场景:2026年5月HVV期间,某省级政务云平台。攻击队利用新发现的应用层0day漏洞,突破WAF防线,目标直指核心数据库。蓝队通过蜜罐和EDR联动,展开72小时溯源反制。
攻击 / 事件时间线
初始访问
攻击队扫描发现政务云对外服务的数据共享交换平台存在未公开的XML外部实体注入(XXE)漏洞。利用该0day构造恶意请求,绕过WAF的签名检测,读取服务器/etc/shadow文件并外带至C2。成功获取低权限WebShell,完成初始立足。
Burp Suite自研XXE Payload生成器Cobalt Strike
提权与横向移动
利用收集到的系统信息,发现服务器存在Polkit pkexec本地提权漏洞(CVE-2021-4034)。上传利用脚本执行,成功获取root权限。随后,通过Mimikatz抓取域管理员凭据,利用PsExec横向扩散至备份服务器和跳板机,为窃取数据做准备。
MimikatzPsExecCVE-2021-4034 Exploit
数据窃取与权限维持
在备份服务器发现未加密的数据库备份文件,使用7z压缩后通过HTTPS分段外传至境外云存储。为维持权限,攻击队安装了Stowaway代理工具,并修改了系统sshd配置文件,添加后门账户,同时清理了部分系统日志。
7zStowaway自定义SSH后门
告警触发与溯源
防守方SOC的EDR监测到备份服务器异常外连,源进程为7z.exe,目标为境外IP。同时,蜜罐捕获到对核心数据库的异常探测流量。蓝队立即启动应急响应,分析Sysmon日志,发现PsExec横向移动痕迹,锁定攻击路径。
SysmonEDR蜜罐平台
蓝队视角 · 发现与处置
蓝队通过EDR告警锁定异常外连,结合Sysmon日志关联分析,发现PsExec横向移动的父进程为备份服务器上的异常进程。立即隔离受影响服务器,封禁外连IP。通过蜜罐回溯攻击链,定位初始漏洞入口——数据共享交换平台的XXE漏洞。联系开发团队紧急修复,并全网排查同类漏洞。72小时内完成攻击路径还原、漏洞修复和恶意代码清除。
涉及关键技术 / 工具
0day XXE漏洞利用Mimikatz凭据窃取Sysmon日志溯源分析
防护经验总结
- 1. 对外服务接口强制使用白名单机制,禁止直接暴露内部路径,并对XML解析功能禁用DTD外部实体。
- 2. 部署基于行为分析的EDR,重点监控异常进程外连(如压缩工具、数据库工具),并设置出站流量告警。
- 3. 建立备份数据加密与访问控制策略,定期进行权限审计,避免备份服务器成为横向移动的跳板。
#HVV#0day#政务云#XXE#权限维持