本文分享了 SRC 漏洞挖掘的实战经验,涵盖公益 SRC 合规边界、常见漏洞类型(SQL 注入、XSS、信息泄露)的检测方法与验证技巧、常用工具(sqlmap、Xray、爬虫)的使用指南、目标站点寻找策略(Google Dorks、子域名枚举)以及实战中的注意事项。文章强调了安全操作规范,如 SQL 注入仅获取库名、XSS 仅获取自身 Cookie、及时删除泄露文件等,并对比了真实环境与靶场的差异,提供了报告撰写规范,旨在帮助初学者建立系统的漏洞挖掘思路并提升实战能力。
公益 SRC(Security Response Center)是白帽子提交随机发现漏洞的平台。参与者在漏洞盒子等平台上提交发现的漏洞,旨在帮助厂商修复安全问题。在挖掘 SRC 时,必须严格遵守法律与道德红线。
为了提升挖掘效率与得分,建议重点关注以下高危及中危漏洞类型。
SQL 注入通常被评定为高危漏洞,但在某些小型企业或难以利用的场景下可能被评为中危。挖掘 SQL 注入对提升榜单排名意义重大。
在 ID 传参后构造 and 1=1 或 and 1=2,观察页面返回情况判断是否存在注入点。如果存在,首先测试显错注入,其次尝试其他类型的注入。
一般使用 sqlmap 先跑取注入类型,再跑取数据库名。部分情况下 sqlmap 无法跑出库名或表名,需要手动注入。
# 获取数据库名
python sqlmap -u "http://target.com?id=1" --dbs
# 获取表名(适用于 Access 等)
python sqlmap -u "http://target.com?id=1" --tables
# 防止访问过快被封禁 IP
python sqlmap -u "http://target.com?id=1" --delay=1
真实站点的 SQL 注入漏洞与靶场环境差别不大,主要区别在于可能存在 WAF 防火墙以及 IP 封禁机制。挖掘时需灵活调整请求频率和 User-Agent。
XSS 漏洞通常分为 DOM 型、反射型和存储型三种。在实际挖掘中,反射型 XSS 较为常见。
反射型 XSS 一般划分为低危漏洞,但积累大量此类漏洞有助于冲榜需求。
构造 JS 弹窗语句在表单框内或 URL 参数中测试。
id=1<script>alert(1)</script><img src=x onerror=alert(1)>由于 JS 弹窗语句形式多样,建议借助工具辅助构造 Payload。测试时需关注不同上下文(如 HTML 标签内、属性内、JS 字符串内)的过滤规则。
此类漏洞在挖掘中遇到较多,主要包括直接访问 phpinfo.php 页面或下载含有敏感信息的配置文件。
.bak, .old, .swp, .git 目录等。/debug, /admin/debug 等路径。.svn, .git 文件夹未隐藏。建议在测试 SQL 注入站点时顺手检查上述路径,无需专门寻找,往往能意外发现敏感配置。
工欲善其事,必先利其器。以下是挖掘过程中最常用的两类工具。
利用爬虫工具可以发现潜在的目标站点,尤其是通过谷歌语法未能找到的深层链接。
该工具支持填入谷歌语法,例如 inurl:php?id=,用于搜索 URL 栏中存在的特定关键字。通过批量搜集,可以快速定位可能存在 SQL 注入或 XSS 的站点。
长亭科技的 Xray 是一款常用的漏洞扫描器,可对站点进行自动化漏洞扫描。
寻找合适的目标是 SRC 挖掘的关键环节,掌握高效的寻站方法对提升效率至关重要。
利用谷歌镜像站或必应等支持高级语法的搜索引擎进行搜索。
inurl:php?id=site:gov.cn inurl:php?id=。利用爬虫工具批量搜索站点,在内容框中构造谷歌语法信息,如 inurl:php?id= 以及变更行业内容(制药、建筑等)。该工具能快速找到存在 SQL 注入特征的站点,但也需注意工具误报的情况,需人工复核。
除了主站,子域名也是重要的攻击面。可使用 Subfinder、Amass 等工具进行子域名收集,检查子域名是否暴露了测试环境或旧版本系统。
学院举办的 SRC 活动是锻炼能力的良好途径。真实站点与学院靶场在某些情况下相似,但也有显著不同。
对于刚接触网络安全的小白,SRC 是一个获取真实站点挖掘经验的重要平台。虽然有人声称 SRC 技术含量低,但经过一个月的实战挖掘,可以发现这是一个适合学完课程或第一次参加的同学积累经验的平台。
提交漏洞时,请确保报告包含以下内容:
SRC 漏洞挖掘是一个持续学习和实践的过程。通过掌握 SQL 注入、XSS、信息泄露等常见漏洞的原理与利用方法,配合有效的工具与寻站策略,可以逐步提升挖掘能力。同时,务必遵守法律法规,坚持白帽精神,共同维护网络空间的安全。
注:本文内容仅供技术交流与学习使用,请勿用于非法用途。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
在线格式化和美化您的 SQL 查询(它支持各种 SQL 方言)。 在线工具,SQL 美化和格式化在线工具,online
解析 INSERT 等受限 SQL,导出为 CSV、JSON、XML、YAML、HTML 表格(见页内语法说明)。 在线工具,SQL转CSV/JSON/XML在线工具,online
CSV 与 JSON/XML/HTML/TSV/SQL 等互转,单页多 Tab。 在线工具,CSV 工具包在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online