场景:2026年6月,某金融科技企业HVV期间,红队通过最新曝光的Microsoft Exchange Server SSRF漏洞(CVE-2026-45504)撕开DMZ防线,并在内网建立持久化据点。蓝队SOC在攻击后第12分钟触发高危告警。
攻击 / 事件时间线
初始访问:SSRF漏洞利用
红队针对公网Exchange服务器发起漏洞验证,利用CVE-2026-45504构造特制HTTP请求,触发服务器端请求伪造。绕过身份验证后,通过SSRF读取本地文件,获取Exchange服务器上的管理凭据哈希。整个过程耗时约7分钟,未触发WAF告警(流量伪装为正常OWA请求)。
CVE-2026-45504 PoCBurp SuiteResponder
权限提升与持久化
利用获取的哈希,通过Pass-the-Hash技术横向至域控。运行Mimikatz导出krbtgt哈希,创建黄金票据。随后在Exchange服务器上部署基于.NET的反向代理后门,并注册为Windows服务,与C2建立心跳连接,实现隐蔽持久化。
MimikatzCobalt StrikeSharpSvc
横向移动与数据狩猎
使用黄金票据绕过域控认证,红队通过BloodHound分析域内信任关系,发现SQL Server服务账户具备DBA权限。通过Cobalt Strik的SMB Beacon跳板,执行`xp_cmdshell`在数据库服务器上执行系统命令,批量下载包含客户身份信息的数据库备份文件。
BloodHoundCobalt Strike (SMB Beacon)SQLCMD
蓝队视角 · 发现与处置
SOC通过Sysmon日志发现Exchange进程(w3wp.exe)异常出站连接到内网非标准端口(4444),且发起大量LDAP查询。研判组立即隔离受害主机,提取进程内存,解析出Cobalt Strike配置。通过威胁情报关联到APT组织TTP。应急组使用YARA规则扫描全域,清除两台失陷主机上的后门文件,并重置krbtgt密码两次。
涉及关键技术 / 工具
CVE-2026-45504 SSRF利用黄金票据伪造(Golden Ticket)Sysmon进程树与网络连接监控YARA规则检测Cobalt Strike后门
防护经验总结
- 对于Exchange类关键应用,立即部署虚拟补丁或WAF规则,拦截包含`PowerShell`、`cmd`等敏感字符串的SSRF请求。
- 域环境必须启用‘Protected Users’安全组,并配置‘认证保护’(Authentication Policies),阻断Pass-the-Hash攻击。
- 建立‘黄金票据’攻击的实时检测规则:监控krbtgt账户异常的高频TGT请求(超过3次/分钟),并联动SOAR自动隔离可疑域控。
#HVV#Exchange#SSRF#黄金票据#横向移动#Cobalt Strike