攻防实战复盘
RCE直击:从PoC到服务器沦陷
2026年07月15日 · 周三
真实攻击复盘 高级
场景:2026年7月,某制造企业工业互联网平台遭攻击。攻击者利用Windows HTTP.sys高危漏洞(CVE-2026-47291)实现远程代码执行,直取服务器控制权。
攻击 / 事件时间线
1
初始访问
攻击者通过Shodan扫描暴露在公网的Windows Server 2022,发现其HTTP.sys组件存在整数溢出漏洞。利用公开PoC构造特制HTTP请求包,触发内核态整数溢出,导致系统崩溃并执行攻击者预设的shellcode,成功建立反向Shell连接。整个过程耗时不到30秒,未触发任何传统WAF告警。
ShodanMetasploitCVE-2026-47291 PoC
2
提权与持久化
获得初始Shell后,攻击者发现当前权限为SYSTEM。直接利用该权限创建计划任务,将Cobalt Strike Beacon注册为系统服务,实现持久化。同时,清理Windows事件日志中的4625和4624条目,消除初始入侵痕迹。
Cobalt StrikePowerShellwevtutil
3
横向移动
利用Beacon内置的psexec模块,结合内网域控账户的明文密码哈希(通过Mimikatz从内存中提取),批量横向移动至3台SQL Server和2台文件服务器。在每台机器上部署Beacon并启用SMB管道通信,构建隐蔽内网通道。
MimikatzCobalt Strike psexecSMB Beacon
4
数据窃取与破坏
从SQL Server中导出ERP数据库备份(约200GB),并通过压缩分片加密后,经HTTPS外传至VPS。同时,在文件服务器上植入勒索软件加密工业设计图纸,留下勒索信。全过程耗时约4小时。
7-ZipRclone自定义勒索软件
蓝队视角 · 发现与处置
防守方在攻击者横向移动阶段产生告警:域控服务器出现异常计划任务创建(Event ID 4698)。SOC分析师通过Sysmon日志(Event ID 1)追踪到父进程为svchost.exe且命令行包含base64编码的PowerShell脚本。进一步关联日志发现,该脚本从公网IP下载Beacon载荷。通过YARA规则扫描内存,确认Cobalt Strike特征。立即隔离受影响服务器,阻断C2通信,并启动应急响应流程。
涉及关键技术 / 工具
CVE-2026-47291漏洞利用Mimikatz凭据提取Cobalt Strike SMB Beacon横向移动
防护经验总结
  • 立即将Windows Server更新至2026年7月补丁,修复HTTP.sys整数溢出漏洞,并禁用不必要的HTTP.sys功能。
  • 部署Sysmon并启用进程创建、网络连接和文件创建事件的详细日志,配合SIEM关联分析异常行为模式。
  • 启用LSA保护机制,禁止Mimikatz从内存中提取明文凭据,并实施最小权限原则,对域控账户做严格审计。
#RCE#CVE-2026-47291#Cobalt Strike#Mimikatz#工业互联网安全
数据安全早知道 · 攻防实战专栏
⚠️ 免责声明
本文内容源自公开披露的安全事件或高仿真模拟场景,所有涉及的组织、系统、技术细节均经过脱敏处理,仅供安全学习与交流参考,不构成任何技术指导或合规建议。
数安早知道
🔗 数据安全与信息安全知识库 datasafe.website
— 点击上方链接访问知识库,获取更多安全资讯 —