场景:某金融科技公司于2026年6月HVV演练中,红队通过其DMZ区对外Web应用的一个低危信息泄露漏洞,结合后续发现的逻辑缺陷,在48小时内完成从外网突破到内网核心数据库的完整攻击链。
攻击 / 事件时间线
初始突破:信息收集与低危漏洞利用
红队对目标公网资产进行全端口扫描与指纹识别,发现其HR系统存在一个被忽略的/api/employee/export接口,虽经鉴权但未限制返回字段,可通过修改参数枚举获取员工工号、邮箱及内部手机号。利用获取的邮箱,红队构造了针对性的鱼叉式钓鱼邮件(含伪装成HR薪资调整表的恶意Excel文档),成功诱导一名员工点击,激活宏病毒下载Cobalt Strike Beacon。
NmapBurp SuiteCobalt Strike宏病毒
权限维持与内网侦查
Beacon上线后,红队立即执行whoami /priv发现当前用户具有SeImpersonatePrivilege权限。通过JuicyPotato(利用RPC服务)提权至SYSTEM权限。随后部署SharpHound进行内网域信息收集,发现该员工终端虽在DMZ子网,但可通过RDP访问一台未开启网络隔离的Jump Server。
JuicyPotatoSharpHoundRDP
横向移动:从DMZ直捣核心
红队利用Pass-the-Hash攻击,通过从Jump Server内存中Dump的域管理员Hash,直接认证登录至核心域的SQL Server AlwaysOn集群。利用SQL Server的xp_cmdshell扩展存储过程,执行系统命令反弹Shell,最终在数据库服务器上部署Mimikatz抓取明文密码,并导出核心业务数据。
MimikatzSQL Server xp_cmdshellPass-the-Hash
蓝队视角 · 发现与处置
防守方(SOC)在第36小时通过Windows Event ID 4624(登录类型3,异常来源IP)发现DMZ区终端对外部IP的异常RDP连接。结合Sysmon日志中的进程创建(Event ID 1)和网络连接(Event ID 3),溯源到Cobalt Strike Beacon进程和钓鱼邮件附件。立即对受感染终端进行网络隔离,阻断其通信;同时基于IOC(C2域名、Beacon文件Hash)在EDR平台下发全网扫描与查杀策略。通过分析Jump Server日志,确认攻击路径后,重置所有相关账户密码并下线Jump Server,防止横向移动扩大。
涉及关键技术 / 工具
鱼叉式钓鱼JuicyPotato提权Pass-the-Hash横向移动Sysmon日志分析
防护经验总结
- 1. 对外Web应用必须实施严格的接口字段级权限控制,避免低危漏洞成为信息收集的突破口。
- 2. DMZ区域与内网核心网络必须实现物理或逻辑上的严格隔离,Jump Server等跳板机应开启多因素认证(MFA)。
- 3. 建立完整的终端应用白名单机制,限制宏、脚本等执行策略,并启用Sysmon记录所有进程创建与网络连接。
#HVV#红蓝对抗#横向移动#Cobalt Strike#Web漏洞利用链