场景:某金融企业HVV期间,红队利用Samba打印子系统远程代码执行漏洞(CVE-2026-4480)突破边界,从外网打印服务器一路横向至核心数据库服务器。
攻击 / 事件时间线
初始访问
红队通过Shodan扫描发现目标公网暴露的Samba打印服务(端口631),版本为3.6.x,确认存在CVE-2026-4480漏洞。使用公开PoC发送精心构造的打印任务请求,触发堆溢出,成功在目标服务器上执行反弹Shell,获得低权限用户'printuser'的交互式会话。
ShodanMetasploit
权限提升
低权限Shell下执行uname -a && cat /etc/os-release确认系统为Ubuntu 20.04。利用linpeas.sh枚举发现打印服务以root权限运行且SUID位设置不当,通过覆盖打印服务配置文件并触发服务重启,成功提权至root。
linpeas.sh自定义脚本
横向移动
以root身份部署Cobalt Strike Beacon,执行psexec模块扫描内网段。发现192.168.10.0/24段存在多台Windows服务器开放445端口。抓取本地SAM哈希后,使用Pass-the-Hash攻击成功登录域成员服务器,获取域管理员权限。
Cobalt StrikeMimikatzpsexec
数据窃取
在域控服务器上使用Mimikatz导出所有域用户凭证,定位到核心数据库服务器(192.168.20.5)。通过SQL Server Management Studio连接,使用域管理员账号登录,执行SELECT * FROM customers导出百万级客户数据并压缩加密,通过DNS隧道传输至外部C2服务器。
Mimikatzdnscat27-Zip
蓝队视角 · 发现与处置
蓝队通过Sysmon日志发现打印服务器上异常进程创建(spoolsv.exe启动cmd.exe),触发告警。进一步关联Windows Event ID 4688和网络流量日志,发现源IP(外网)向目标打印服务发送大量畸形数据包。研判为CVE-2026-4480利用尝试,立即隔离打印服务器,启用网络访问控制阻止445端口横向流量,并启动应急响应流程进行全盘扫描和日志取证。
涉及关键技术 / 工具
CVE-2026-4480MimikatzCobalt StrikeDNS隧道
防护经验总结
- 及时更新Samba至最新版本,禁用不必要的打印服务,对外网SMB/打印端口实施白名单访问控制。
- 部署Sysmon并启用进程创建、网络连接事件日志,关联分析异常父子进程关系。
- 实施最小权限原则,限制打印服务运行账户权限,禁止以root/system账户运行非核心服务。
#HVV#CVE-2026-4480#红蓝对抗#横向移动#数据窃取