挖 SRC 时的信息收集方法与工具实践
在挖掘 SRC(安全响应中心)漏洞时,信息收集是至关重要的一环。许多新手往往急于使用扫描器进行端口扫描或漏洞扫描,但实际上,高效的信息收集策略能显著提高发现高质量漏洞的概率。本文将详细介绍我在 SRC 挖掘中的信息收集流程、工具选择及注意事项。
一、为什么不直接进行漏扫
1. 通用漏洞已被覆盖
企业 SRC 的奖励机制决定了大家的目标是寻找未被发现的漏洞。对于通用的工具可以扫出的常见漏洞(如弱口令、基础 SQL 注入等),通常已经被自动化脚本和资深研究员提交完毕。除非你有独特的 POC 或高质量的字典,否则盲目扫描收益极低。
2. SRC 规范限制
大多数 SRC 平台都有明确的安全测试规范。部分 SRC 明确禁止使用自动化工具对站点进行扫描,只允许手工测试。如果不遵守规范,不仅无法获得奖金,还可能面临法律风险。
3. 风控与封禁风险
即使 SRC 没有明文禁止扫描,大规模扫描极易触发目标方的 WAF 或风控系统。这会导致 IP 被封禁,甚至机器指纹被标记。一旦进入黑名单,后续的手工测试也会受到阻碍。
二、子域名的获取策略
信息收集的核心在于资产面。相比于端口扫描,子域名枚举能更快速地扩大攻击面。
1. 二级域名获取
- 官方列表:部分 SRC 平台会直接列出授权范围内的二级域名,直接提取即可。
- 企业信息搜索:若未列出,可通过企查查等平台搜索企业名称,获取关联业务域名;或使用搜索引擎通过
site:语法配合业务关键词查找。
2. 子域收集工具组合
目前主流且高效的组合是 OneForAll 配合 Ehole。
OneForAll
这是一个功能强大的子域名收集工具。相比其他工具,它支持配置大量的第三方 API 接口。
- 配置建议:务必将支持的 API 全部配置好(如 DNSDumpster, Shodan, VirusTotal 等),这样才能发挥其最大价值。不同的 API 提供不同的数据源,组合使用能减少漏网之鱼。
- 执行方式:将获取到的二级域名作为输入,运行 OneForAll 进行递归查询,获取所有可能的子域名。建议使用多线程模式以提高效率。
Ehole
用于二次筛选和资产指纹识别。
- 作用:将 OneForAll 获取的大量子域名放入 Ehole 中跑一遍。
- 价值:Ehole 能够识别资产类型(如 CMS、中间件、框架)、检测是否存在 WAF 等。例如,它可以标记出使用了 Nginx 还是 Apache,是否开启了 Tomcat 管理后台等。这有助于优先处理高风险资产,例如带有登录功能的站点或特定版本的 Web 服务。
三、信息收集后的分析流程
拿到子域名列表后,不应盲目测试,而应建立优先级。
- 批量打开与初筛:利用浏览器插件批量打开资产页面,观察是否有明显的错误信息、后台入口或敏感文件泄露。
- 功能点定位:优先寻找功能点多的站点,特别是包含用户注册、登录、支付、文件上传等功能的模块。这些模块往往是逻辑漏洞的高发区。
- 手工测试:针对登录点进行认证绕过、越权访问测试;针对业务逻辑进行参数篡改测试。
- Header 检查:查看 HTTP 响应头中的
Server、X-Powered-By等字段,确认服务器版本信息,辅助判断是否存在已知漏洞。
四、漏洞挖掘的基本流程
为了更全面地理解挖掘工作,以下是标准的漏洞挖掘流程:
- 确定目标:明确要挖掘的软件、系统或网络范围。
- 收集信息:收集架构、协议、版本、配置等信息。来源包括互联网搜索、手动扫描、自动化工具等。
