一个网站
SRC漏洞挖掘实战:从信息收集到漏洞提交
编辑
2026-05-10
网络安全
00

目录

前言
一、信息收集
1.1 域名收集
1.2 端口与服务探测
二、漏洞挖掘方向
2.1 信息泄露
2.2 SQL注入
2.3 XSS(跨站脚本攻击)
2.4 越权漏洞
2.5 SSRF(服务端请求伪造)
三、漏洞报告撰写
四、实战小技巧
五、总结

作者:铁林 | 本文首发于 https://www.gzqblog.cyou

前言

在上一篇文章《渗透探索》中,我们聊了联想SRC的域名收集和基础信息收集。这篇文章继续深入,从信息收集到漏洞挖掘,讲一个完整的SRC实战流程。

一、信息收集

SRC漏洞挖掘的第一步永远是信息收集,信息收集的质量直接决定了你能挖到什么样的漏洞。

1.1 域名收集

常用的工具和平台:

  • FOFA / Shodan / Zoomeye:搜索互联网资产,看目标开放了哪些服务
  • OneForAll:子域名爆破工具,集成多种字典和接口
  • SecurityTrails:通过DNS历史记录查找子域名
  • 证书透明度(CT logs):crt.sh 可以查到目标的SSL证书历史,经常能发现隐蔽的子域名

实战命令:

# OneForAll 子域名收集
python oneforall.py --target lenovo.com run

# subfinder 轻量级子域名枚举
subfinder -d lenovo.com -o subs.txt

# httpx 验证存活
cat subs.txt | httpx -title -status-code -o alive.txt

1.2 端口与服务探测

拿到子域名列表后,需要探测哪些端口是开放的、运行着什么服务。

# naabu 快速端口扫描
naabu -list alive_subdomains.txt -top-ports 1000

# nmap 深度扫描
nmap -sV -sC -p 80,443,8080,8443 target.com

重点关注:管理后台(8080/8443)、API接口(/api、/graphql)、开发环境(dev、test、staging)。

二、漏洞挖掘方向

信息收集完成后,按照漏洞类型分方向挖掘。

2.1 信息泄露

这是SRC中最容易出洞的类别。

常见位置:

  • JS文件中的接口地址和AccessKey
  • GitHub泄露的配置文件
  • S3/OSS 存储桶权限配置错误
  • Swagger/API文档未授权访问
  • .git/.svn 目录泄露

检查命令:

# JS文件提取URL
cat all_js.txt | grep -Eo 'https?://[^"\' ]+' | sort -u

# 目录扫描
dirsearch -u https://target.com -e php,asp,jsp,html

2.2 SQL注入

虽然现在SQL注入越来越少了,但在一些老旧系统或者边缘业务上仍然存在。

检测方法:

  1. 手动测试:单引号、双引号、括号闭合
  2. 工具测试:sqlmap
sqlmap -u "https://target.com/api/search?id=1" --batch --random-agent

注意:不要用sqlmap对线上业务进行高强度扫描,建议先手动确认存在注入再用sqlmap确认。

2.3 XSS(跨站脚本攻击)

XSS在SRC里通常评级不高(低危/中危),但在某些场景下可以升级为高危。

反射型XSS:

https://target.com/search?q=<script>alert(1)</script>

存储型XSS: 多发于评论、留言、个人信息编辑等有数据持久化的功能点。

DOM型XSS: 多发于前端使用innerHTML、document.write等操作的地方。

2.4 越权漏洞

越权是SRC的高频高危漏洞。

水平越权: 用户A可以操作用户B的数据

  • 尝试修改URL中的ID参数:/api/user/info?id=123 -> 改成124

垂直越权: 普通用户可以访问管理员的功能

  • 尝试直接访问管理接口:/admin/dashboard

2.5 SSRF(服务端请求伪造)

SSRF可以用于内网探测,严重时可导致RCE。

常见场景:

三、漏洞报告撰写

挖到漏洞后,报告的撰写质量直接影响赏金金额。

一份好的SRC报告应该包含:

  1. 漏洞标题:简洁明了
  2. 漏洞详情:影响范围、漏洞类型、危害描述
  3. 复现步骤:访问链接、请求包、响应
  4. POC截图:关键证据截图
  5. 修复建议:如参数过滤、权限校验等

四、实战小技巧

  1. 关注边缘业务:主站防御通常很强,边缘子站、老旧系统才是突破口
  2. JS文件是金矿:F12看Network,抓JS文件,经常能找到隐藏接口
  3. API鉴权测试:请求去掉Token或Cookie,看是否还能正常返回数据
  4. 翻看历史记录:通过Wayback Machine查看历史页面
  5. 多处测试:同一个漏洞点,可能在多个URL上都存在

五、总结

SRC漏洞挖掘没有捷径,信息收集越充分,出洞概率越大。初期可以从信息泄露和越权入手,这两个方向门槛相对较低但出洞率不低。随着经验积累,可以逐步深入到SSRF、RCE等高危漏洞的挖掘。

本文只是抛砖引玉,希望对初入SRC的朋友有所帮助。安全之路,共勉。

本文作者:寒江孤影

本文链接:

版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!