如何通过组合手段大批量探测CVE-2024-38077

文章预览

背景 近期正值多事之秋，hvv中有CVE-2024-38077专项漏洞演习，上级police也需要检查辖区内存在漏洞的资产，自己单位领导也收到了情报，在三方共振下这个大活儿落到了我的头上。Windows Server RDL的这个漏洞原理就不过多介绍，本文重点关注如何满足大批量探测的需求。 问题 CVE-2024-38077自披露以来流传过几个poc工具，但使用过后留下的只有某某服的exe版本。可能出于保密原因，这个工具不支持的功能太多，本文就不一一列举，采用排除法自行脑补。支持的参数是指定某个IP或者某个IP段进行扫描，然后没了，就像这样： 但是这样扫来扫去无法满足需求，遇到的几个典型问题就是： • 扫的为什么很慢？ • 从外部导入IP怎么办？ • 如何从大批量资产中筛选出有漏洞的？ 空间测绘 探测辖区内或者某一地区的资产当然离不开空间测绘工具，fofa、鹰图、sh ………………………………