先談個(gè)人經(jīng)歷，我雖然很早前就像挖掘SRC來(lái)鍛煉自己，但真正實(shí)現(xiàn)起來(lái)大概也是2月初的時(shí)候。一開(kāi)始在幾大SRC平臺(tái)，如順豐SRC，小米SRC等裝了兩下，真的不知道從何入手。而且，SRC提交這事從來(lái)都是前人吃肉后人喝湯的局面，對(duì)于這樣的平臺(tái)，綜合考慮自身的實(shí)力因素，打算先放棄挖掘這樣的SRC。然后我在補(bǔ)天SRC開(kāi)始挖掘，專屬SRC的性質(zhì)與前者一樣，所以我先從公益SRC入手。

我是覺(jué)得公益SRC對(duì)于大佬的吸引力沒(méi)那么大，對(duì)于我等菜雞可能還能撈點(diǎn)菜汁吃。首個(gè)漏洞發(fā)現(xiàn)大概在挖掘的第二天發(fā)現(xiàn)的，但提交時(shí)顯示名稱已存在，看來(lái)大概率是已經(jīng)被人發(fā)現(xiàn)的了，有點(diǎn)失望。因此，說(shuō)說(shuō)個(gè)人雞賊的一面:

• 我是從第二頁(yè)公益SRC開(kāi)始挖掘，因?yàn)榈谝豁?yè)的一般都是新提交了漏洞刷新上去的，等于被人挖掘了一遍。但有些是新上架的SRC，所以我還是在服務(wù)器跑了一個(gè)檢測(cè)腳本，隨時(shí)發(fā)現(xiàn)新情況。
• 我進(jìn)入頁(yè)面，首先也是先看一個(gè)報(bào)告頁(yè)的"整體趨勢(shì)",如果近期有新報(bào)告的，我也不看了。因?yàn)檫@種說(shuō)明近期也有人挖掘了一遍。
• 另外我還會(huì)看廠商漏洞情況，如果是提交了很多但沒(méi)有修復(fù)多少的，我也不看了。因?yàn)檫@種大概率挖到重復(fù)漏洞，提交也沒(méi)用。

沒(méi)辦法，總要"功力"點(diǎn)，但我挖掘的每一個(gè)SRC都會(huì)認(rèn)真的看每一個(gè)點(diǎn)。整個(gè)補(bǔ)天的公益SRC，等我逐個(gè)看完也夠嗆的。

思路

首先是熟能生巧。我一開(kāi)始挖洞時(shí)，也是看了很多網(wǎng)上的技巧并自己吸收，但做起來(lái)總是感覺(jué)無(wú)能為力。但現(xiàn)在這幾天覺(jué)得越發(fā)輕松，一個(gè)網(wǎng)站會(huì)不會(huì)有洞，有沒(méi)有隱藏的接口等，都能在幾分鐘內(nèi)得出結(jié)論。

因?yàn)橹八闶亲鲞^(guò)幾個(gè)滲透測(cè)試的項(xiàng)目，所以對(duì)于挖洞我也是有一定的了解的。自始至終我都把關(guān)注重點(diǎn)放在"交互"上，這個(gè)思路也沒(méi)有錯(cuò)。與ctf不同，每個(gè)生產(chǎn)環(huán)境都可能獨(dú)一無(wú)二，很難在ctf中找到相似的例子。而且，關(guān)鍵也在于"信息收集"上。

?

流程

瀏覽器：谷歌(搜索引擎)、火狐(配合bp抓包)

工具:fiddler(抓js交互包)、bp(抓包、重包)

腳本；自己寫(xiě)的垃圾掃描器，有什么不好用的地方當(dāng)場(chǎng)改進(jìn)，挺好的。其他漏掃幾乎沒(méi)用過(guò)。

1.首先對(duì)應(yīng)的企業(yè)網(wǎng)址點(diǎn)擊"提交漏洞"按鈕可以看，這個(gè)也是我首次提交報(bào)告時(shí)發(fā)現(xiàn)的，一開(kāi)始我還怕會(huì)不會(huì)"攻擊"了非授權(quán)頁(yè)面，總是心驚膽戰(zhàn)的。

2.然后我會(huì)進(jìn)入網(wǎng)站看看，瀏覽器左下角會(huì)顯示各個(gè)鏈接的url，重點(diǎn)關(guān)注那些帶?的。如果整個(gè)網(wǎng)站都沒(méi)幾個(gè)功能，就幾個(gè)展示頁(yè)面，這種我就...(跳4算了，都沒(méi)什么好看的)

3.跟進(jìn)鏈接，然后就開(kāi)始抓包了。等到我挖洞的時(shí)候，我才發(fā)現(xiàn)，即使一個(gè)網(wǎng)站url是:?id=123,但真正起交互的反而是后續(xù)的js刷新，即訪問(wèn)一個(gè)url會(huì)抓到好幾個(gè)交互，第一個(gè)GET請(qǐng)求并不起交互作用。我發(fā)現(xiàn)很多網(wǎng)站真的很喜歡用js來(lái)發(fā)送請(qǐng)求，真的無(wú)語(yǔ)，隨便就控制住了。

4.開(kāi)始谷歌hack大法:

- site:domain.com filetype:xls|doc|pdf

- site:domain.com inurl:admin|login|manage

- site:domain.com intitle:管理|后臺(tái)|登錄

- site:domain.com intext:登錄|后臺(tái)、管理|error|debug

總能搜索出一點(diǎn)有價(jià)值的東西。搜索filetype并不是真的想看他泄露了什么敏感資料(但我真的看到有啊~),復(fù)制鏈接，開(kāi)始網(wǎng)上訪問(wèn)，總是能找到403或"管理頁(yè)面",這樣的url總是暴露了使用了什么cms，如wp-content/xx/xx/,另外偶爾還能自動(dòng)跳轉(zhuǎn)到管理員登錄頁(yè)面，這又是新的發(fā)現(xiàn)了。

5.根據(jù)網(wǎng)站性質(zhì)選擇側(cè)重點(diǎn):

zf網(wǎng)站: 一般都是jsp，數(shù)據(jù)處理比PHP嚴(yán)禁很多，但語(yǔ)句有錯(cuò)總會(huì)返回報(bào)錯(cuò)信息。SQL整型的話添加不了什么字母構(gòu)造payload,但可以試試整型溢出看一下SQL執(zhí)行語(yǔ)句。

電商平臺(tái):一般會(huì)有注冊(cè)登錄的功能，可以嘗試注冊(cè)，然后修改頭像昵稱什么的，另外可以關(guān)注優(yōu)惠券，cookie，越權(quán)等，但我遇到的很多都是用dedecms，防護(hù)做的很好。

自己diy的網(wǎng)站:這種看不出來(lái)是cms的，可能是自己寫(xiě)的前端或自己公司運(yùn)營(yíng)的，要么做的很棒，要么就很爛。真的可以每個(gè)功能點(diǎn)都試一下，也沒(méi)什么好說(shuō)的。但可以重點(diǎn)關(guān)注目錄跳轉(zhuǎn)。

6.這里是api的故事，如果抓包抓到返回的數(shù)據(jù)是json的話，我就會(huì)折騰上很久。每個(gè)參數(shù)都fuzz一下，看看能不能返回點(diǎn)什么有價(jià)值的信息。

7.說(shuō)點(diǎn)其它的，事實(shí)上目錄保護(hù)這點(diǎn)很多網(wǎng)站都沒(méi)做好，總是跳轉(zhuǎn)到后臺(tái)編輯處，隱藏上傳點(diǎn)等。另外，還有在生產(chǎn)環(huán)境中開(kāi)啟debug的，真的...

更新

近期越挖越累，越來(lái)越覺(jué)得自己菜。我發(fā)現(xiàn)自己只會(huì)挖掘一些SQL注入，信息泄露，文件上傳還有已知組件缺陷的漏洞，對(duì)于某些隱藏透露的點(diǎn)，如報(bào)錯(cuò)、類型限制等，有時(shí)候感覺(jué)是洞但挖掘不了，有種無(wú)從下手的感覺(jué)。

個(gè)人收獲

我感覺(jué)我并不能在這篇文章里把我是如何挖洞的說(shuō)清楚，而且很多時(shí)候靠經(jīng)驗(yàn)與知識(shí)點(diǎn)。
挖洞與學(xué)習(xí)新知識(shí)并不沖突，令人意外的是，挖洞遇到一些cms并去查相關(guān)cve，能記得特別勞。然后我把其中一些操作簡(jiǎn)單的都寫(xiě)成poc了，也方便自己。

然后說(shuō)說(shuō)改變的話，現(xiàn)在一天打開(kāi)差不多10個(gè)網(wǎng)站進(jìn)行挖掘，差不多都能肉眼識(shí)別cms了，無(wú)語(yǔ)。

然后期待能在挖洞中得到樂(lè)趣與知識(shí)吧。

?

總結(jié)

以上是生活随笔為你收集整理的干货|SRC漏洞挖掘经验的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。