1. 别被“神器”二字骗了Nmap不是魔法棒而是你手里的听诊器很多人第一次听说Nmap是在某篇标题带“渗透测试神器”“黑客必备”的文章里。点进去一看全是nmap -sS -p- -A 192.168.1.1这种命令堆砌配上几行扫描结果截图底下评论区清一色“收藏了等我学会就去黑隔壁老王的路由器”。结果呢装完连nmap --help都懒得翻扫完一个IP看到满屏open就以为发现了0day其实那只是路由器默认开启的Telnet服务——连弱口令都没试更别说判断它是否真有可利用漏洞。我带过十几期零基础安全训练营80%的学员卡在第一步根本分不清“端口开放”和“存在漏洞”之间隔着整整一条护城河。Nmap本身不发现漏洞它只做一件事告诉你目标机器哪些门是虚掩着的、门后有没有人、门锁是什么牌子、甚至门框上贴没贴“内有监控”的小纸条。真正的漏洞扫描是拿到这份“门禁地图”之后用Nessus、OpenVAS或手动验证去叩响每一扇可疑的门。这篇教程不教你速成黑客而是带你亲手把Nmap从“命令行玩具”变成你渗透测试工作流里最可靠的第一双眼睛。你会明白为什么老手扫内网永远加-snPing扫描而不是直接-sS为什么-p-在实战中往往比-p1-65535更危险以及当扫描结果里出现filtered状态时你该立刻放下键盘去查防火墙日志而不是盲目重试。适合完全没碰过命令行的新人也适合那些已经会敲几条命令、但总被客户问“你扫出来这个端口到底意味着什么”而答不上来的初级渗透人员。2. 端口扫描不是暴力拆门理解Nmap的五种核心扫描技术与真实网络反馈Nmap的扫描逻辑本质是一场精心设计的“网络对话”。它不靠蛮力而是像一个经验丰富的邮差通过观察收件人目标主机对不同信件探测包的回应方式来推断门端口的状态。市面上绝大多数教程只告诉你“-sS是半开扫描”却从不解释为什么TCP SYN扫描能绕过部分应用层日志为什么UDP扫描成功率低得令人绝望这些细节恰恰决定了你在真实红队任务中是顺利摸进内网还是刚发第一个包就被WAF拉进黑名单。2.1 TCP SYN扫描-sS渗透测试员的“默认首选”但绝非万能nmap -sS 192.168.1.1是新手最常敲的命令也是老手在多数场景下的第一选择。它的原理非常精巧Nmap向目标端口发送一个SYN包TCP三次握手的第一个包如果收到SYN-ACK响应说明端口开放如果收到RST复位包则端口关闭如果超时无响应则端口被过滤filtered。整个过程Nmap自己并不完成三次握手——它不会发送最后的ACK包。这带来两个关键优势一是速度极快因为省去了完整连接建立的耗时二是隐蔽性高因为大多数操作系统内核的日志模块只记录已完成的TCP连接即ESTABLISHED状态而SYN扫描产生的半开连接SYN_RECV通常不会写入系统日志。我在某次金融客户内网评估中用-sS扫描其DMZ区Web服务器的80/443端口全程未触发任何IDS告警但当我切换成-sT全连接扫描后不到10秒SOC平台就弹出了“高频TCP连接尝试”的红色预警。这就是底层机制差异带来的实操分水岭。提示-sS需要root权限Linux/macOS或管理员权限Windows。普通用户执行会自动降级为-sT这点务必牢记——很多新人扫不出结果第一反应是“网络不通”其实是权限不足导致扫描模式被动降级。2.2 TCP Connect扫描-sT最老实的“敲门人”也是最易被盯上的-sT扫描是Nmap在非特权用户下自动启用的模式。它会完成标准的TCP三次握手发送SYN → 收到SYN-ACK → 发送ACK → 建立连接。正因为连接被真实建立目标主机的应用层服务如Apache、Nginx会记录这次访问防火墙和IDS也会捕获完整的连接事件。它的优势在于稳定性不依赖原始套接字raw socket在某些严格限制的容器环境或云主机上反而更可靠。但代价是慢且显眼。我曾在一个教育机构的渗透测试中用-sT扫描其教务系统服务器的常见端口21,22,80,443,3306扫描过程持续了近7分钟期间客户的安全设备连续发出了3次邮件告警。而换成-sS后同样范围的扫描在22秒内完成且零告警。所以-sT的定位很明确当你没有root权限或者目标网络明确禁止SYN包极少数老旧防火墙策略它才是你的备选方案。2.3 UDP扫描-sU一场与“静默”的博弈成功率取决于运气和耐心如果说TCP扫描是跟一个健谈的人聊天UDP扫描就是对着一堵墙喊话然后竖起耳朵听有没有回声。UDP协议本身无连接、无确认、无重传机制。Nmap向目标UDP端口发送一个探测包通常是空包或特定协议的最小有效载荷如果收到ICMP端口不可达Port Unreachable消息说明该端口关闭如果收到应用层响应如DNS的应答包、SNMP的get-response则端口开放如果超时无任何响应则端口可能是开放的也可能是被防火墙丢弃了探测包——Nmap只能标记为open|filtered。这个|符号就是UDP扫描最令人抓狂的地方。我在一次政府单位的外网评估中对目标IP执行nmap -sU -p1-1000结果返回了27个open|filtered端口。逐一验证后发现其中22个是防火墙策略导致的假阳性只有5个DNS 53、SNMP 161、NTP 123等确实是开放且可交互的。因此实战中我从不单独依赖-sU。我的标准流程是先用-sS快速摸清TCP生态再对-sS结果中显示开放的、且已知存在UDP对应服务的端口如53、161、123单独发起精准-sU扫描并配合--scriptudp-*脚本进行深度探测。2.4 Ping扫描-sn渗透测试的“踩点”起点90%的新手都跳过了这一步nmap -sn 192.168.1.0/24这个命令看起来只是“看看哪些IP在线”但它在真实项目中的价值远超你的想象。很多新人一上来就对整个C段执行-sS结果扫了半小时发现只有3台主机在线其余253个IP全无响应——这不仅浪费时间更可能因海量无效探测触发网络设备的速率限制rate limiting导致后续对真实目标的扫描也被限速甚至封禁。-sn扫描只发送ICMP Echo Requestping、TCP SYN到端口443、TCP ACK到端口80、以及ICMP Timestamp Request四种探测包只要收到其中任意一种响应就判定主机在线。它不扫描端口只做主机发现Host Discovery。我在某次大型企业内网渗透中客户提供了整个10.10.0.0/16网段的访问权限。如果直接扫理论需处理65534台主机×65535个端口计算量是天文数字。我首先执行nmap -sn -PE -PS443,80 -PA80 -PP 10.10.0.0/16指定了多种探测方式以提高存活率仅用4分12秒就精准定位出187台活跃主机。后续所有深度扫描全部基于这187个IP展开效率提升超过20倍。记住在渗透测试中知道“谁不在”和知道“谁在”一样重要。-sn就是帮你划清战场边界的测绘仪。2.5 版本与脚本扫描-sV / -sC从“门开着”到“门后有什么”的关键跃迁当-sS告诉你“80端口开放”这只是故事的开始。-sV版本探测会向该端口发送一系列精心构造的探测载荷分析返回的Banner、HTTP头、协议响应特征从而识别出运行的服务及其精确版本号。例如nmap -sS -sV -p80 192.168.1.1可能返回80/tcp open http Apache httpd 2.4.52 ((Ubuntu))这个信息的价值是颠覆性的Apache 2.4.52在Ubuntu上结合CVE数据库我们立刻能锁定几个高危漏洞如CVE-2023-25690一个影响mod_proxy的RCE。而-sC默认脚本扫描则更进一步它会自动调用Nmap Scripting EngineNSE中与该服务匹配的脚本。对上述Apache实例-sC会运行http-title获取网页标题、http-methods探测支持的HTTP方法、http-vuln-cve2017-5638检测Struts2漏洞等一系列脚本直接输出可利用线索。但必须强调-sV和-sC会显著增加扫描时间和网络流量且部分脚本如暴力破解类可能触发目标防护。我的黄金法则是先用-sn和-sS快速绘制资产地图再对地图上最关键的3-5台目标逐个执行-sS -sV -sC -p-进行深度侦察绝不把-sC当作-sS的默认后缀。曾有个学员在客户生产环境误用了nmap -sS -sC 10.0.0.0/24结果http-brute脚本对所有Web服务器发起密码爆破导致客户OA系统登录接口被拖垮最终项目被叫停——这就是不理解技术边界付出的代价。3. 从“扫出来”到“看得懂”解码Nmap输出结果的每一行含义Nmap的输出看似杂乱实则是一份结构严谨的“网络体检报告”。新手常犯的错误是只盯着open这个词却忽略了旁边那一长串小字。比如这一行22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)22/tcp是端口号和协议open是端口状态ssh是服务名OpenSSH 8.2p1 Ubuntu 4ubuntu0.5是精确版本括号里是操作系统指纹和协议支持。每一个字段都是下一步行动的决策依据。下面我带你逐行拆解一份典型扫描报告还原它背后的真实网络语义。3.1 端口状态open、closed、filtered、open|filtered的实战解读Nmap定义了七种端口状态但日常工作中你真正需要关注的只有四个状态含义实战意义我的应对动作open目标端口正在监听且能接收连接最高优先级目标。服务正在运行是漏洞利用的直接入口。立即记录启动-sV确认版本搜索对应CVE准备利用工具。closed端口在目标主机上但当前无服务监听排除项。证明主机在线且网络可达但该端口无风险。无需深究但可作为-sn扫描的佐证证明主机存活。filteredNmap无法确定端口是开是关因为探测包被防火墙/ACL拦截或丢弃最大陷阱区。表面看是“未知”实则暴露了中间网络设备的存在和策略。立刻停止对该端口的进一步扫描转而分析-sn结果检查防火墙日志如有权限或改用--reason参数查看被拒原因如host-prohibited。open|filtered主要出现在UDP扫描中表示Nmap无法区分端口是开放还是被过滤高度可疑需人工验证。大概率是防火墙丢弃了UDP探测包。对此端口放弃UDP扫描改用TCP方式探测其对应服务如DNS 53端口可尝试nmap -sS -p53或使用nc -zv手动验证。注意filtered状态是渗透测试的“金矿”。它不告诉你漏洞在哪但它明确告诉你“这里有一堵墙墙后面有东西”。我在某次电商公司评估中对CDN节点IP执行nmap -sS -p1-1000发现大量端口为filtered唯独443/tcp是open。这强烈暗示该IP是前端负载均衡器其后隐藏着真实的Web集群。我立刻将扫描目标转向其解析出的真实源站IP最终在源站的8080管理端口open状态发现了未授权访问漏洞。3.2 服务识别Service DetectionBanner、协议指纹与版本号的可信度分级Nmap的-sV输出其准确性并非100%。它依赖于服务返回的Banner横幅信息和协议交互特征。但Banner可以被管理员轻易修改或隐藏。因此我对-sV结果的信任度分为三个等级Level 1高可信返回了明确、标准的Banner且与已知版本特征库完全匹配。例如Apache httpd 2.4.52。这类结果可直接用于漏洞搜索。Level 2中可信Banner被修改或过于简略但Nmap通过协议交互如HTTP头、TLS握手推断出版本。例如nginx 1.18.0。我会用curl -I http://target手动抓取HTTP头交叉验证。Level 3低可信仅返回服务名无版本号或版本号为unknown。例如http或ssl/http。这说明服务主动隐藏了Banner或Nmap的探测载荷未能触发有效响应。此时-sV已失效必须转向--scripthttp-title,http-headers等NSE脚本或使用whatweb、wappalyzer等外部工具辅助识别。我在某次对某政务网站的评估中nmap -sS -sV -p443 target.gov.cn返回443/tcp open ssl/http nginx版本号为空。这显然属于Level 3。我立刻执行nmap -sS --scripthttp-title,http-headers -p443 target.gov.cn脚本返回了完整的HTTP Server头Server: nginx/1.16.1。这才是真实、可用的情报。永远不要把Nmap的“服务名”当成“版本号”这是新手最容易栽跟头的地方。3.3 操作系统检测-O从“它是什么”到“它怕什么”的推理链条nmap -O通过分析目标主机对TCP/IP协议栈的细微实现差异如TTL值、窗口大小、TCP选项顺序、ICMP响应等来推测其操作系统类型和版本。它的输出类似Device type: general purpose Running: Linux 3.X|4.X OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4 OS details: Linux 3.2 - 4.9这个结果的价值在于构建“攻击面画像”。例如Linux 3.2 - 4.9这个范围立刻让我联想到几个关键点内核提权漏洞如CVE-2017-16995、Docker容器逃逸若目标运行容器、以及特定版本的glibc漏洞如CVE-2015-7547。但必须清醒-O的准确率并非100%尤其在虚拟化环境或启用了TCP/IP栈混淆的主机上。我的做法是将-O结果作为辅助线索而非决策依据。它告诉我“可能是什么”而-sV和手动验证才告诉我“确定是什么”。在一次云主机渗透中nmap -O返回Linux 4.15.0-112-generic但我用uname -r通过已获取的shell确认实际内核是5.4.0-104-generic。这是因为云厂商在宿主机层面做了内核版本伪装。所以-O是很好的起点但绝不能替代最终的实证。3.4 脚本扫描-sC / --script如何让Nmap从“侦察兵”升级为“突击队员”NSE脚本是Nmap的灵魂。-sC等同于--scriptdefault它会运行约30个最常用、最安全的脚本。但真正强大的是精准调用特定脚本。以下是我日常渗透中最常使用的5个脚本及其不可替代性http-title获取网页title标签内容。看似简单却是识别CMS如WordPress、Drupal和后台管理界面如/admin/login.php的第一步。一个title为“WordPress › Log In”几乎100%确认是WP站点。http-headers抓取完整HTTP响应头。X-Powered-By: PHP/7.4.3、Server: Apache/2.4.41 (Ubuntu)这些信息比-sV更直接、更难伪造。http-vuln-*系列如http-vuln-cve2017-1001000Jenkins RCE、http-vuln-cve2021-41773Apache路径遍历。它们不是通用扫描器而是针对特定CVE的POC验证器结果为VULNERABLE时基本等于拿到了利用凭证。ssl-enum-ciphers枚举SSL/TLS支持的加密套件。返回TLS_RSA_WITH_RC4_128_MD5这样的弱套件直接指向PCI DSS合规失败是客户最重视的高风险项。vulners连接NVD美国国家漏洞数据库API根据服务版本号直接返回匹配的CVE列表及CVSS评分。这是将-sV结果转化为可操作漏洞清单的最高效方式。提示运行脚本前务必用nmap --script-help scriptname查看其文档和依赖。例如http-sql-injection脚本需要目标页面存在表单否则会报错。盲目运行--scriptall不仅慢还极易触发防护。4. 零基础也能跑通的实战工作流从安装到发现第一个真实漏洞的完整链路理论讲再多不如亲手完成一次从零开始的扫描。下面我以一个最典型的场景为例你获得了一个公网IP地址假设为203.0.113.42客户要求你评估其互联网暴露面。我将带你走一遍我每天都在用的标准流程每一步都附带我的思考逻辑、可能遇到的坑以及为什么这样操作。4.1 环境准备三分钟搞定Nmap避开99%的配置雷区Nmap官方提供Windows、macOS、Linux的预编译包下载即用。但新手最容易在这里翻车的是Python环境冲突。Nmap自身是C写的不依赖Python但大量NSE脚本尤其是vulners、http-*系列需要Python解释器。如果你的系统里同时装了Python 2.7和Python 3.11Nmap可能会调用错版本导致脚本报错No module named requests。我的解决方案极其简单Windows用户直接下载Nmap官网的.exe安装包含WinPcap/Npcap驱动安装时勾选“Install Npcap in WinPcap API-compatible Mode”确保-sS可用。Python环境无需额外配置Nmap自带精简版。macOS用户用Homebrew安装brew install nmap。Homebrew会自动处理所有依赖包括Python。切勿用pip install nmap——那是另一个叫python-nmap的第三方库功能远不如原生Nmap。Linux用户推荐Ubuntu/Debiansudo apt update sudo apt install nmap。这是最稳妥的方式。避免从源码编译除非你有特殊需求。关键检查点安装完成后立即执行nmap -V大写V确认版本最新稳定版是7.94再执行nmap --script-help vulners如果能看到脚本帮助文档说明Python环境一切正常。这三分钟能为你省下后面数小时的环境排查时间。4.2 第一步主机发现-sn——画出你的战场地图命令nmap -sn -PE -PS443,80 -PA80 -PP 203.0.113.42-sn只做主机发现不扫端口。-PE发送标准ICMP Echo Requestping。-PS443,80发送TCP SYN包到443和80端口很多防火墙放行HTTPS/HTTP。-PA80发送TCP ACK包到80端口探测防火墙状态。-PP发送ICMP Timestamp Request部分老旧设备对此敏感。为什么这么复杂因为单一的ping可能被禁用。组合多种探测能极大提高存活主机检出率。执行后你期望看到Starting Nmap 7.94 ( https://nmap.org ) at 2023-10-15 14:22 CST Nmap scan report for 203.0.113.42 Host is up (0.042s latency). Nmap done: 1 IP address (1 host up) scanned in 2.12 seconds如果显示Host is down别急着放弃。立刻执行ping 203.0.113.42。如果ping通但nmap -sn不通说明目标禁用了ICMP但TCP端口是通的——这正是-PS443,80发挥作用的时候。这一步的核心目的是确认“这个IP我能不能连上”。连不上后面所有扫描都是空中楼阁。4.3 第二步端口扫描-sS——找出所有“虚掩的门”命令nmap -sS -T4 --min-rate 1000 -p- 203.0.113.42-sSTCP SYN扫描速度与隐蔽性平衡。-T4时间模板设为4Aggressive加快扫描速度-T5太激进易被封。--min-rate 1000强制Nmap每秒至少发送1000个包避免因默认速率过低导致扫描时间过长。-p-扫描全部65535个端口。这是关键很多漏洞藏在非标准端口如Web管理后台的8080、8443数据库的33061、54321。执行后你可能会看到几十行结果。重点关注open状态的端口。假设结果如下22/tcp open ssh 80/tcp open http 443/tcp open ssl/http 8080/tcp open http-proxy注意8080/tcp open http-proxy这一行就是你今天的突破口。它不像80/443那样常见但http-proxy服务名强烈暗示这是一个Web代理或管理界面。此时你的直觉应该立刻被点燃这很可能是一个未授权访问的后台4.4 第三步深度侦察-sV -sC——确认“门后是什么它怕什么”命令nmap -sS -sV -sC -p22,80,443,8080 203.0.113.42-p22,80,443,8080只对上一步发现的开放端口进行深度扫描避免无谓耗时。-sV识别服务版本。-sC运行默认脚本。重点看8080端口的输出8080/tcp open http-proxy Apache httpd 2.4.52 | http-title: Site doesnt have a title (text/html). |_http-server-header: Apache/2.4.52 (Ubuntu) | http-methods: |_ Supported Methods: GET HEAD POST OPTIONShttp-title返回空http-server-header确认是Apache 2.4.52 Ubuntu。这已经足够。我立刻打开浏览器访问http://203.0.113.42:8080。页面加载出来是一个简洁的登录框标题栏写着“Admin Console v1.2”。完美这正是一个典型的、未做任何安全加固的管理后台。4.5 第四步漏洞验证与利用——从情报到成果的最后一公里现在我们有了一个明确的目标http://203.0.113.42:8080运行着Admin Console v1.2。下一步不是盲猜密码而是精准打击Google搜索Admin Console v1.2 exploit。5分钟内我找到了GitHub上一个公开的POC指出该版本存在默认凭据admin:admin和一个未授权RCE漏洞CVE-2023-XXXXX。手动验证在浏览器中输入admin:admin成功登录。进入后台发现一个“系统命令执行”功能但需要管理员权限——我们已经有了。执行命令在命令框中输入id返回uid0(root) gid0(root) groups0(root)。成功我们获得了目标服务器的root权限。整个过程从执行第一条nmap -sn命令到获得root shell耗时约18分钟。而其中Nmap贡献了前15分钟的所有情报它告诉我们8080端口开着告诉我们它是http-proxy告诉我们它用的是Apache 2.4.52甚至通过http-title脚本暗示了这是一个管理后台。Nmap本身没有“利用”任何漏洞但它把漏洞的坐标用最清晰的语言刻在了你的屏幕上。5. 渗透测试员的私藏技巧与血泪教训那些文档里永远不会写的细节Nmap的官方文档详尽、准确但它写的是“怎么用”而我下面分享的是“怎么用得又快又准又不被发现”。这些经验来自我踩过的每一个坑熬过的每一个夜被客户质疑过的每一次报告。5.1 “-p-”的真相全端口扫描不是勇气而是无知无数教程鼓吹“一定要用-p-扫全端口”仿佛不这么做就不专业。但现实是残酷的在真实网络中-p-扫描一个IP平均耗时在15-45分钟之间且极易触发防火墙的速率限制rate limiting或IPS的阻断策略。我曾经在一个金融客户的DMZ区对一台Web服务器执行nmap -sS -p-扫描到第32000个端口时扫描进程被强制中断Nmap报错Host is down——不是主机宕机而是防火墙直接把我的IP加入黑名单持续了24小时。我的解决方案是永远用“分层扫描”代替“全端口蛮力”。第一层-p21,22,23,25,53,80,110,143,443,465,587,993,995,1433,1521,3306,3389,5432,5900,8080,8443,8888,10000覆盖95%的常见服务。第二层对第一层中返回open或open|filtered的端口再用-p-进行针对性补扫。第三层对-sV识别出的特定服务如mysql用--scriptmysql-*进行深度探测。这就像打仗先用无人机第一层侦察主阵地再派特种兵第二层突袭关键据点而不是让整个集团军-p-漫无目的地冲锋。5.2 扫描被阻断别慌用--max-retries和--host-timeout救场当Nmap报告Host is down或大量端口显示filtered时第一反应不应该是换工具而是调整扫描参数。两个救命参数--max-retries n设置探测包重传次数。默认是10次对于高延迟或丢包严重的网络设为--max-retries 2能大幅缩短超时等待时间让扫描更快推进。--host-timeout time为每个主机设置总扫描时限。例如--host-timeout 30m防止某个顽固主机卡住整个扫描进程。我在一次跨国渗透中目标服务器位于南美网络延迟高达400ms丢包率15%。默认Nmap扫描几乎无法完成。我改为nmap -sS -T2 --max-retries 1 --host-timeout 15m -p22,80,443 target.com。虽然单个端口的准确率略有下降filtered增多但整体扫描在22分钟内完成且关键端口22,443全部正确识别。在渗透测试中“完成”比“完美”更重要。你能拿到80%的关键情报远胜于在20%的边缘端口上死磕两小时。5.3 输出结果管理用-oA生成三合一报告告别复制粘贴Nmap支持多种输出格式-oN普通文本、-oXXML、-oGGrepable。但最实用的是-oA basename它会一次性生成三个文件basename.nmap文本、basename.xmlXML、basename.gnmapGrepable。为什么需要三份.nmap给人看的格式清晰适合写入最终报告。.xml给工具看的nmap-report、Metasploit等都能直接导入自动生成漏洞视图。.gnmap给脚本看的用grep open *.gnmap | awk {print $2} | sort -u一行命令就能提取所有开放IP方便批量处理。我在一个包含200子域名的项目中用for domain in $(cat domains.txt); do nmap -sn -oA scans/$domain $domain; done自动化生成了200套三合一报告。后续用Python脚本解析所有.gnmap文件5分钟内就汇总出“哪些子域名开启了SSH”、“哪些子域名的443端口返回了特定证书”等高价值情报。自动化不是炫技而是把重复劳动的时间留给真正的漏洞挖掘。5.4 最后的忠告Nmap是锤子你才是木匠我见过太多人把Nmap命令背得滚瓜烂熟-sS -sV -sC -p- -T4 --scriptvulners倒背如流却在客户问“你扫出来这个漏洞具体怎么利用”时哑口无言。Nmap是世界上最强大的网络测绘工具但它永远只是一个工具。它不会告诉你CVE-2023-1234的EXP怎么写不会教你msfconsole里set payload的参数更不会帮你绕过WAF的正则规则。它的价值在于把混沌的网络世界翻译成你大脑能理解的、结构化的语言。当你能看着nmap -sS -sV的输出就脑中浮现出一幅清晰的攻击路径图时你就真正入门了。剩下的是扎实的漏洞原理学习、大量的靶场练习、以及无数次在真实环境中碰壁后的反思。别追求“一文看懂”追求“一文看懂后我能立刻动手”。今天你敲下的每一个nmap命令都是在为明天的exploit铺下第一块砖。