.2 学习目标设计

参考权威资料：Linux入侵排查手册

来源：Bypass007的Emergency-Response-Notes项目
虽然资料较老，但内容扎实实用
重点训练Linux系统入侵排查的核心技能

三、具体技术问题与解决方案

3.1 基础靶场场景设计

第一个靶场实例：

创建恶意用户：hacker
遗留文件位置：/home/hacker/目录
考察要点：
- 检查/etc/passwd发现异常用户
- 排查home目录下的残留文件
- 理解攻击者持久化手段

3.2 Flag防通杀策略

问题一：直接搜索flag关键字

现象：学员使用grep -r "flag" /等命令直接搜索，绕过正常排查流程

解决方案：采用Base64编码

将flag内容进行Base64编码处理
示例：原始flag"flag{example}"编码为"ZmxhZ3tleGFtcGxlfQ=="
迫使学员理解上下文，不能简单关键字搜索

问题二：Base64编码模式识别

现象：学员发现Base64模式，搜索"Zmxh"等固定前缀

解决方案：彻底去除flag{}格式

改用纯文本提示信息
将答案融入正常的系统文件内容中
要求学员通过逻辑分析而非模式匹配来解题

3.3 文件时间痕迹处理

问题描述：通过时间戳筛选可疑文件

攻击手法：find / -mtime -1查找近期修改的文件

解决方案：使用touch命令统一时间戳

# 将目标文件时间戳设置为与系统文件一致
touch -r /etc/passwd suspicious_file.sh

3.4 启动文件隐藏技术

问题描述：进程信息泄露

攻击手法：通过ps aux查看进程信息，直接读取启动脚本内容

初始解决方案：执行后删除文件

脚本执行完成后立即自删除
但进程仍在运行，可通过内存读取恢复

优化方案：多层脚本调用

start.sh（持久存在）：负责调用核心脚本
ok.sh（核心逻辑）：包含实际考题逻辑
执行流程：
- start.sh调用ok.sh
- ok.sh执行完成后自删除
- 内存中只保留进程信息，无法直接读取脚本内容

# start.sh示例
#!/bin/bash
./ok.sh &

# ok.sh示例
#!/bin/bash
# 执行靶场逻辑...
# 执行完成后自删除
rm -f "$0"

四、完整靶场制作流程

4.1 环境准备阶段

选择干净的Linux系统环境
安装和配置gotty服务
设计攻击场景和排查路径

4.2 攻击痕迹植入

创建后门账户和权限设置
部署恶意脚本和可疑文件
设置文件时间戳混淆
设计合理的flag隐藏方案

4.3 防护措施实施

配置脚本自删除机制
实施反通杀检测策略
验证各种绕过手法的有效性

4.4 测试验证

邀请安全专家进行测试
收集反馈并迭代优化
确保教学目标的达成

五、最佳实践总结

5.1 设计原则

真实性：模拟真实的攻击场景和痕迹
教育性：每个设计都要服务于教学目标
防作弊：充分考虑学员可能使用的各种捷径
可扩展性：架构支持多种场景的快速部署

5.2 技术要点

避免使用固定的flag格式和位置
处理好文件时间和权限属性
实现有效的脚本隐藏和清理机制
平衡难度与学习曲线的关系

5.3 持续改进

建立反馈收集机制
定期更新攻击手法和防护措施
跟上安全技术发展的步伐

六、资源参考

实践靶场体验地址：好靶场应急响应靶场
教学视频演示：B站演示视频
理论基础资料：Linux入侵排查手册

通过以上设计和实施策略，可以构建出既具有教育价值又能有效防止取巧的高质量应急响应靶场，为安全人才培养提供有力的实践平台。

应急响应靶场设计与制作实战指南一、前言本文基于好靶场团队在应急响应靶场制作过程中的实践经验，详细记录了他们遇到的关键问题及解决方案。本文旨在为安全从业人员和教育者提供实用的靶场建设指导，帮助大家避免常见陷阱，设计出高质量的应急响应训练环境。二、靶场架构设计 2.1 技术选型：替代传统SSH方案问题背景：传统应急响应靶场通常开放22端口（SSH）供学员接入，但存在架构限制和安全风险。解决方案：采用 gotty 工具基于Web的终端接入方案提供与SSH相似的命令行操作体验部署简单，使用流畅避免了传统SSH服务的端口管理和安全配置复杂度 2.2 学习目标设计参考权威资料：Linux入侵排查手册来源：Bypass007的Emergency-Response-Notes项目虽然资料较老，但内容扎实实用重点训练Linux系统入侵排查的核心技能三、具体技术问题与解决方案 3.1 基础靶场场景设计第一个靶场实例：创建恶意用户： hacker 遗留文件位置： /home/hacker/ 目录考察要点：检查 /etc/passwd 发现异常用户排查home目录下的残留文件理解攻击者持久化手段 3.2 Flag防通杀策略问题一：直接搜索flag关键字现象：学员使用 grep -r "flag" / 等命令直接搜索，绕过正常排查流程解决方案：采用Base64编码将flag内容进行Base64编码处理示例：原始flag"flag{example}"编码为"ZmxhZ3tleGFtcGxlfQ==" 迫使学员理解上下文，不能简单关键字搜索问题二：Base64编码模式识别现象：学员发现Base64模式，搜索"Zmxh"等固定前缀解决方案：彻底去除flag{}格式改用纯文本提示信息将答案融入正常的系统文件内容中要求学员通过逻辑分析而非模式匹配来解题 3.3 文件时间痕迹处理问题描述：通过时间戳筛选可疑文件攻击手法： find / -mtime -1 查找近期修改的文件解决方案：使用touch命令统一时间戳 3.4 启动文件隐藏技术问题描述：进程信息泄露攻击手法：通过 ps aux 查看进程信息，直接读取启动脚本内容初始解决方案：执行后删除文件脚本执行完成后立即自删除但进程仍在运行，可通过内存读取恢复优化方案：多层脚本调用 start.sh （持久存在）：负责调用核心脚本 ok.sh （核心逻辑）：包含实际考题逻辑执行流程： start.sh调用ok.sh ok.sh执行完成后自删除内存中只保留进程信息，无法直接读取脚本内容四、完整靶场制作流程 4.1 环境准备阶段选择干净的Linux系统环境安装和配置gotty服务设计攻击场景和排查路径 4.2 攻击痕迹植入创建后门账户和权限设置部署恶意脚本和可疑文件设置文件时间戳混淆设计合理的flag隐藏方案 4.3 防护措施实施配置脚本自删除机制实施反通杀检测策略验证各种绕过手法的有效性 4.4 测试验证邀请安全专家进行测试收集反馈并迭代优化确保教学目标的达成五、最佳实践总结 5.1 设计原则真实性：模拟真实的攻击场景和痕迹教育性：每个设计都要服务于教学目标防作弊：充分考虑学员可能使用的各种捷径可扩展性：架构支持多种场景的快速部署 5.2 技术要点避免使用固定的flag格式和位置处理好文件时间和权限属性实现有效的脚本隐藏和清理机制平衡难度与学习曲线的关系 5.3 持续改进建立反馈收集机制定期更新攻击手法和防护措施跟上安全技术发展的步伐六、资源参考实践靶场体验地址：好靶场应急响应靶场教学视频演示： B站演示视频理论基础资料： Linux入侵排查手册通过以上设计和实施策略，可以构建出既具有教育价值又能有效防止取巧的高质量应急响应靶场，为安全人才培养提供有力的实践平台。