SRC 挖洞实战｜金山云资产信息收集（子域名 + C 段 + SSL 证书归属判定）完整流程

前言

本篇分享一次面向金山云 KYSRC 的漏洞挖掘实战，全程围绕子域名爆破、C 段扫描、SSL 证书判定资产归属三大信息收集核心思路，使用 Teemo 自动化资产搜集工具，最终在无明显企业标识的 C 段内网平台发现弱口令漏洞，完整记录从资产梳理到漏洞提交领奖全流程，适合 SRC 挖洞入门、信息收集薄弱的师傅学习。

合规前置：本次测试仅在厂商公开授权 SRC 漏洞收录范围内开展，所有操作合法合规，未越权探测无关资产。

一、测试基础信息

1.1 目标平台范围

首先，查看漏洞收集范围

1.2 使用工具清单

核心工具：Teemo（自动化资产搜集 Python 脚本） 配套数据源 API：Google CSE、Bing API、Fofa、Shodan 运行环境：python 2.7

1.3 漏洞结果基础信息

漏洞等级：中危 赛季积分：32 报告评级：优 漏洞编号：vulbox-2056 厂商处理效率：快速审核，确认漏洞后立即安排修复并发放奖金

二、实操流程：金山云资产搜集 + C 段漏洞挖掘（分步序号）

2.1 步骤 1：配置 Teemo 工具，申请各类数据源 API（原文保留）

各 API 申请指引 (非必要) 其中部分接口需要 API Key, 如果有相应账号，可以在 config.py 中进行配置，没有也不影响程序的使用。

1. Google CSE (自定义搜索引擎): 创建自定义的搜索引擎 (CSE)https://cse.google.com/cse/all 申请 API Key: https://developers.google.com/custom-search/json-api/1/overview
2. Bing API: ·https://azure.microsoft.com/zh-cn/try/cognitive-services/my-apis/ ·https://api.cognitive.microsoft.com/bing/v5.0/search ·https://docs.microsoft.com/en-us/azure/cognitive-services/bing-web-search/quick-start
3. Fofa: 需要购买会员
4. Shodan: 登陆后页面右上角 "show API key"

2.2 步骤 2：运行 Teemo 批量爬取子域名与 IP 资产

1. 执行扫描命令：Teemo.py -d ksyun.com

1. 工具作用:自动汇总目标所有子域名、独立IP、C段网段，区分公网/内网资产;它会把搜索到的子域名+ip记录下来(其他工具大多也有此功能)

2.3 步骤 3：重点攻坚 C 段资产，遍历网段存活站点

1. 筛选扫描结果中 C 段网段 120.92.15.0/24 作为核心探测目标
2. 批量访问 C 段存活 IP，发现无金山云标识的后台页面：欢迎使用 NOC 平台！LDAP Login 登录界面，无企业 logo、无页面归属标识
3. 弱口令暴力尝试：抱着试试的态度，admin/admin
4. 成功登录后台，页面原文信息： 管理员 用户名 admin 上午好：管理员 09:55:42 空气质量:undefined 西南风，3-4 密码 admin , 请适当增减衣服。体质较弱的朋友请注意防护
5. 资产归属佐证：通过页面内置 logo、页面特殊标识、SSL 证书信息确认该 NOC 平台属于金山云自有资产。

2.4 步骤 4：漏洞提交，等待厂商审核

1. 整理漏洞证据：C 段 IP 地址、登录页面截图、弱口令登录后台截图、证书归属凭证
2. 提交至金山云 KYSRC 漏洞平台，填写完整漏洞报告
3. 厂商审核流程原文： 金山云开始审阅您的漏洞 已开始审阅此漏洞，漏洞名称 金山云确认了您的漏洞 1 已确认此漏洞，开始漏洞修复 金山云我们已确认了此漏洞，开始漏洞修复工作，厂商预估漏洞评级为中危，支付奖金元，积分为 32 (赛季积分：32?), 漏洞名称为，漏洞编号:vulbox-2056, 报告质量为优
4. 漏洞提交收获：成功获取奖金与赛季积分，额外同批次挖到小米资产弱口令漏洞。

三、思路梳理 & 漏洞总结

3.1 整体挖洞思路梳理

1. 划定边界：先阅读 SRC 收录范围，区分可挖资产、排除资产，避免无效探测；
2. 批量资产测绘：使用 Teemo 整合多引擎 API，一次性获取子域名、独立 IP、C 段网段；
3. 拓宽探测面：不局限于知名主站域名，重点扫描工具输出的完整 C 段网段；
4. 资产归属判定：无明显标识站点依靠页面特征、SSL 证书交叉验证归属；
5. 低门槛漏洞优先：后台登录页面优先测试通用弱口令（admin/admin、root/root 等）；
6. 完整证据留存：页面截图、登录凭证、证书信息、网段信息统一整理后提交 SRC。

3.2 核心漏洞问题

1. 内部运维 NOC 平台使用通用弱口令 admin/admin，无密码复杂度策略；
2. 内网运维平台暴露在公网 C 段，未做 IP 访问白名单限制；
3. 平台无明显企业标识，运维人员忽视该资产安全管控，长期无人巡检；
4. 缺乏登录失败锁定机制，攻击者可无限次暴力破解账号密码。

3.3 漏洞危害

1. 运维权限泄露：攻击者登录 NOC 监控平台，查看服务器运行状态、内网设备、业务监控数据；
2. 内网横向渗透跳板：依托 NOC 平台权限进一步探测内网网段，获取更多业务资产；
3. 业务数据泄露：监控平台存储服务器运行日志、设备配置，泄露金山云底层运维架构；
4. 衍生高危风险：配合其他漏洞可篡改监控配置、阻断业务告警，掩盖后续攻击行为。

3.4 修复建议

1. 账号密码加固
   • 强制运维账号启用高强度密码（大小写 + 数字 + 特殊符号），定期轮换；
   • 开启登录失败锁定，连续 5 次错误密码自动封禁 IP / 账号 15 分钟；
   • 禁用通用弱口令，后台新增弱口令拦截校验。
2. 网络访问管控
   • 运维 NOC 平台配置 IP 白名单，仅允许企业办公出口 IP、内网 IP 访问；
   • 公网 C 段屏蔽非业务运维端口，关闭不必要的公网暴露端口。
3. 资产统一管理
   • 梳理全部 C 段、内网运维资产，统一添加企业标识，定期安全巡检；
   • 结合 SSL 证书、域名资产建立完整资产台账，避免漏管冷门后台系统。
4. 安全审计
   • 开启登录日志审计，记录所有登录 IP、时间、操作行为，异常登录实时告警。

3.5 本次测试心得

原文：写到最后，我之前也曾随便看过金山云的资产，但是一无所获，原因是 "常见" 的域名无从下手，也没有去看 c 段，就开始暗示自己金山云有点难挖，实际上是自己懒，只是浅度的尝试。所以挖洞一定要有耐心，而且也要细心。也许一不小心就挖到了（我这个是在一个比较严肃的场景下挖到的，嘿嘿），也许一不小心就挖到其他 src 的漏洞了，谁说的清呢。 补充心得：

1. C 段是挖洞黄金突破口：多数厂商只关注主站、知名子域名，极易忽略 C 段冷门运维后台；
2. SSL 证书是判定模糊资产归属的关键证据，无 logo 站点优先查看证书签发主体；
3. 自动化工具仅做资产搜集，人工遍历 C 段、测试弱口令才是出洞核心步骤，不能完全依赖脚本；
4. 不要预判目标 "难挖"，浅度扫描大概率错过大量边缘资产，深度测绘才能提升漏洞产出。

四、全文总结

本次金山云 SRC 漏洞挖掘完整流程分为资产范围确认、自动化资产测绘、C 段深度探测、弱口令漏洞验证、SRC 提交审核五大环节。依靠 Teemo 整合多搜索引擎 API 快速批量获取子域名与 C 段网段，跳出常规主站挖洞思维，重点扫描容易被忽略的 C 段运维资产，通过通用弱口令拿下无标识 NOC 后台，搭配 SSL 证书完成资产归属举证，成功产出中危漏洞。 对于 SRC 挖洞选手而言，信息收集深度直接决定漏洞产出量，不能仅停留在子域名扫描，C 段网段、SSL 证书、边缘运维系统都是高频漏洞点位，保持耐心、全面测绘资产才能持续挖到漏洞。

安全声明

1. 本文所有操作仅在厂商官方授权 SRC 漏洞收录范围内完成，全程遵循白盒测试、授权渗透规范；
2. 文中 Teemo 工具、C 段扫描、弱口令测试思路仅用于网络安全学习、企业内部自查、合法 SRC 漏洞挖掘；
3. 禁止任何人将本文技术手段用于未授权网站、服务器、云平台进行扫描、爆破、入侵、数据窃取等违法行为；
4. 未经授权探测、入侵他人系统违反《网络安全法》《刑法》非法侵入计算机信息系统罪，违规者需承担民事赔偿与刑事责任；
5. 企业运维人员可参考文中修复建议，自查内网运维平台、C 段暴露资产的弱口令、公网访问风险