1. 项目概述从“网安小白”到“SRC猎人”的蜕变之路如果你对网络安全感兴趣刷到过各种“白帽子”通过提交漏洞获得奖金和荣誉的故事心里痒痒的但又觉得“挖洞”这事儿门槛太高不知从何下手那你来对地方了。我就是从那个阶段过来的看着别人在SRC安全应急响应中心平台上提交漏洞自己却连“信息收集”该收集什么都一头雾水。这篇文章就是我作为一个曾经的“网安小白”一路摸爬滚打总结出的一套零基础开启SRC漏洞挖掘的实战经验。它不是一本理论教科书而是一份“踩坑指南”和“行动地图”我会把那些教程里不会细说的“为什么这么做”、“具体怎么操作”、“过程中会遇到什么坑”都掰开揉碎了讲给你听。无论你是计算机专业的学生还是对安全充满好奇的转行者只要跟着这份干货一步步走你就能建立起属于自己的漏洞挖掘实战能力真正迈出从“围观者”到“参与者”的第一步。2. 核心思路拆解SRC漏洞挖掘的本质与入门路径很多人一上来就想着找“神器”、用“大招”希望能一键扫描出高危漏洞这种想法在实战中往往会碰壁。我花了很长时间才明白SRC漏洞挖掘尤其是对新手而言其核心本质可以概括为“基于资产的信息深度利用”。这听起来有点抽象我换个说法你不是在“攻击”一个系统而是在“理解”一个庞大的、由无数组件构成的数字实体并从中找出那些被开发者疏忽的“理解偏差”或“配置错误”。2.1 为什么是“信息深度利用”而非“攻击”首先SRC平台如腾讯安全应急响应中心、阿里云安全响应中心、补天平台等的规则是“授权测试”即只允许对平台收录的、明确属于该厂商的资产进行测试。你的目标是帮助厂商发现问题而不是搞破坏。因此盲目扫描、暴力破解不仅效率低下还可能触及法律红线。正确的姿势是将目标看作一个拼图你的第一步是尽可能多地找到拼图碎片资产第二步是研究每块碎片的材质和边缘技术细节第三步才是尝试将两块本不该连接的碎片拼在一起或者发现某块碎片本身就有裂痕漏洞。2.2 新手入门的三级火箭工具、流程、思维基于这个本质我给新手规划了一条“三级火箭”式的成长路径工具辅助建立感知初期不要排斥自动化工具。像AWVS、Xray这类漏洞扫描器就像给你装上了一副“透视眼镜”能快速帮你识别出常见的、低垂的果实比如明显的SQL注入点、暴露的敏感文件。这个过程的核心目的不是依赖工具而是通过工具的报告快速建立对“漏洞长什么样”、“漏洞通常出现在哪里”的直观感受。记住工具的报告99%可能是误报但剩下的1%就是你学习的起点。流程固化形成肌肉记忆当你对漏洞有了基本感知后就要摆脱对工具的依赖形成一套固定的手动测试流程。这套流程通常以“信息收集”为起点贯穿始终。你的大脑要时刻思考这个URL参数可能有什么作用这个功能点背后调用了什么接口这个报错信息暴露了哪些服务器信息这个过程是将外部知识内化为自身能力的关键。思维跃迁从点到面最后也是最能体现“深度利用”的一步是建立“攻击面”思维。你不能只盯着一个登录框测弱口令而要思考整个业务链条。例如一个在线教育平台其攻击面可能包括官网前端JS、API接口、学生/教师端App移动端安全、后台管理系统权限、合作伙伴接入点第三方风险、历史遗留系统老旧框架漏洞。你的信息收集要服务于勾勒出这个完整的攻击面地图。注意很多新手会陷入“唯工具论”或“唯漏洞类型论”比如只学SQL注入。我的经验是工具和漏洞类型只是“剑法”而信息收集和攻击面思维是“内功”。内功深厚即使是用最基础的“剑法”也能发现意想不到的漏洞。3. 实战起手式高效精准的信息收集体系搭建信息收集是漏洞挖掘的基石其质量直接决定了后续测试的效率和成功率。我将其分为四个层次由广至深层层递进。3.1 第一层基础资产发现绘制目标地图这一层的目标是回答“目标有什么”。子域名枚举这是最核心的一步。一个主站如www.target.com背后往往有几十上百个子域名如admin.target.com,api.target.com,test.target.com。这些子域名可能就是未受重视的薄弱环节。常用工具有subfinder,amass,OneForAll。同时一定要利用证书透明度日志如crt.sh、DNS历史记录查询等手段发现那些已被遗忘但依然解析的域名。IP资产测绘通过工具如masscan快速扫描目标IP段发现开放端口如80, 443, 8080, 22, 3306。再使用nmap进行深度服务识别判断端口上运行的是Apache、Nginx、Tomcat还是某种未知服务以及其具体版本。搜索引擎语法利用这是被严重低估的利器。除了常用的site:target.com更要善用inurl:,intitle:,filetype:等语法。例如site:target.com filetype:pdf可能找到内部技术文档inurl:upload site:target.com可能直接定位到文件上传功能点。3.2 第二层应用架构与技术栈识别分析建筑材料知道有什么之后要分析它们“是什么做的”。指纹识别使用Wappalyzer浏览器插件或WhatWeb、EHole等命令行工具快速识别网站使用的技术栈前端框架React/Vue、后端语言Java/PHP/Python、中间件Nginx/Tomcat、数据库MySQL/Redis、第三方组件jQuery版本、编辑器种类等。目录与文件扫描使用dirsearch,gobuster,ffuf等工具针对常见的备份文件.bak,.zip,.tar.gz、配置文件.git,.svn,.env、接口文档/swagger-ui.html,/api-docs进行扫描。一个暴露的.git目录可能意味着整个网站源码泄露。JS文件分析现代Web应用大量逻辑写在JavaScript中。手动或使用工具如LinkFinder,JSFinder分析JS文件常能发现未在页面中显式链接的API接口、子域名、甚至是硬编码的API密钥、AccessKey等敏感信息。3.3 第三层关联资产与历史漏洞挖掘寻找历史痕迹目标不是孤立的它存在于更广阔的互联网环境中。关联企业查询通过企查查、天眼查等工具了解目标公司的母公司、子公司、投资方。这些关联公司的域名、IP、甚至员工邮箱都可能成为你突破的入口。例如子公司使用的老旧OA系统可能和母公司共用一套账号体系。历史漏洞与情报收集在Exploit-DB,CNVD,CNNVD以及各大SRC已公开的漏洞报告中搜索目标公司或其使用的特定组件如“用友NC”、“通达OA”、“Apache Shiro”的历史漏洞。很多企业修补漏洞并不及时一个一两年前的漏洞利用方式可能依然有效。第三方服务与供应链目标可能使用了第三方云服务如阿里云OSS、腾讯云COS、CDN、邮件服务、客服系统等。这些第三方服务的配置不当如OSS桶公开可写、CDN源站IP暴露同样属于漏洞范畴。3.4 第四层人员与社会工程信息软性突破口在严格授权测试范围内这部分信息主要用于理解业务逻辑和猜测潜在弱点。员工信息收集从官网、招聘网站、领英等渠道了解技术栈招聘要求中常写明、组织架构。某些内部系统的账号命名规则可能是“姓名全拼”或“工号”。业务逻辑理解仔细浏览目标所有公开业务。一个电商平台你要关注注册-登录-购物-支付-售后全流程一个政府网站你要关注信息填报、文件上传、查询公示等环节。理解业务才能发现业务逻辑漏洞如越权访问、顺序执行缺陷等。我的实操心得是建立一个信息收集清单Checklist并利用Obsidian或Notion这样的笔记工具为每个目标建立一个专属页面将以上四个层次收集到的信息结构化地记录进去。这个页面就是你本次“战役”的指挥中心。4. 核心漏洞类型实战挖掘与手工验证有了扎实的信息收集我们就可以针对性地进行漏洞挖掘了。对于新手我建议从以下几类高成功率的漏洞入手它们往往不需要太深的二进制功底更考验细心和逻辑。4.1 业务逻辑漏洞最体现“深度利用”思维的漏洞这类漏洞工具几乎无法发现全靠人脑分析。越权访问这是最常见的逻辑漏洞。分为水平越权访问同权限其他用户的数据和垂直越权低权限用户执行高权限操作。测试方法在完成一个操作如查看订单、修改资料后抓取请求包尝试修改其中的用户ID、订单ID等参数看是否能访问到他人的数据。或者在登录普通用户账号后直接尝试访问仅管理员可见的URL。流程绕过比如支付漏洞中的“金额篡改”、“负数购买”、“重复提交订单”。测试方法在业务流程的关键步骤如提交订单、确认支付拦截请求尝试修改传递的参数值观察后端是否仅依赖前端传来的数据进行校验。验证码与防重放缺陷验证码是否在客户端生成或校验短信验证码是否位数过少、有效期过长、未做次数限制测试方法对同一个手机号连续请求短信验证码看是否有频率限制收到验证码后尝试用000000、123456等简单密码爆破观察验证码是否在返回包中直接给出。4.2 注入类漏洞Web安全的经典命题虽然老生常谈但依然广泛存在尤其是各种变体。SQL注入不要只测试和and 11。对于数字型参数尝试11,2-1对于搜索框尝试输入%、_SQL通配符观察结果差异。使用sqlmap时一定要带上--level和--risk参数提高检测等级并善用--tamper脚本绕过简单的WAF。手工验证关键观察输入特殊字符后页面的回显内容、响应时间、错误信息是否发生变化。命令注入常见于网络设备、监控系统、后台的功能点如Ping、DNS查询。测试点参数中尝试拼接|,,;,,||等命令分隔符后接whoami,id,ifconfig等命令。例如输入8.8.8.8;whoami。模板注入多见于一些CMS、博客系统的编辑或展示功能。如果发现页面内容会根据你的输入进行渲染尝试输入{{7*7}},${7*7},%7*7%等如果页面显示出49则可能存在服务端模板注入SSTI危害极大。4.3 文件处理漏洞直通服务器的高危路径文件上传漏洞这是新手最容易挖到且危害较高的漏洞。测试思路前端绕过抓包修改文件扩展名如shell.jpg改为shell.jpg.php。内容类型绕过修改HTTP请求头中的Content-Type为image/jpeg。黑名单绕过尝试php3,phtml,phps,.htaccess需配合解析漏洞等罕见扩展名。解析漏洞配合服务器特性如IIS的shell.jpg;.php Nginx的shell.jpg%00.php需特定版本 Apache的shell.php.jpg如果存在AddType错误配置。竞争条件在上传和检查的极短时间差内访问上传的文件。可以编写脚本快速、循环地访问上传后的路径。目录遍历/文件包含通过参数读取系统文件如?file../../../../etc/passwd。测试时使用....//....//进行双重编码绕过。本地文件包含LFI可能能结合日志文件、Session文件等转化为远程代码执行RCE。4.4 信息泄露与配置错误被忽视的宝藏这类漏洞挖掘成本低在SRC中通常属于低危或中危但却是通往更高危漏洞的“钥匙”且非常适合新手积累信心和经验。敏感文件泄露除了工具扫描的备份文件要手动尝试/.git/config,/.svn/entries,/.DS_Store,/WEB-INF/web.xml 以及phpinfo.php,test.php,debug.php等临时文件。配置错误CORS错误配置响应头Access-Control-Allow-Origin: *或包含不严格信任的来源可能导致用户数据被恶意网站窃取。HTTP方法滥用测试PUT,DELETE,TRACE等方法是否被意外开启。OPTIONS方法可能会泄露支持的HTTP方法。默认凭证与弱口令不仅针对后台还要关注路由器、监控摄像头、数据库Redis无密码、中间件管理后台如Tomcat manager, Jenkins, Jupyter Notebook的默认口令。可以自己搭建常见服务的默认口令字典进行爆破。云存储桶公开访问通过域名猜测或工具扫描发现类似oss.aliyuncs.com,cos.ap-beijing.myqcloud.com的链接直接浏览器访问看是否列出文件目录或可上传。5. 工具链配置与高效工作流工欲善其事必先利其器。一个高效、顺手的工作环境能极大提升挖掘效率。5.1 核心工具选型与配置要点代理抓包工具Burp Suite Professional这是你的“主武器”。社区版功能受限建议有条件使用专业版。关键配置项目级配置为每个目标创建独立的Project文件避免数据混乱。代理与证书确保手机和PC都安装了Burp的CA证书以便抓取HTTPS流量。Scanner优化关闭那些明知目标不存在的漏洞类型扫描减少干扰。自定义扫描插入点Insertion Points。Extender插件必装Logger记录所有请求、Autorize自动越权测试、Turbo Intruder高性能爆破、Collaborator Everywhere自动发现SSRF、Out-of-band漏洞。浏览器与插件至少准备两个浏览器一个用于正常浏览Chrome一个用于测试Firefox with HackTools。Firefox测试专用安装Hack-Tools,Wappalyzer,FoxyProxy,Cookie-Editor等插件。配置FoxyProxy一键切换Burp代理。Chrome日常专用保持干净用于查阅资料、登录个人账号避免测试时Cookie污染。信息收集与漏洞扫描套件建议在Linux环境下如Kali Linux或自建Ubuntu搭建。综合平台Kali Linux是首选但也可以使用Docker部署ARLAsset Reconnaissance Lighthouse、Rad等自动化资产侦察平台。子域名subfinderamassassetfinder 结果去重后使用httpx或naabu探测存活。目录扫描ffuf是当前速度与功能平衡的最佳选择。字典推荐SecLists项目中的Discovery/Web-Content目录下的字典。漏洞扫描nuclei是神器。它基于社区维护的庞大漏洞模板库POC能快速检测成千上万种已知漏洞。你需要定期更新它的模板库nuclei -update-templates。将其与httpx输出的存活URL列表结合可以快速进行批量检测cat urls.txt | httpx -silent | nuclei -t nuclei-templates/ -o results.txt。5.2 个人高效工作流设计我的典型一天挖洞流程是这样的目标确定与初始化早上选定一个目标如某家互联网公司的SRC在笔记中创建页面。自动化信息收集挂机运行运行一套脚本或命令进行子域名枚举、端口扫描、基础指纹识别。这个过程可能需要1-2小时期间我可以做其他事情。人工深度信息梳理拿到初步资产列表后手动访问主要域名用Wappalyzer识别技术栈用浏览器查看核心业务功能同时打开Burp进行流量代理。针对性漏洞探测根据技术栈和业务特点选择探测方向。如果是Java站重点看有无Spring Boot Actuator未授权、Shiro反序列化如果有文件上传点立即进行绕过测试看到查询接口测试SQL注入和XSS。漏洞验证与报告编写一旦发现疑似漏洞立即进行深度验证确保可稳定复现。然后立即开始编写漏洞报告。报告要清晰描述步骤、附上截图和证明危害的Payload。不要等挖了一天再统一写记忆会模糊。交叉复核与知识沉淀当天工作结束前回顾自动化工具如nuclei的输出报告看是否有遗漏的高危项。将本次挖掘过程中学到的新技巧、新思路记录到自己的知识库中。6. 从发现到提交漏洞验证、报告编写与沟通艺术挖到漏洞只是成功了一半如何清晰地证明它、描述它并让审核人员快速理解其危害同样至关重要。6.1 漏洞验证的三重境界可复现这是最基本要求。你的操作步骤必须能稳定地、多次地触发漏洞现象。避免使用依赖特定环境如本地时间、特定缓存的偶然性操作。证明危害你需要证明这个漏洞能造成实际影响。一个SQL注入不能只显示一个报错页面就完了要用union select爆出数据库名、表名、数据。一个XSS不能只弹个框要证明能窃取Cookie或模拟用户操作如发帖、转账。一个越权要能确实看到或修改他人数据。评估影响范围这个漏洞影响所有用户还是特定用户影响的是测试环境还是生产环境数据是公开信息还是敏感信息在报告中明确影响面有助于厂商评估漏洞的紧急程度和你的贡献值。6.2 高质量漏洞报告编写指南一份优秀的报告能让审核人员眼前一亮加速漏洞的处理和定级。标题简明扼要。格式建议[漏洞类型] [影响功能点] [简要危害]。例如“后台管理模块垂直越权漏洞导致任意用户删除”、“某API接口未授权访问泄露大量用户手机号”。漏洞详情漏洞URL完整的、可直连的URL。请求方法GET/POST/PUT等。漏洞参数指出存在问题的具体参数名。复现步骤使用编号列表清晰描述从打开浏览器到触发漏洞的每一步操作。像写食谱一样让一个完全不懂的人也能照着做出来。关键步骤要附截图。请求与响应数据提供原始的HTTP请求包和响应包可使用Burp的Copy as curl command或Copy to file功能。对于敏感信息如Cookie、Token可进行打码但需说明。漏洞证明最直接的截图或视频。例如SQL注入爆出数据的截图越权访问他人后台的页面截图XSS成功执行代码的截图。修复建议给出具体、可操作的修复方案。不要只说“加强过滤”而应说“建议在服务器端对user_id参数进行严格的权限校验确保当前登录用户只能操作属于其自身的数据”。如果你知道该漏洞是源于某个已知CVE如Apache Shiro CVE-2020-11989请直接提供CVE编号和官方修复链接。6.3 与审核人员的沟通技巧提交报告后可能会遇到审核人员退回、要求补充信息或定级争议的情况。保持专业和礼貌的沟通非常重要。及时响应关注平台通知对审核意见尽快回复。补充信息如果审核要求补充证明尽量提供。如果觉得定级过低可以有理有据地阐述漏洞的实际危害和潜在利用链但语气要客观避免情绪化。尊重判定最终定级和奖励由平台规则和厂商决定。即使有争议也应保持风度。你的专业表现会被记录可能影响后续其他漏洞的审核。7. 进阶之路突破瓶颈与能力提升当你能稳定挖到常见的中低危漏洞后可能会遇到瓶颈。这时需要从“广度”转向“深度”。7.1 代码审计从黑盒到白盒尝试对开源程序、CMS进行代码审计。从GitHub上找一些Star较多的开源项目下载源码。学习如何搭建本地调试环境使用Seay源代码审计系统或Fortify SCA有社区版进行自动化辅助然后人工跟进关键函数。追踪用户输入从入口如$_GET[‘id’]到最终执行如mysql_query()或eval()的完整路径理解漏洞产生的根源。这个过程能极大地提升你对漏洞原理的理解。7.2 协议与中间件漏洞研究不再局限于HTTP/HTTPS。学习分析WebSocket、gRPC、SOAP等协议的安全性。深入研究常见中间件Nginx, Apache, Tomcat, IIS, Redis, Docker, Kubernetes的历史漏洞和错误配置。例如Redis未授权访问如何利用Docker API未授权访问如何getshell。这些漏洞往往影响面大危害程度高。7.3 自动化与工具开发将重复性的劳动自动化。用Python编写脚本自动化完成从子域名收集到初步漏洞筛查的流程。学习编写nuclei的YAML模板将自己发现的、独特的漏洞检测方法沉淀下来并贡献给社区。这个过程不仅能提升效率还能深化你对漏洞检测逻辑的理解。7.4 参与社区与知识分享加入安全社区如先知社区、安全客、漏洞盒子社区阅读别人的漏洞分析报告。尝试自己撰写技术文章复盘挖到的典型漏洞。在“教”别人的过程中你会发现自己对知识的理解会更加系统化和深刻。同时关注业界顶级安全会议BlackHat, DEF CON, 国内KCon等的议题了解最新的攻击技术和防御思路。挖洞是一场持久战也是一场与自己较量的游戏。它考验你的耐心、细心、逻辑思维和学习能力。最初的迷茫和无数次“空手而归”都是正常的。我的经验是坚持按照一个科学的流程去做每天进步一点点认真复盘每一个成功或失败的案例你的“漏洞嗅觉”会越来越敏锐。从找一个暴露的备份文件开始从发现一个简单的敏感信息泄露开始积累你的第一个漏洞建立你的信心。这条路没有捷径但每一步都算数。当你提交的第一个漏洞被确认并修复时那种成就感会驱动你继续走下去。记住最重要的不是工具和技巧而是持续学习和思考的热情。
