SRC挖掘经验分享

SRC 挖掘经验深度分享：从信息收集到漏洞验证的全流程实践

更新版本	更新时间	状态
v1.0.0	2025/6/14	已发布

免责声明

内容性质与风险告知本文旨在分享信息安全及 src 漏洞相关知识、经验，仅为一般性信息交流，不构成专业建议或服务承诺。读者在参考文中内容时，应充分认识到信息安全领域的复杂性与动态性，因借鉴本文内容而产生的任何风险，包括但不限于系统操作失误、数据安全隐患、技术应用不当等后果，均需读者自行承担。本文作者不承担任何直接或间接损失责任。信息准确性与适用性文中涉及的 src 漏洞分析、解决方案等内容，基于作者个人研究与实践总结，不保证完全符合所有场景与系统要求。由于技术环境、个体差异等因素，内容可能存在时效性、准确性问题。若因文章内容错误、滞后或不适用于特定场景，导致读者或第三方遭受损失，作者不承担责任。读者需自行对内容进行验证、评估与判断，谨慎使用。引用与参考来源本文可能引用第三方资料、链接或案例，仅用于辅助说明与知识分享。作者对第三方内容的真实性、安全性、完整性及合法性不具有控制权，也不承担任何责任。读者访问第三方资源时，应遵守相关规定，自行承担由此产生的风险。不可抗力影响*由于技术更新迭代、行业政策变化、意外技术故障等不可预见、不可避免因素，导致文中内容失效、错误或无法正常使用的，作者不承担责任。但作者将在条件允许的情况下，尽力对内容进行更新与完善。*

法律说明

内容使用规范读者可出于学习、研究目的合理引用本文内容，但禁止未经授权将本文内容用于商业用途、恶意篡改或传播虚假信息。若违反上述规定，使用者需承担相应法律责任，作者保留追究其侵权责任的权利

一、SRC 挖掘的底层认知与核心思维构建

（一）SRC 体系的本质与价值定位

安全应急响应中心（SRC）本质上是企业与白帽黑客之间构建的安全漏洞共治平台。以补天、漏洞盒子、腾讯 SRC、阿里 SRC 等为例，其核心价值在于：企业通过公开漏洞奖励机制，吸引外部安全研究者协助发现系统隐患，降低自身安全风险；白帽则通过漏洞挖掘获取技术提升、物质奖励及行业认可。理解这一本质需明确：SRC 挖掘并非单纯的技术对抗，而是包含信息分析、逻辑推导、合规沟通的系统性工程，尤其需把握“漏洞价值=技术危害×业务影响”的评估逻辑。

（二）挖掘思维的三重维度

1. 攻击面拆解思维
   将目标系统视为“资产网络”，从域名层（主域名/子域名/泛域名）、应用层（Web 应用/API 接口/客户端程序）、数据层（用户数据/业务数据/配置文件）、基础设施层（CDN/云服务/IP 节点）四个维度拆解攻击面。例如在联想初创企业星计划小程序漏洞案例中，通过域名信息收集发现lenovo.*************，进一步定位到***管理后台，这正是攻击面拆解思维的典型应用。
2. 业务逻辑对抗思维
   跳出单纯技术漏洞（如 SQL 注入、XSS）的局限，深入理解目标业务流程。以电商平台为例，用户注册、登录、支付、订单管理等环节均可能存在逻辑漏洞，如越权访问订单数据、支付金额篡改、优惠券滥用等。某 SRC 平台曾披露的“某出行平台司机端越权修改乘客信息”漏洞，便是通过分析司机与乘客的权限边界，利用接口逻辑缺陷实现攻击。
3. 防御机制绕过思维
   企业通常部署 WAF（Web 应用防火墙）、IDS（入侵检测系统）、风控系统等防御措施，挖掘时需思考：如何绕过前端 JS 校验（如手动构造 POST 请求）、如何规避 WAF 规则（如参数编码、请求头篡改）、如何突破风控阈值（如分布式 IP 攻击、人机识别绕过）。某银行 SRC 漏洞中，白帽通过将 SQL 注入 payload 分段加密在 HTTP 头中，成功绕过 WAF 检测。

二、信息收集：攻击面测绘的核心方法论

（一）域名与资产信息收集

1. 域名信息深度挖掘

   • WHOIS 信息分析：通过whois.com、站长工具查询域名注册人、邮箱、注册商、过期时间等，部分企业域名可能关联个人邮箱，可用于社会工程学攻击。例如发现某企业域名注册邮箱为admin@company.com，可尝试以此邮箱作为后台登录账号。
   • 子域名枚举：使用OneForAll、Subfinder、Assetfinder等工具结合字典爆破，配合搜索引擎语法（如site:company.com -www）扩大范围。某 SRC 案例中，通过子域名oa.company.com发现未授权的办公系统，进而获取内部员工数据。

2. IP 与服务器信息收集

   • IP 归属与端口扫描：通过微步在线、Shodan、Zoomeye查询 IP 所属企业、地理位置、开放端口。例如扫描发现某 IP 开放 445 端口（SMB 服务），可尝试弱口令爆破；开放 8080 端口可能为 Tomcat 管理后台，存在默认口令风险。
   • CDN 与真实 IP 识别：使用CloudFlareSTresser、DNS 历史记录查询（如viewdns.info）绕过 CDN 定位真实服务器 IP。某电商平台 SRC 中，白帽通过查询域名历史 DNS 记录，获取未使用 CDN 的测试环境 IP，发现未授权的数据库接口。

（二）应用与接口信息收集

1. Web 应用指纹识别
   使用WhatWeb、Nmap -sV、Wappalyzer插件识别技术栈（如 Apache/Nginx、PHP/Java、WordPress/Drupal 等），不同技术栈存在已知漏洞库。例如识别出目标使用 Struts 2，可直接测试 S2-045 等远程代码执行漏洞；发现 WordPress 则检查插件/主题漏洞。

2. API 接口探测

   • 目录爆破：使用Dirsearch、Gobuster结合常见 API 路径字典（如/api/、/v1/、/admin/api/）扫描，配合状态码过滤（200/401/403 等）定位有效接口。
   • 接口文档泄露：搜索/api-doc/、/swagger-ui.html、/redoc.html等文档路径，部分企业未加密接口文档，可直接获取接口参数、请求方式及业务逻辑。某金融平台 SRC 中，白帽通过公开的 Swagger 文档获取用户信息查询接口，发现未授权访问漏洞。

3. 敏感文件泄露
   扫描/robots.txt（可能包含禁止爬虫的路径，如/admin/）、/backup/（备份文件）、/config.php（配置文件，可能含数据库账号密码）、/README.md（项目说明文档）等。某教育平台 SRC 中，通过/db_backup.sql获取数据库结构及部分用户明文密码。

三、漏洞挖掘实战：从技术漏洞到逻辑缺陷的全类型解析

（一）Web 基础漏洞挖掘技巧

1. SQL 注入漏洞

   • 注入点探测：在 URL 参数、表单输入框、JSON 数据中尝试输入'、and 1=1、or 1=1等 payload，观察返回结果是否异常。例如访问https://example.com?id=1'，若返回数据库错误信息，可能存在注入点。
   • 盲注处理：当页面无回显时，使用时间盲注（如if(1=1,sleep(5),1)）或布尔盲注（如and length(database())>5），通过响应时间或页面变化判断结果。某政府 SRC 案例中，通过时间盲注获取数据库名、表名及管理员账号。

2. XSS 跨站脚本漏洞

   • 反射型 XSS：在 URL 参数中插入<script>alert(1)</script>，若弹窗则存在漏洞。需注意编码绕过（如 URL 编码、HTML 实体编码），例如<script>alert(1)</script>编码为%3Cscript%3Ealert(1)%3C/script%3E。
   • 存储型 XSS：在评论、留言板等用户输入且会存储到数据库的位置插入 payload，其他用户访问时触发。某社交平台 SRC 中，白帽在用户签名处插入 XSS 代码，导致所有查看该用户资料的人被劫持 cookie。

（二）API 漏洞挖掘重点

1. 越权访问漏洞

   • 水平越权：修改请求参数中的用户 ID、订单 ID 等，尝试访问他人数据。例如请求https://api.com/user/info?user_id=1，将user_id改为 2，若返回用户 2 的信息则存在水平越权。
   • 垂直越权：通过修改请求头中的权限字段（如Role: user改为Role: admin）或利用 JWT 令牌漏洞（如密钥泄露、算法篡改）提升权限。某云服务平台 SRC 中，白帽通过解密 JWT 令牌获取密钥，修改用户角色为管理员，实现全量资源访问。

2. 参数篡改漏洞
   在支付、转账等场景中，修改金额、数量等参数。例如支付接口请求为{"amount": "100", "currency": "CNY"}，将amount改为0.01或负数，部分系统未做后端校验会导致低价购买或余额增加。某电商平台曾因此类漏洞被白帽以 0.01 元购买价值万元商品。

（三）业务逻辑漏洞挖掘

1. 验证码绕过

   • 验证码复用：同一验证码可多次使用，例如注册时获取验证码后，重复使用该验证码注册多个账号。
   • 验证码缺失：在关键操作（如修改密码）中，前端显示验证码输入框，但后端未校验，直接提交空值或固定值即可通过。某银行 APP SRC 中，白帽发现修改登录密码时，验证码参数可随意填写，导致任意账号密码重置。

2. 会话管理漏洞

   • 会话固定：用户登录前后 session ID 未更新，攻击者可预先获取 session ID，诱导用户登录后直接使用该 ID 访问系统。
   • 会话超时控制不当：长时间未操作后，会话未及时过期，攻击者获取 cookie 后可长时间使用。某办公系统 SRC 中，白帽获取用户 cookie 后，72 小时内仍可直接登录，导致数据泄露。

四、漏洞验证与报告撰写：从技术发现到价值呈现

（一）漏洞验证的严谨性要求

1. 多环境验证
   在测试环境、预发环境、生产环境分别验证漏洞，避免因环境差异导致误报。例如某企业 SRC 中，白帽在测试环境发现文件上传漏洞，但生产环境因 WAF 规则更新已修复，若未验证生产环境则会提交无效漏洞。
2. 危害量化证明
   通过截图、抓包日志、漏洞利用代码等证据，量化漏洞危害。例如信息泄露漏洞需展示泄露的数据字段、数量；远程代码执行漏洞需展示命令执行结果（如whoami输出）。联想初创企业星计划小程序漏洞案例中，通过密码爆破成功登录后台的截图，直观证明信息泄露风险。

（二）高质量漏洞报告撰写规范

1. 报告结构标准化

   • 标题：简明扼要说明漏洞类型与影响，如“某电商平台用户订单信息越权查询漏洞”。
   • 漏洞描述：用非技术语言描述漏洞原理，包括“如何发现”“如何利用”“影响范围”。例如：“在用户订单查询接口中，未对请求参数中的订单 ID 进行权限校验，攻击者可通过修改订单 ID 遍历获取任意用户的订单信息，包含收货地址、联系方式等敏感数据。”
   • 复现步骤：分步骤详细说明，附抓包截图、请求参数、响应结果。
   • 危害证明：展示漏洞利用成功的截图，如后台登录界面、数据泄露内容、命令执行结果等。
   • 修复建议：提供具体可行的方案，如“在订单查询接口中增加用户身份与订单归属的关联校验”“部署 WAF 拦截异常订单 ID 查询请求”。

2. 沟通技巧与合规要点

   • 漏洞分级准确：按 CVSS 标准（如严重/高危/中危/低危）评估，避免夸大或低估危害。例如联想案例中的信息泄露漏洞，因可导致用户数据批量泄露，应定为“严重”级别。
   • 敏感信息处理：报告中涉及的用户数据、企业内部接口等敏感信息需打码，避免二次泄露。
   • 跟进与闭环：及时响应厂商反馈，配合验证修复结果，保持专业沟通态度。

五、SRC 挖掘的工具链与学习资源

（一）必备工具分类推荐

1. 信息收集工具

   • 域名/子域名：OneForAll、Subfinder、DNSdumpster
   • IP/端口：Nmap、Shodan、Zoomeye
   • Web 指纹：WhatWeb、Wappalyzer、御剑指纹识别

2. 漏洞检测工具

   • 综合扫描：AWVS、Nessus、OpenVAS
   • 专项检测：SQLMap（SQL 注入）、XSSFuzz（XSS 漏洞）、Burp Suite（抓包/重放/爆破）

3. 辅助工具

   • 编码转换：CyberChef
   • 密码爆破：Hydra、Medusa、Hashcat
   • 流量分析：Wireshark、Fiddler

（二）学习资源与成长路径

1. 优质学习平台

   • 漏洞学习：漏洞银行、看雪学院、先知社区
   • CTF 实战：CTFtime、Hack The Box、TryHackMe
   • 官方文档：各 SRC 平台的漏洞挖掘指南（如《腾讯 SRC 漏洞挖掘手册》）

2. 成长阶段建议

   • 入门期（0-3 个月）：掌握基础漏洞原理（SQL 注入、XSS、文件上传），熟悉Burp Suite、SQLMap等工具使用，复现公开漏洞案例。
   • 进阶期（3-12 个月）：深入学习业务逻辑漏洞（越权、支付逻辑），研究漏洞利用框架（如Metasploit），参与小型 SRC 平台挖掘。
   • 高手期（1 年以上）：关注 0day 漏洞研究，学习二进制安全（缓冲区溢出等），形成自己的挖掘方法论，尝试大型企业 SRC 挑战。

六、实战案例延伸：从联想漏洞看 SRC 挖掘的核心要点

（一）联想************漏洞复盘

1. 漏洞发现路径

   • 信息收集阶段：通过搜索“****”定位到管理系统域名lenovo************，使用Hydra对默认账号admin进行密码爆破，字典包含常见弱口令（如*********************）。
   • 漏洞验证：爆破成功后进入后台，发现可查看用户注册表单、修改小程序配置，验证了信息泄露与功能篡改风险。

2. 核心经验启示

   • 弱口令爆破的有效性：许多企业后台仍存在默认账号或弱口令，通过针对性字典（如企业名称拼音+年份）可提升爆破成功率。
   • 权限管控的重要性：该漏洞中管理员权限过大，缺乏操作日志与细粒度权限划分，导致非授权访问危害扩大。

（二）SRC 挖掘的避坑指南

1. 法律风险规避

   • 严格遵守“授权原则”，仅在企业 SRC 平台指定的测试范围内进行挖掘，避免攻击未授权的资产。例如某白帽因挖掘某银行未公开接口被追责，便是典型的合规失误。
   • 不利用漏洞获取非法利益（如窃取用户数据出售），所有漏洞须通过正规渠道报告。

2. 效率提升技巧

   • 建立漏洞挖掘清单：按域名、漏洞类型分类记录已挖漏洞与未挖点，避免重复工作。
   • 关注行业漏洞趋势：定期查看CVE 漏洞库、NVD 数据库，了解最新漏洞类型，针对性测试目标系统。例如 Log4j2 漏洞爆发后，众多企业 SRC 平台收到相关漏洞报告，提前关注的白帽可快速获利。

七、结语

本文章由zhmetosr编写，转载请标明出处

由于为了保护联想公司的隐私和防止漏洞进一步的泄露我对关键信息进行了打码，等上报漏洞修复后我会进一步的完善文章