场景:某大型企业西南分公司突遭漏洞通报,安全团队溯源发现,攻击者已利用Solon框架模板漏洞潜入内网长达两周,并疑似窃取核心业务数据。一场从通报到溯源的反击战就此展开。
攻击 / 事件时间线
初始访问:Solon框架模板漏洞利用
攻击者通过互联网扫描发现分公司对外业务系统使用了存在漏洞的Solon框架(CVE-2026-xxxx,类似Solon框架模板漏洞)。利用该漏洞,攻击者构造了包含恶意模板的HTTP请求,成功绕过了输入过滤,在目标服务器上执行了任意代码。攻击者上传了基于Go编写的Webshell beacon.go,建立了持久化的后门通道。整个攻击链耗时仅12秒,完全避开了WAF的常规规则检测。
Solon框架模板漏洞利用PoCGo编写的Webshell
横向移动与权限维持
攻击者通过Webshell获取了Web服务器(IP: 10.88.12.5)的SYSTEM权限,立即使用Mimikatz抓取管理员密码明文。通过net use命令横向移动到域控服务器(10.88.10.1),并利用dpapi.py解密了域管理员凭据。攻击者创建了隐蔽的计划任务,每6小时执行一次Cobalt Strike的PowerShell stager,确保权限不丢失。
MimikatzCobalt Strikedpapi.py
数据窃取与痕迹清理
攻击者定位到存放核心客户数据的SQL Server数据库(10.88.30.5),使用xp_cmdshell结合sqlps.exe执行PowerShell命令,将数据压缩为.7z文件并通过FTP(使用合法的FileZilla Server)分片外传至境外IP。为隐藏痕迹,攻击者清除了数据库的登录日志,并利用wevtutil清除了Windows安全日志中关键时间段的记录。
7-ZipFileZilla Serverwevtutil
蓝队视角 · 发现与处置
公司安全运营中心(SOC)接到上级通报后启动应急响应。安全工程师第一时间通过EDR定位到被控的Web服务器,发现beacon.go文件。通过分析Sysmon日志,还原了攻击者横向移动的完整路径,确认域控已被攻陷。SOC立即下线三台失陷服务器,通过分析Cobalt Strike的DNS Beacon流量,溯源到境外C2服务器IP。最终利用YARA规则在内网全量扫描,发现并清除其他潜伏的后门。
涉及关键技术 / 工具
Solon框架模板漏洞利用Mimikatz凭据窃取Sysmon日志溯源YARA规则扫描
防护经验总结
- 立即排查并修复所有Solon框架版本,建立开源组件SBOM(软件物料清单)管理机制,确保漏洞发现后2小时内完成影响面评估。
- 在域控服务器启用LAPS(本地管理员密码解决方案),禁止明文密码在内存中缓存,从源头上阻断Mimikatz的攻击。
- 部署基于机器学习的UEBA(用户与实体行为分析)规则,监控异常的计划任务创建行为和非办公时间的批量数据外传流量。
#Solon框架漏洞#横向移动#Mimikatz#数据窃取#应急响应#溯源分析