SRC挖掘与渗透测试技术全面指南

一、SRC挖掘入门

1.1 新手推荐平台

• 公益SRC平台：漏洞盒子、补天SRC
  • 漏洞盒子收录范围广，国内站点基本都收录
  • 挖掘难度适中，适合新手入门
• 进阶平台：教育edusrc、CNVD平台

1.2 SRC挖掘注意事项

1. 必须读懂SRC平台规则，不得越红线
2. 熟悉平台收录规则，避免挖到被忽略的漏洞
3. 从公开NDay转向技巧和思路挖掘

二、文件上传漏洞

2.1 嵌套XSS语句

• 文件类型：svg、pdf、html、xml
• 示例代码：

<!DOCTYPE html>
<html>
<head>
<title></title>
<meta charset="utf-8">
<script type="text/javascript">alert("testxss");</script>
</head>
<body>

2.2 SVG XSS示例

<svg xmlns="http://www.w3.org/2000/svg" version="1.1">
<circle cx="100" cy="50" r="40" stroke="black" stroke-width="2" fill="red" />
<script>alert(1)</script>
</svg>

2.3 路径可控利用

• 原路径：user_apply_file
• 修改为：1/23/456/user_app_file

2.4 黑名单绕过技巧

1. 后缀大小写：Php (Windows环境下可解析)
2. 后缀名空绕过：shell.png
3. 后缀名点绕过：shell.php.
4. Windows文件流绕过：shell.php::$DATA
5. 双写绕过：shell.pphphp
6. %00截断：shell.php%00

三、逻辑漏洞

3.1 登录口常见漏洞

• 轰炸、注册、验证码爆破
• 验证码相关漏洞、NDay利用
• 弱口令、DDOS、注入
• 枚举、越权、二维码劫持
• JS、URL、返回包分析
• 信息泄露、RCE、XSS、SSRF、SQL注入

3.2 短信轰炸技巧

• 并发攻击、URL编码
• 手机号变形：
  • 前后加空格
  • 添加前缀：86、086、0086、+86、0、00
  • 特殊符号：/r、/n
  • 编码字符：%09(TAB)、%0a(换行)、%0c(换页)、%0d(回车)、%0b(垂直TAB)、%a0(空格)

3.3 验证码DOS

参数示例：

&height=1111&h=1111&size=1111&ma

3.4 绑定关系漏洞

• 使用A手机号获取验证码
• 输入B手机号时使用A的验证码
• 修改密码或登录

3.5 修改返回包

• false改为true
• 双写手机号：mobile=123456,123456

3.6 密码重置漏洞

1. 找回密码时拦截请求
2. 将目标手机号改为自己的手机号
3. 接收验证码后输入
4. 提交时将手机号改回目标手机号

3.7 任意用户注册

• 验证码和手机号未绑定
• 使用正确手机号获取验证码
• 输入验证码后修改为其他手机号

四、业务逻辑漏洞

4.1 优惠券漏洞

• 遍历ID
• 并发领取
• 浏览器回退重试
• 修改本地时间

4.2 支付漏洞

1. 签约漏洞：
   • 首月低价，次月高价
   • 尝试使用两个低价支付方式
2. 年限修改：
   • count=1 year → count=1 day
3. 负数购买：
   • 修改数量/金币为负数
   • 修改UID为他人账户
4. 支付续费漏洞：
   • 先购买低级会员，再购买高级会员
   • 查看是否获得双倍时长

4.3 付费简历越权

• 前端越权
• 后端越权
• 注意disabled属性的元素

五、并发攻击

5.1 Turbo Intruder使用

1. 插入标记：x-req:%s
2. 设置Python脚本
3. 30个连接中保留最后一个字节不发送
4. 同时发送最后一个字节实现并发

六、任意文件下载

6.1 常见参数

• file=etc/passwd
• path
• filename

6.2 利用方式

• 目录遍历：../../
• 路径修改：
  • 原路径：path=edu.gi
  • 修改为：path=/etc/passwd

七、越权漏洞

7.1 检测方法

• 返回包中数组为空的情况
• 越权删除：尝试{454,568}格式

八、URL跳转

8.1 白名单绕过

url=http://example.com@evil.com
url=http://example.com/evil.com

8.2 常见参数

• redirect
• redirect_to
• redirect_url
• url
• jump
• jump_to
• target
• to
• link
• linkto
• domain

8.3 绕过技巧

1. 斜线绕过：

   url=/www.baidu.com
   url=//www.baidu.com
   

2. 符号绕过：

   url=https://www.xx.com@www.baidu.com
   url=https://www.xx.com\www.baidu.com
   url=https://www.xx.com?www.baidu.com
   

九、403/401绕过

9.1 方法总结

1. 添加特殊请求头：
   • X-Originating-IP
   • X-Remote-IP
   • X-client-IP
   • X-Forwarded
2. Unicode字符绕过：
   • %ca
   • %sa
   • %dmin (替代admin)
3. HTTP头覆盖：

   X-Original-URL: /admin
   X-override-URL: /admin
   X-Rewrite-URL: /admin
   

4. 路径变形：

   /accessible/..;/admin
   /.;/admin
   /admin;/
   

5. 请求方法转换：GET改为POST
6. 直接访问真实IP
7. 目录/文件Fuzzing

十、信息泄露

10.1 常见泄露点

• .bash_history - 历史命令
• debug/pprof/cmdline
• .git/index - Git索引
• .svn/entries - SVN信息
• .DS_Store - MacOS目录信息
• graphql/tenant/sources
• actuator/env/
• swagger-ui.html

10.2 Druid未授权访问

• /druid/index.html - 监控首页
• /druid/sql.html - SQL监控
• /druid/weburi.html - URI监控
• /druid/websession.html - Session监控
• JSON接口：
  • /druid/weburi.json
  • /druid/websession.json

十一、隐私合规

11.1 常见问题

1. 隐私政策无法点击或404
2. 注册时默认勾选同意
3. 隐私政策内容乱码
4. 拒绝提供信息时直接退出

11.2 报告示例

标题：xxapp1.1.1版本存在隐私合规用户自动同意隐私政策漏洞
内容：用户注册时隐私政策默认勾选，无法取消
修复建议：取消默认勾选，要求用户主动同意

十二、地图API接管

12.1 常见API

1. 高德WebAPI：

   https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=KEY
   

2. 百度WebAPI：

   https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行&region=北京&output=json&ak=KEY
   

3. 腾讯WebAPI：

   https://apis.map.qq.com/ws/place/v1/search?keyword=酒店&boundary=nearby(39.908491,116.374328,1000)&key=KEY
   

12.2 漏洞影响

• API额度被恶意消耗
• 地图加载异常
• 定位服务不可用

十三、拒绝服务

13.1 常见场景

1. 资源生成大小可控：
   • 图片验证码
   • 二维码
   • 找回密码
2. 示例接口：

   https://attack/validcode?w=130&h=53
   

   可修改参数：

   height=1111
   h=1111
   size=1111
   margin=1111
   

十四、CSRF利用

14.1 退出功能利用

1. 修改头像存储地址为退出URL：

   portrait=http://baidu.com → http://baidu.com/logout
   

2. 当其他用户访问含此头像的页面时会自动退出

14.2 Referer绕过

1. 删除Referer头
2. 将HTTP请求头目录名设置为网站检测的Referer

十五、XSS漏洞

15.1 常用函数

• alert()
• confirm()
• prompt()

15.2 常用标签与属性

1. <script>alert('X');</script>
2. ``标签：

3. <a>标签：

   <a href="javascript:alert('XSS Attack');">Click me</a>
   <a style="color:red;" onmouseover="alert('XSS Attack')">Hover me</a>
   

4. <iframe>标签：

   <iframe src="javascript:alert('XSS Attack');"></iframe>
   

5. <svg>标签：

   <svg onload="alert('XSS Attack')"></svg>
   

6. <body>标签：

   <body onload="alert('XSS Attack')"></body>
   <body background="javascript:alert('XSS Attack')">
   

15.3 反射型XSS常见出现点

1. 搜索框
2. URL参数
3. 表单提交
4. 评论和留言板
5. 分页和排序参数
6. 数据可视化和报表参数
7. 路径导航

15.4 XSS测试流程

1. 参数→猜测每个参数
2. 查看源码→尝试闭合
3. 测试<u>a</u>→猜测标签→事件→函数

十六、SQL注入

16.1 X-Forwarded-For注入

• 伪造客户端真实IP
• 如果程序获取此值并带入数据库，可能造成SQL注入

十七、RCE漏洞

17.1 登录位置

• 用户输入账户和密码时可能造成RCE

17.2 JS API接口泄露

1. 查看JS源码中的API接口
2. 示例：/api/register/user
3. 直接拼接API接口测试
4. 观察响应包内容进行分析

十八、SSRF漏洞

18.1 伪协议利用

1. http：http://127.0.0.1
2. file：file://etc/passwd
3. dict：dict://ip:6739/info:
4. sftp：SSH文件传输协议
5. ldap：轻量级目录访问协议
6. tftp：简单文件传输协议
7. gopher：分布式文档传递服务

18.2 常见功能点

• URL解析与重定向
• 图片上传与处理
• 文件上传与处理
• Webhook功能
• 远程文件包含

18.3 头像保存SSRF

1. 抓取头像保存请求
2. 修改avatar参数
3. 使用DNSlog并注释后续URL：

   http://6p076o.dnslog.cn#
   

18.4 常见SSRF参数

• url
• redirect
• callback
• images
• source
• domain
• link
• data
• webhook

18.5 绕过方法

1. IP表示法：十进制、八进制、十六进制
2. 特殊域名：localhost、127.0.0.1.xio.io
3. URL编码：字符编码、双重编码
4. URL解析差异：http://www.xxx.com@www.xxyy.com
5. HTTP重定向：301/302跳转

十九、Gopher协议

19.1 协议格式

gopher://<host>:<port>/<gopher-path>

• 默认端口：70
• <gopher-path>格式：

  <gophertype><selector>
  <gophertype><selector>%09<search>
  <gophertype><selector>%09<search>%09<gopher+_string>
  

19.2 攻击面

• 内网FTP、Telnet、Redis、Memcache
• GET/POST请求

二十、CORS漏洞

20.1 检测方法

1. 添加请求头：

   Origin: www.test.com
   

2. 检查返回包：

   Access-Control-Allow-Origin: www.test.com
   Access-Control-Allow-Credentials: true
   

20.2 漏洞利用

• 绕过SOP(同源策略)
• 实现跨域资源访问