公益SRC怎么挖 | SRC上榜技巧

happy0717   ·   发表于 2021-01-28 19:27:56   ·   技术文章

写在前面

公益SRC上榜有什么用?

这是一则招聘信息,有SRC提交证明的优先。如果像我一样大专学历,没有工作经验那一定需要某种方法来证明自己是就业的水平。我想漏洞盒子的公益SRC上榜应该是最简单的了。虽然上榜不是找工作的硬性条件,但哪怕它可以给我们带来5%的就业机会也是值得的。

是什么阻止了我们上榜

接下来我为大家列举一下在上榜的道路上可能会遇到的艰难险阻


不适宜的时机

我们回顾2020年漏洞盒子1月到12月公益SRC月榜TOP50的分数变化
从年初的最后一名只有20分

到年末最后一名直接涨到了将近150分

这是7.5倍的差距!!!不怕我们可以试试,说不定就上榜了呢。

高额的分数

对于新手而言要连三天都不见得可以找到漏洞,需要上百的分数才可以上的榜。加油努力应该可以。

令人头疼的重复率

好不容易提交了漏洞
但当你打开我的漏洞详情时看到的是这样的

一页十个漏洞全部重复
查看综合实力时是这样的

有将近一半的漏洞全部重复,自己辛辛苦苦的努力有一半都是无用功,要想这样坚持一个月那也太难了。

暴躁的漏洞审核人员

你以为一个不重复的安全问题就是漏洞了吗,其实还是要看审核人员心情的

小小的两分钟一次的短信轰炸机不错两分
可是…

1分钟短信轰炸不在接受范围?????????????
两分钟的你们都收了,一分钟的你们不要???
你个糟老头!坏的很>_<


好了我们可能会遇到的问题一个也就是这些,接下来我会一一为大家带来解决方法

写在中间

选择一个合适的时间提交漏洞


哪个月刷榜?

回顾2020年的榜单信息,从20到150并不是一直涨的,而是像黄金一样(总的趋势是涨但,其中也有很多跌的时候)。

为了大家方便看我还整理了一张2018-2020三年月榜前50的图表,不要笑话我EXcel这个鬼我不会使>·_·<
看的时候可能会比较费力

不知道大家看完发现什么规律了吗?(我发现2020年年底那群家伙最惨),大家关注一下纵坐标,每隔一年就会翻一倍,可想而知到今年年底会怎样。我不得不说这图表波动来波动去看着好像毫无规律可言,那如果我告诉你2018年春节在2月,2019年春节在2月,2020年春节在1月!好像有点意思了吧。
而且漏洞盒子官方有一个叫做赛季的东西:
一个年度赛季由4个常规赛+1个季后赛组成 常规赛:每个赛季一般持续3个月,全民可参与 季后赛:一般持续1个月,定向邀请制,会根据白帽子全年的赛季排名,择优邀请

如果达到钻石段位给的是真钱啊!而且公益SRC的积分可以算到赛季里面。所以赛季时间公益SRC的榜单必然会高。

所以我的建议是:
1.根据国家法定节假日和过去三年的数据选择一个合适的月份刷榜。
2.季后赛采用定向邀请制,季后赛时刷榜人少,实时参与。
3.揣测不靠谱,硬实力才保守


哪天提交?

国家法定休息日漏洞盒子会休息,CNNVD可能不休息

14.15号是周六日
但如果是工作日提交的漏洞可能当天或者过几天就会过审
CNNVD确定漏洞没有固定时间

我的建议是:
1.休息日挖到的漏洞不要提交,等周一上班
2.保持有十个漏洞是代确定的,保证CNNVD有活干
3.月末5天左右提交的漏洞基本审不完,会算到下个月


如何避免重复


合理合法使用工具

如果你是一名在校大学生去你们学校网站上看看有什么福利,向北京邮电大学不但提供正版windows激活码,office 365等等,还提供了工信部备案的互联网出口。我怎么知道的呢?
没错我就是北邮的学生,只可惜是自考生不享受福利。
对于我这样的三无人员就需要会看图

注意出国线路都需要有工信部备案才是合法的哦!
有些浏览器插件可以代替上图
具体课程可以在上面找到


找到可疑的网站


漏洞在后台

找到网站的后台,漏洞大多数漏洞都在网站后台
不好找后台的就先不要管了,比较耽误时间,可以等刷完榜之后在慢慢找。
后台比较明显的就可以直接使用google语法直接找到
比如:
inurl:/admin/login.php
.jsp .asp .aspx .do 等等,具体方法自行研究,如果我全都把方法说出来,人人都知道了,势必会加大大家挖漏洞的难度。

挖公益SRC实际上就是饿死胆小的,撑死胆大的。
对方的后台可以进,但一定要注意政府站点!上次我还真的遇到过一个政府站点,后台密码123123。非常恐怖,吓得我赶紧给他们打电话。还好人家不在乎。


收集特征

我们要找漏洞一定不是盲目的瞎找,而是有根据的找
作为一名新手,我们很肯能好几天都找不到漏洞,但一旦我们找到了发现了其中的规矩就会很容易了。
举个栗子:
还记得上次的SRC课程吗,某网站存在反射型XSS

https://XXXXX/Index?dbcode=SCDB&kw=%27%3E%3Cscript%3Ealert(1)%3C/script%3E
其特征是这样的:
`传参一个kw出现XSS
提取特征(kw=)——>google搜索(inurl:”?kw=1”)——>测试

`

什么算漏洞

首先我先来给大家讲一下漏洞盒子的评分规则。
在报告为良的情况下,低危给两分,中危给三分,高危给四分。

如果报告可以达到优的水平,那么给你的积分会翻倍。
至于说如果报告质量为差那我就不知道怎样了,因为我没有。

那么问题来了世界上出现问题的站点那么多,我怎么知道哪些个站点是漏洞盒子收的呢?
接下来我就为大家一一讲解:
1.后台弱密码

后台登录处无验证码用户名密码可爆破且存在弱口令,根据审核人员心情会给中危或者高危。
2.进后台之后什么sql注入getshell,都是高危的。有时getshell会给硬币,可以去商城里换一些个东西。
3.存储型ss是中危
4.反射型ss是低危
5.没有时间次数限制的短信轰炸机,依据审核人员心情会给中危或者低危
6.一些个不知名厂家的漏洞平台可能会有选择的接收
所以多去找一些各大厂家吧,那样才显得比较厉害



只要你可以想到的对厂家或者对用户可以造成伤害的地方。那么他都有可能是漏洞。大胆的去提交就好了。

总结:如果你可以使用谷歌,那么你的重复率已经比别人低了一半了,我上面的方法仅限用于借鉴。最重要的是发掘你自己的办法。为什么这么说呢,因为上面的方法我都已经用过了,所以你们重复的概率会很多(但是我在第一次用这种方法的时候,重复率可以说是极低的)。为了避免漏洞重复,我建议挖到漏洞就去提交,因为下一个人很有可能只比你晚了五分钟。

批量刷分

掌握了如何找到这些可疑的地方,下一步就是确认这些漏洞并且提交。但是网站放在那里需要我们一个一个的看过去。这未免也太耽误时间了。而且根据我的经验,在纯手工后台挖掘到30个漏洞左右的时候,基本上该见到的就已经都见过了。继续刷下去,不但不会长进而且会很耽误时间。所以接下来我就要讲一讲这么批量的去挖。

我的故事

回想起我的人生首洞是2020年的11月,当天我刚刚听完第九期app的课程,随即就挖到了第一个app的漏洞(用户名密码可爆破低危)。随后的五天,每天我都在努力的挖着漏洞,但是我一无所获。这时我的建议是转变思路,因为很有可能你的思路已经成为了一条死路。于是当时我就想既然一个app可以有用户名密码可爆破。那么其他的app是否也可能会存在这样的问题呢?就是这个问题我继续深入下去了。最终在两个小时之内找到了四个同样的漏洞。

这个故事想说明什么呢;
1.当你挖不到漏洞的时候,可以尝试转变思路。
2.当你挖不到漏洞的时候,可以看看你以前所发过的漏洞,试着从中提取出那些漏洞的特征,然后利用谷歌语法从网上搜集这些特征。

多用工具

这里我要向大家介绍一款我最喜欢用的工具:xsstrike

在仅仅一个月的漏洞挖掘当中,我一共收获了52个XSS,其中仅有四个存储型XSS是我手动打出来的,剩下的当然都是机器跑出来的啦。
下载地址:https://github.com/s0md3v/XSStrike/releases
这个机器非常好,用一条语句就够了。
python xsstrike.py -u XXX --crawl -l 4 --skip-dom
把你们要测试的网址放在XXX的地方
具体的使用方法你们可以看一下掌控B站上面的文章。
演示一下:

如果使用我上面的语句跑出来的效果应该是这样的。上方绿色打马赛克的那行是URL需要把那个复制下来放在浏览器里,在URL后面打上英文的问号代表URL传参,然后把下方绿色的字体复制下来,粘贴的时候要注意把它原有的冒号换成问号。

原本是这样:[++] Vulnerable webpage: http://URL/index.asp
[++] Vector for edtSearch: “><d3V%0aoNPoiNTEREnteR%0a=%0a[8].find(confirm)%0dx>v3dm0s
然后这样:index.asp? edtSearch="><htML%0dOnpOINterEnTEr+=+confirm()//

这款工具经常会打出一些个奇奇怪怪的XSS,注意看清他的XSS语句,有时需要你点击,鼠标移动等等才可以触发,还是非常好用的。
这款工具采用了Python的多线程。所以可以同时开好几个黑框跑。我上面的语句跳过了Dom型XSS,因为使用这款工具的话效果不理想,而且非常耽误时间。个人不建议用它来跑储存型,毕竟如果你把别人网站搞得满屏跳弹窗,人家肯定会报警抓你的。至于说反射型的要怎么找,大家可以试一下URL/Search.php?kw=123,其他用法就自行研究吧

总的来说:批量挖掘漏洞的技巧,就是要从已知的漏洞当中提取那些漏洞的特征,在公网上批量搜索这些特征,之后放入某些可以批量验证的工具当中,或者手工测试。

我上面那句话非常重要可以说是本文的精华!!!

工具上哪儿找,多看github!!!然后发现好用的工具之后偷偷的告诉我,不要告诉别人别人都知道就不好使了。

最后的总结

刷上榜其实永远没有你们想象的那么复杂(保守搞个200分),一开始我都甚至于想过多攒上几个月,一次提交。但最终我还是在一个月之内上榜了,其中虽然付出了很多的时间,但我想应该最后是值得的。在这里我写出我是如何在一个月的时间内,刷出二百多分漏洞的技巧。希望可以帮助到大家,也希望如果有哪位大佬知道优质报告怎么写,也放在论坛当中。可以让大家用更少的漏洞数赚到更多的分数。


攒漏洞上榜的方式不可取,因为很有可能你攒到下个月的时候,这个漏洞就会被别人发现了。人工操作和机械双方面挖掘两不耽误,人工进行漏洞挖掘的时候可以提升你的技术水平,并且可以让你发现那些稀奇古怪的漏洞,从而提取他们的特征,寻找更多的漏洞。善于利用机械自动化是个好东西,假设XSS工具每天可以为你带来两个存储型漏洞,那么一个月下来就是60个,并且重复性非常低(因为机器跑的XSS我没有遇到过重复的),所以至少可以赚到100分。假设150分可以上榜,那么上榜对于你来讲将会是轻而易举的。以上就是我文章的全部内容,加油吧,干饭人!

用户名金币积分时间理由
奖励系统 100.00 0 2021-02-20 09:09:46 投稿满 10 赞奖励
奖励系统 50.00 0 2021-01-29 17:05:47 投稿满 5 赞奖励
veek 200.00 0 2021-01-29 09:09:47 非常实用
veek 100.00 0 2021-01-29 09:09:31 初投稿奖励~

打赏我,让我更有动力~

5 Reply   |  Until 7个月前 | 1878 View

l836918621
发表于 2021-1-29

卧槽。我怎么上电视了。支持大佬

评论列表

  • 加载数据中...

编写评论内容

mint
发表于 2021-2-1

大佬牛逼

评论列表

  • 加载数据中...

编写评论内容

fjxc7e4
发表于 2021-2-4

感谢分享~~~

评论列表

  • 加载数据中...

编写评论内容

清河逸尘
发表于 2021-3-21

感谢分享

评论列表

  • 加载数据中...

编写评论内容

kmr2875068419
发表于 7个月前

佩服大哥

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.