文章总结： 本文详细分析了OraclePeopleTools环境管理组件(PSEMHUB)中CVE-2026-35273高危漏洞的利用过程，该漏洞无需认证即可远程代码执行。文章复盘了攻击者利用该漏洞植入伪装木马、进行横向移动及部署持久化后门的完整攻击链，并提供了包括日志检查、文件排查和网络ACL封堵在内的具体应急响应与防御方案。 综合评分： 96 文章分类： 漏洞分析,应急响应,红队

9.8分！Oracle被黑客打穿，这波免密RCE实战复盘你必须看

原创

Hankzheng Hankzheng

技术修道场

2026年6月17日 08:03 广东

在小说阅读器读本章

去阅读

大家好，就在这几天，Oracle（甲骨文）发布了一则漏洞通告。一个名为 CVE-2026-35273 的高危漏洞（CVSS评分直接拉满到 9.8）正在被知名勒索软件团伙 ShinyHunters 疯狂利用。

这个漏洞最离谱的地方在于：不需要登录，不需要任何用户交互，只要系统对外暴露了HTTP端口，攻击者发个请求就能直接拿下服务器的最高权限。 从5月底到6月上旬，这玩意儿一直处于无补丁的0day“裸奔”状态，不少海外高校直接被打穿。

今天我们就来硬核复盘一下，剥开表象，看看这个0day到底是怎么被利用的，以及攻击者在实操中用了哪些“骚操作”（甚至犯了哪些低级错误）。

🚨 漏洞核心：精准打击 PSEMHUB

CVE-2026-35273 是一个存在于 PeopleSoft Enterprise PeopleTools 环境管理组件（Updates Environment Management）中的远程代码执行（RCE）漏洞。

简单来说，它的命门在 PSEMHUB（环境管理中心）上。只要你的 PeopleSoft 把 PSEMHUB 暴露在了公网上，那你就是活靶子。目前已知受影响的版本包括 PeopleTools 8.61、8.62，甚至更早那些已经失去官方支持的古董版本也大概率在射程范围内。

攻击链拆解：黑客的“神操作”与“大翻车”

这次攻击之所以能被完整复盘，还得“感谢”攻击者团队的拉胯运维——他们竟然把自己的前置跳板机给暴露了。

Mandiant的安全大牛们顺藤摸瓜，直接端掉了攻击者5台连续IP的服务器。有趣的是，这些服务器居然是用极其原始的 Python SimpleHTTP 跑在 8888 端口上，目录完全对外开放（这波属实是黑客自己的OpSec翻车了）。

在这些暴露的目录里，我们扒出了他们完整的攻击武器库，极具实战研究价值：

1. 伪装木马：

   他们定制了 MeshCentral 的远程管理Agent，并把它伪装成微软 Azure 的二进制文件，以此绕过一些基础的主机安全检测。

2. C2隐匿：

   控制端回连域名被精心挑选为 azurenetfiles.net，肉眼看过去极具欺骗性，很容易被当成正常的微软云流量。

3. 横向移动脚本 ([victim]_fanout.sh)：

   这是最核心的自动化利用部分。脚本拿下当前机器后，会直接去读取 /etc/hosts 抓取内网资产，然后利用硬编码的账号密码字典，通过 SSH 在内网疯狂横向爆破。

4. 后门与勒索标记：

   拿下权限后，除了留下刺眼的 README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT 勒索信，他们还会用 zstd 工具高效压缩窃取的数据，并通过 SSH 隧道直接外发到 ShinyHunters 的数据泄露镜像站。

🛠️ 实战排查：如何判断自己是否中招？

面对这种级别的0day，单靠WAF（Web应用防火墙）的特征检查是远远不够的，因为 payload 很容易通过编码和混淆绕过。

如果你管理的也是复杂的企业级内网，我建议大家立刻登录服务器，重点排查以下几个蛛丝马迹：

• 流量日志溯源：

  去查 WebLogic 的访问日志，看看有没有针对 /PSEMHUB/hub 或 /PSIGW/HttpListeningConnector 的异常外部 POST 请求。

• 揪出Webshell：

  重点翻一翻 PSEMHUB.war 的 Web 目录，找找有没有突然冒出来的陌生 .jsp 文件。另外，如果发现 PSEMHUB 路径下多出了诸如 logs、persistantstorage、scratchpad 这种奇怪的目录，基本可以判定已经沦陷。

• 死磕持久化后门（高阶技巧）：

  攻击者非常狡猾，他们会篡改 envmetadata/data/environment 目录下的 .xml 文件。为什么？因为他们要滥用 XMLDecoder 来实现持久化，只要系统下次重启，后门就会自动复活！

• 异常出站流量追踪：

  检查 PeopleSoft 主机是否有向外部发起的 TCP 445 (SMB) 流量。这通常是漏洞利用链中，黑客为了抓取机器账户 NetNTLM hash 而布置的陷阱。

🛡️ 止血与防御方案

目前的当务之急是阻断攻击路径。

1. 架构级调整（最彻底） 如果是多服务器环境，果断禁用 Environment Management Hub 服务；如果是单机跑所有组件，看看能不能直接把 PSEMHUB 应用彻底移除。

2. 边界ACL封堵（见效最快） 如果你暂时无法动业务系统，那就必须在网络边界上“下狠手”。比如，如果你企业的出口网关使用的是 爱快（iKuai）路由器，或者是通过 Cisco 交换机 做的核心层控制，建议立刻登录设备，在网关的访问控制策略（ACL）或防火墙规则里，将对外暴露的 /PSEMHUB/* （特别是 /PSEMHUB/hub）和 /PSIGW/HttpListeningConnector 路径直接阻断。这不会影响正常业务用户的Session交互。

最后，记得尽快去 My Oracle Support 确认是否有对应版本的补丁并打上。

ShinyHunters 这种从钓鱼、窃取 Token 玩 SaaS 渗透的团队，现在已经开始掌握并大规模打本地 ERP 系统的服务端 0day 了，这绝对是一个危险的信号。对于我们运维和安全人员来说，苦练内功，深挖底层漏洞原理，才是守住底线的唯一出路。

大家如果在排查过程中遇到类似的情况，或者对 XMLDecoder 持久化细节感兴趣，欢迎在评论区留言交流！我们下期技术干货见。

声明： 本文仅供技术交流与安全研究，请勿用于任何非法用途。企业安全防护需严格遵守国家相关网络安全法律法规。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《9.8分！Oracle被黑客打穿，这波免密RCE实战复盘你必须看》