零基础SRC漏洞挖掘实战：从信息收集到报告提交的完整指南

1. 项目概述：从“网安小白”到“SRC猎人”的蜕变之路

如果你对网络安全感兴趣，刷到过各种“白帽子”通过提交漏洞获得奖金和荣誉的故事，心里痒痒的，但又觉得“挖洞”这事儿门槛太高，不知从何下手，那你来对地方了。我就是从那个阶段过来的，看着别人在SRC（安全应急响应中心）平台上提交漏洞，自己却连“信息收集”该收集什么都一头雾水。这篇文章，就是我作为一个曾经的“网安小白”，一路摸爬滚打，总结出的一套零基础开启SRC漏洞挖掘的实战经验。它不是一本理论教科书，而是一份“踩坑指南”和“行动地图”，我会把那些教程里不会细说的“为什么这么做”、“具体怎么操作”、“过程中会遇到什么坑”都掰开揉碎了讲给你听。无论你是计算机专业的学生，还是对安全充满好奇的转行者，只要跟着这份干货一步步走，你就能建立起属于自己的漏洞挖掘实战能力，真正迈出从“围观者”到“参与者”的第一步。

2. 核心思路拆解：SRC漏洞挖掘的本质与入门路径

很多人一上来就想着找“神器”、用“大招”，希望能一键扫描出高危漏洞，这种想法在实战中往往会碰壁。我花了很长时间才明白，SRC漏洞挖掘，尤其是对新手而言，其核心本质可以概括为“基于资产的信息深度利用”。这听起来有点抽象，我换个说法：你不是在“攻击”一个系统，而是在“理解”一个庞大的、由无数组件构成的数字实体，并从中找出那些被开发者疏忽的“理解偏差”或“配置错误”。

2.1 为什么是“信息深度利用”而非“攻击”？

首先，SRC平台（如腾讯安全应急响应中心、阿里云安全响应中心、补天平台等）的规则是“授权测试”，即只允许对平台收录的、明确属于该厂商的资产进行测试。你的目标是帮助厂商发现问题，而不是搞破坏。因此，盲目扫描、暴力破解不仅效率低下，还可能触及法律红线。正确的姿势是，将目标看作一个拼图，你的第一步是尽可能多地找到拼图碎片（资产），第二步是研究每块碎片的材质和边缘（技术细节），第三步才是尝试将两块本不该连接的碎片拼在一起，或者发现某块碎片本身就有裂痕（漏洞）。

2.2 新手入门的三级火箭：工具、流程、思维

基于这个本质，我给新手规划了一条“三级火箭”式的成长路径：

1. 工具辅助，建立感知：初期不要排斥自动化工具。像AWVS、Xray这类漏洞扫描器，就像给你装上了一副“透视眼镜”，能快速帮你识别出常见的、低垂的果实，比如明显的SQL注入点、暴露的敏感文件。这个过程的核心目的不是依赖工具，而是通过工具的报告，快速建立对“漏洞长什么样”、“漏洞通常出现在哪里”的直观感受。记住，工具的报告99%可能是误报，但剩下的1%就是你学习的起点。
2. 流程固化，形成肌肉记忆：当你对漏洞有了基本感知后，就要摆脱对工具的依赖，形成一套固定的手动测试流程。这套流程通常以“信息收集”为起点，贯穿始终。你的大脑要时刻思考：这个URL参数可能有什么作用？这个功能点背后调用了什么接口？这个报错信息暴露了哪些服务器信息？这个过程是将外部知识内化为自身能力的关键。
3. 思维跃迁，从点到面：最后，也是最能体现“深度利用”的一步，是建立“攻击面”思维。你不能只盯着一个登录框测弱口令，而要思考整个业务链条。例如，一个在线教育平台，其攻击面可能包括：官网（前端JS、API接口）、学生/教师端App（移动端安全）、后台管理系统（权限）、合作伙伴接入点（第三方风险）、历史遗留系统（老旧框架漏洞）。你的信息收集要服务于勾勒出这个完整的攻击面地图。

注意：很多新手会陷入“唯工具论”或“唯漏洞类型论”（比如只学SQL注入）。我的经验是，工具和漏洞类型只是“剑法”，而信息收集和攻击面思维是“内功”。内功深厚，即使是用最基础的“剑法”，也能发现意想不到的漏洞。

3. 实战起手式：高效精准的信息收集体系搭建

信息收集是漏洞挖掘的基石，其质量直接决定了后续测试的效率和成功率。我将其分为四个层次，由广至深，层层递进。

3.1 第一层：基础资产发现（绘制目标地图）

这一层的目标是回答“目标有什么？”。

• 子域名枚举：这是最核心的一步。一个主站（如www.target.com）背后往往有几十上百个子域名（如admin.target.com,api.target.com,test.target.com）。这些子域名可能就是未受重视的薄弱环节。常用工具有subfinder,amass,OneForAll。同时，一定要利用证书透明度日志（如crt.sh）、DNS历史记录查询等手段，发现那些已被遗忘但依然解析的域名。
• IP资产测绘：通过工具如masscan快速扫描目标IP段，发现开放端口（如80, 443, 8080, 22, 3306）。再使用nmap进行深度服务识别，判断端口上运行的是Apache、Nginx、Tomcat还是某种未知服务，以及其具体版本。
• 搜索引擎语法利用：这是被严重低估的利器。除了常用的site:target.com，更要善用inurl:,intitle:,filetype:等语法。例如，site:target.com filetype:pdf可能找到内部技术文档；inurl:upload site:target.com可能直接定位到文件上传功能点。

3.2 第二层：应用架构与技术栈识别（分析建筑材料）

知道有什么之后，要分析它们“是什么做的”。

• 指纹识别：使用Wappalyzer浏览器插件或WhatWeb、EHole等命令行工具，快速识别网站使用的技术栈：前端框架（React/Vue）、后端语言（Java/PHP/Python）、中间件（Nginx/Tomcat）、数据库（MySQL/Redis）、第三方组件（jQuery版本、编辑器种类）等。
• 目录与文件扫描：使用dirsearch,gobuster,ffuf等工具，针对常见的备份文件（.bak,.zip,.tar.gz）、配置文件（.git,.svn,.env）、接口文档（/swagger-ui.html,/api-docs）进行扫描。一个暴露的.git目录可能意味着整个网站源码泄露。
• JS文件分析：现代Web应用大量逻辑写在JavaScript中。手动或使用工具（如LinkFinder,JSFinder）分析JS文件，常能发现未在页面中显式链接的API接口、子域名、甚至是硬编码的API密钥、AccessKey等敏感信息。

3.3 第三层：关联资产与历史漏洞挖掘（寻找历史痕迹）

目标不是孤立的，它存在于更广阔的互联网环境中。

• 关联企业查询：通过企查查、天眼查等工具，了解目标公司的母公司、子公司、投资方。这些关联公司的域名、IP、甚至员工邮箱，都可能成为你突破的入口。例如，子公司使用的老旧OA系统，可能和母公司共用一套账号体系。
• 历史漏洞与情报收集：在Exploit-DB,CNVD,CNNVD以及各大SRC已公开的漏洞报告中，搜索目标公司或其使用的特定组件（如“用友NC”、“通达OA”、“Apache Shiro”）的历史漏洞。很多企业修补漏洞并不及时，一个一两年前的漏洞利用方式，可能依然有效。
• 第三方服务与供应链：目标可能使用了第三方云服务（如阿里云OSS、腾讯云COS）、CDN、邮件服务、客服系统等。这些第三方服务的配置不当（如OSS桶公开可写、CDN源站IP暴露）同样属于漏洞范畴。

3.4 第四层：人员与社会工程信息（软性突破口）

在严格授权测试范围内，这部分信息主要用于理解业务逻辑和猜测潜在弱点。

• 员工信息收集：从官网、招聘网站、领英等渠道，了解技术栈（招聘要求中常写明）、组织架构。某些内部系统的账号命名规则可能是“姓名全拼”或“工号”。
• 业务逻辑理解：仔细浏览目标所有公开业务。一个电商平台，你要关注注册-登录-购物-支付-售后全流程；一个政府网站，你要关注信息填报、文件上传、查询公示等环节。理解业务，才能发现业务逻辑漏洞，如越权访问、顺序执行缺陷等。

我的实操心得是，建立一个信息收集清单（Checklist），并利用Obsidian或Notion这样的笔记工具，为每个目标建立一个专属页面，将以上四个层次收集到的信息结构化地记录进去。这个页面就是你本次“战役”的指挥中心。

4. 核心漏洞类型实战挖掘与手工验证

有了扎实的信息收集，我们就可以针对性地进行漏洞挖掘了。对于新手，我建议从以下几类高成功率的漏洞入手，它们往往不需要太深的二进制功底，更考验细心和逻辑。

4.1 业务逻辑漏洞：最体现“深度利用”思维的漏洞

这类漏洞工具几乎无法发现，全靠人脑分析。

• 越权访问：这是最常见的逻辑漏洞。分为水平越权（访问同权限其他用户的数据）和垂直越权（低权限用户执行高权限操作）。测试方法：在完成一个操作（如查看订单、修改资料）后，抓取请求包，尝试修改其中的用户ID、订单ID等参数，看是否能访问到他人的数据。或者，在登录普通用户账号后，直接尝试访问仅管理员可见的URL。
• 流程绕过：比如支付漏洞中的“金额篡改”、“负数购买”、“重复提交订单”。测试方法：在业务流程的关键步骤（如提交订单、确认支付）拦截请求，尝试修改传递的参数值，观察后端是否仅依赖前端传来的数据进行校验。
• 验证码与防重放缺陷：验证码是否在客户端生成或校验？短信验证码是否位数过少、有效期过长、未做次数限制？测试方法：对同一个手机号连续请求短信验证码，看是否有频率限制；收到验证码后，尝试用000000、123456等简单密码爆破；观察验证码是否在返回包中直接给出。

4.2 注入类漏洞：Web安全的经典命题

虽然老生常谈，但依然广泛存在，尤其是各种变体。

• SQL注入：不要只测试'和and 1=1。对于数字型参数，尝试1+1,2-1；对于搜索框，尝试输入%、_（SQL通配符）观察结果差异。使用sqlmap时，一定要带上--level和--risk参数提高检测等级，并善用--tamper脚本绕过简单的WAF。手工验证关键：观察输入特殊字符后，页面的回显内容、响应时间、错误信息是否发生变化。
• 命令注入：常见于网络设备、监控系统、后台的功能点（如Ping、DNS查询）。测试点：参数中尝试拼接|,&,;,&&,||等命令分隔符，后接whoami,id,ifconfig等命令。例如，输入8.8.8.8;whoami。
• 模板注入：多见于一些CMS、博客系统的编辑或展示功能。如果发现页面内容会根据你的输入进行渲染，尝试输入{{7*7}},${7*7},<%=7*7%>等，如果页面显示出49，则可能存在服务端模板注入（SSTI），危害极大。

4.3 文件处理漏洞：直通服务器的高危路径

• 文件上传漏洞：这是新手最容易挖到且危害较高的漏洞。测试思路：
  1. 前端绕过：抓包修改文件扩展名（如shell.jpg改为shell.jpg.php）。
  2. 内容类型绕过：修改HTTP请求头中的Content-Type为image/jpeg。
  3. 黑名单绕过：尝试php3,phtml,phps,.htaccess（需配合解析漏洞）等罕见扩展名。
  4. 解析漏洞：配合服务器特性，如IIS的shell.jpg;.php， Nginx的shell.jpg%00.php（需特定版本）， Apache的shell.php.jpg（如果存在AddType错误配置）。
  5. 竞争条件：在上传和检查的极短时间差内，访问上传的文件。可以编写脚本快速、循环地访问上传后的路径。
• 目录遍历/文件包含：通过参数读取系统文件，如?file=../../../../etc/passwd。测试时使用....//....//进行双重编码绕过。本地文件包含（LFI）可能能结合日志文件、Session文件等，转化为远程代码执行（RCE）。

4.4 信息泄露与配置错误：被忽视的宝藏

这类漏洞挖掘成本低，在SRC中通常属于低危或中危，但却是通往更高危漏洞的“钥匙”，且非常适合新手积累信心和经验。

• 敏感文件泄露：除了工具扫描的备份文件，要手动尝试/.git/config,/.svn/entries,/.DS_Store,/WEB-INF/web.xml， 以及phpinfo.php,test.php,debug.php等临时文件。
• 配置错误：
  • CORS错误配置：响应头Access-Control-Allow-Origin: *或包含不严格信任的来源，可能导致用户数据被恶意网站窃取。
  • HTTP方法滥用：测试PUT,DELETE,TRACE等方法是否被意外开启。OPTIONS方法可能会泄露支持的HTTP方法。
  • 默认凭证与弱口令：不仅针对后台，还要关注路由器、监控摄像头、数据库（Redis无密码）、中间件管理后台（如Tomcat manager, Jenkins, Jupyter Notebook）的默认口令。可以自己搭建常见服务的默认口令字典进行爆破。
  • 云存储桶公开访问：通过域名猜测或工具扫描，发现类似oss.aliyuncs.com,cos.ap-beijing.myqcloud.com的链接，直接浏览器访问看是否列出文件目录或可上传。

5. 工具链配置与高效工作流

工欲善其事，必先利其器。一个高效、顺手的工作环境能极大提升挖掘效率。

5.1 核心工具选型与配置要点

• 代理抓包工具（Burp Suite Professional）：这是你的“主武器”。社区版功能受限，建议有条件使用专业版。关键配置：
  • 项目级配置：为每个目标创建独立的Project文件，避免数据混乱。
  • 代理与证书：确保手机和PC都安装了Burp的CA证书，以便抓取HTTPS流量。
  • Scanner优化：关闭那些明知目标不存在的漏洞类型扫描，减少干扰。自定义扫描插入点（Insertion Points）。
  • Extender插件：必装Logger++（记录所有请求）、Autorize（自动越权测试）、Turbo Intruder（高性能爆破）、Collaborator Everywhere（自动发现SSRF、Out-of-band漏洞）。
• 浏览器与插件：至少准备两个浏览器，一个用于正常浏览（Chrome），一个用于测试（Firefox with HackTools）。
  • Firefox测试专用：安装Hack-Tools,Wappalyzer,FoxyProxy,Cookie-Editor等插件。配置FoxyProxy一键切换Burp代理。
  • Chrome日常专用：保持干净，用于查阅资料、登录个人账号，避免测试时Cookie污染。
• 信息收集与漏洞扫描套件：建议在Linux环境下（如Kali Linux或自建Ubuntu）搭建。
  • 综合平台：Kali Linux是首选，但也可以使用Docker部署ARL（Asset Reconnaissance Lighthouse）、Rad等自动化资产侦察平台。
  • 子域名：subfinder+amass+assetfinder， 结果去重后使用httpx或naabu探测存活。
  • 目录扫描：ffuf是当前速度与功能平衡的最佳选择。字典推荐SecLists项目中的Discovery/Web-Content目录下的字典。
  • 漏洞扫描：nuclei是神器。它基于社区维护的庞大漏洞模板库（POC），能快速检测成千上万种已知漏洞。你需要定期更新它的模板库（nuclei -update-templates）。将其与httpx输出的存活URL列表结合，可以快速进行批量检测：cat urls.txt | httpx -silent | nuclei -t nuclei-templates/ -o results.txt。

5.2 个人高效工作流设计

我的典型一天挖洞流程是这样的：

1. 目标确定与初始化：早上选定一个目标（如某家互联网公司的SRC），在笔记中创建页面。
2. 自动化信息收集（挂机运行）：运行一套脚本或命令，进行子域名枚举、端口扫描、基础指纹识别。这个过程可能需要1-2小时，期间我可以做其他事情。
3. 人工深度信息梳理：拿到初步资产列表后，手动访问主要域名，用Wappalyzer识别技术栈，用浏览器查看核心业务功能，同时打开Burp进行流量代理。
4. 针对性漏洞探测：根据技术栈和业务特点，选择探测方向。如果是Java站，重点看有无Spring Boot Actuator未授权、Shiro反序列化；如果有文件上传点，立即进行绕过测试；看到查询接口，测试SQL注入和XSS。
5. 漏洞验证与报告编写：一旦发现疑似漏洞，立即进行深度验证，确保可稳定复现。然后，立即开始编写漏洞报告。报告要清晰描述步骤、附上截图和证明危害的Payload。不要等挖了一天再统一写，记忆会模糊。
6. 交叉复核与知识沉淀：当天工作结束前，回顾自动化工具（如nuclei）的输出报告，看是否有遗漏的高危项。将本次挖掘过程中学到的新技巧、新思路记录到自己的知识库中。

6. 从发现到提交：漏洞验证、报告编写与沟通艺术

挖到漏洞只是成功了一半，如何清晰地证明它、描述它，并让审核人员快速理解其危害，同样至关重要。

6.1 漏洞验证的三重境界

1. 可复现：这是最基本要求。你的操作步骤必须能稳定地、多次地触发漏洞现象。避免使用依赖特定环境（如本地时间、特定缓存）的偶然性操作。
2. 证明危害：你需要证明这个漏洞能造成实际影响。一个SQL注入，不能只显示一个报错页面就完了，要用union select爆出数据库名、表名、数据。一个XSS，不能只弹个框，要证明能窃取Cookie或模拟用户操作（如发帖、转账）。一个越权，要能确实看到或修改他人数据。
3. 评估影响范围：这个漏洞影响所有用户还是特定用户？影响的是测试环境还是生产环境？数据是公开信息还是敏感信息？在报告中明确影响面，有助于厂商评估漏洞的紧急程度和你的贡献值。

6.2 高质量漏洞报告编写指南

一份优秀的报告能让审核人员眼前一亮，加速漏洞的处理和定级。

• 标题：简明扼要。格式建议：[漏洞类型] + [影响功能点] + [简要危害]。例如：“后台管理模块垂直越权漏洞导致任意用户删除”、“某API接口未授权访问泄露大量用户手机号”。
• 漏洞详情：
  • 漏洞URL：完整的、可直连的URL。
  • 请求方法：GET/POST/PUT等。
  • 漏洞参数：指出存在问题的具体参数名。
  • 复现步骤：使用编号列表，清晰描述从打开浏览器到触发漏洞的每一步操作。像写食谱一样，让一个完全不懂的人也能照着做出来。关键步骤要附截图。
  • 请求与响应数据：提供原始的HTTP请求包和响应包（可使用Burp的Copy as curl command或Copy to file功能）。对于敏感信息（如Cookie、Token），可进行打码，但需说明。
  • 漏洞证明：最直接的截图或视频。例如，SQL注入爆出数据的截图，越权访问他人后台的页面截图，XSS成功执行代码的截图。
• 修复建议：给出具体、可操作的修复方案。不要只说“加强过滤”，而应说“建议在服务器端对user_id参数进行严格的权限校验，确保当前登录用户只能操作属于其自身的数据”。如果你知道该漏洞是源于某个已知CVE（如Apache Shiro CVE-2020-11989），请直接提供CVE编号和官方修复链接。

6.3 与审核人员的沟通技巧

提交报告后，可能会遇到审核人员退回、要求补充信息或定级争议的情况。保持专业和礼貌的沟通非常重要。

• 及时响应：关注平台通知，对审核意见尽快回复。
• 补充信息：如果审核要求补充证明，尽量提供。如果觉得定级过低，可以有理有据地阐述漏洞的实际危害和潜在利用链，但语气要客观，避免情绪化。
• 尊重判定：最终定级和奖励由平台规则和厂商决定。即使有争议，也应保持风度。你的专业表现会被记录，可能影响后续其他漏洞的审核。

7. 进阶之路：突破瓶颈与能力提升

当你能稳定挖到常见的中低危漏洞后，可能会遇到瓶颈。这时需要从“广度”转向“深度”。

7.1 代码审计：从黑盒到白盒

尝试对开源程序、CMS进行代码审计。从GitHub上找一些Star较多的开源项目，下载源码。学习如何搭建本地调试环境，使用Seay源代码审计系统或Fortify SCA（有社区版）进行自动化辅助，然后人工跟进关键函数。追踪用户输入从入口（如$_GET[‘id’]）到最终执行（如mysql_query()或eval()）的完整路径，理解漏洞产生的根源。这个过程能极大地提升你对漏洞原理的理解。

7.2 协议与中间件漏洞研究

不再局限于HTTP/HTTPS。学习分析WebSocket、gRPC、SOAP等协议的安全性。深入研究常见中间件（Nginx, Apache, Tomcat, IIS, Redis, Docker, Kubernetes）的历史漏洞和错误配置。例如，Redis未授权访问如何利用，Docker API未授权访问如何getshell。这些漏洞往往影响面大，危害程度高。

7.3 自动化与工具开发

将重复性的劳动自动化。用Python编写脚本，自动化完成从子域名收集到初步漏洞筛查的流程。学习编写nuclei的YAML模板，将自己发现的、独特的漏洞检测方法沉淀下来，并贡献给社区。这个过程不仅能提升效率，还能深化你对漏洞检测逻辑的理解。

7.4 参与社区与知识分享

加入安全社区（如先知社区、安全客、漏洞盒子社区），阅读别人的漏洞分析报告。尝试自己撰写技术文章，复盘挖到的典型漏洞。在“教”别人的过程中，你会发现自己对知识的理解会更加系统化和深刻。同时，关注业界顶级安全会议（BlackHat, DEF CON, 国内KCon等）的议题，了解最新的攻击技术和防御思路。

挖洞是一场持久战，也是一场与自己较量的游戏。它考验你的耐心、细心、逻辑思维和学习能力。最初的迷茫和无数次“空手而归”都是正常的。我的经验是，坚持按照一个科学的流程去做，每天进步一点点，认真复盘每一个成功或失败的案例，你的“漏洞嗅觉”会越来越敏锐。从找一个暴露的备份文件开始，从发现一个简单的敏感信息泄露开始，积累你的第一个漏洞，建立你的信心。这条路没有捷径，但每一步都算数。当你提交的第一个漏洞被确认并修复时，那种成就感会驱动你继续走下去。记住，最重要的不是工具和技巧，而是持续学习和思考的热情。