SRC公益上分的小技巧一

已于 2024-06-27 15:55:34 修改
阅读量321 收藏 3
点赞数 7
文章标签: 安全 渗透 网络 漏洞挖掘
于 2024-06-27 15:54:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80115097/article/details/140015727
版权

前言

之前发布的文章,例如SRC中的一些信息收集姿势- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者 里面就有提到若依系统,默认账号密码非常简单

是 admin / admin123

但是,往往我们去挖掘的时候很容易出现

这说明了若依系统的门槛太低了,我们需要上点花样

弱口令进阶

我们可以换个思路,换其他系统的弱口令

原理其实和 批量获取CNVD通杀编号的思路 一 (注:无证书)- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者 很像

实践举例

所以我们在收集系统弱口令的时候可以按照如下思路

利用谷歌语法收集不一样的弱口令,例如

 

  1. intext:admin123 #常见
 

 

 

 

  1. intext:Aa123456 #不是很常见
 

 

 

如果你足够幸运的话可以遇到一些特殊系统的密码
 

 

 

如果运气好的话,像我这样是遇到了一套中小学系统
 

 

  声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

                

        

        

    




    

      

        

            

              
                
                  黑客大佬
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    7
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
漏洞怎么挖 | SRC上榜技巧

				
			

			

				

					hackzkaq的博客
				

				

					02-01
					
					4904
					
				

			

		

		

			
				
更多黑客技能 公众号:暗网黑客

作者:掌控安全学员-happy0717



这是一则招聘信息,有SRC提交证明的优先。
如果像我一样大专学历,没有工作经验那一定需要某种方法来证明自己是就业的水平。
我想漏洞盒子的公益SRC上榜应该是最简单的了。
虽然上榜不是找工作的硬性条件,但哪怕它可以给我们带来5%的就业机会也是值得的。

接下来我为大家列举一下在上榜的道路上可能会遇到的艰难险阻
1.不适宜的时机
我们回顾2020年漏洞盒子1月到12月公益SRC月榜TOP50的分数变化
从年初的最后一名只有20分
.

			
		

	



                

              
                



	

		

			

				
					
Matlab代码SRC分类稀疏表示分类

				
			

			

				

					04-28
				

			

		

		

			
				
SRC (Sparse Representation Classifier) 稀疏表示分类器 SOMP (Simultaneous Orthogonal Matching Pursuit) 同步正交匹配追踪 稀疏表示分类器应用于高光谱图像分类的MATLAB代码实现。  此程序为论文仿真,论文题目...

			
		

	



                


  
              

                


	

		

			

				
					
SRC公益上分的小技巧

				
			

			

				

					2301_80115097的博客
				

				

					06-27
					
					304
					
				

			

		

		

			
				
漏洞挖掘有时候换几个思路,事半功倍下面讲解一些很简单,但是实用的思路。

			
		

	





	

		

			

				
					
关于公益SRC挖掘小技巧-基础篇

				
			

			

				

					zkaqlaoniao的博客
				

				

					11-20
					
					331
					
				

			

		

		

			
				
我在上面的“提交报告”中,教大家提交的报告,漏洞标题、基本信息、漏洞正文,这3个都算好,不用管。制胜点就在这里了,比如你交了一个中危的漏洞是3分,但是你报告写的好,是优秀,积分翻倍变6分,相当于交了两个中危漏洞。我看很多人,漏洞正文只有文字 没有图片,很简陋,我们最好加上图片,审核员看的舒服一点,心情好点,对我们有好处。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。当初刚挖SRC,不会交报告,一股脑交了一大堆,全被打回来了,漏洞白挖 报告白写。

			
		

	



		

			
		



	

		

			

				
					
SRC漏洞挖掘上分技巧

				
			

			

				

					2301_81250923的博客
				

				

					11-29
					
					725
					
				

			

		

		

			
				
漏洞盒子

			
		

	





	

		

			

				
					
公益SRC挖掘 | 技巧与思路分享

				
			

			

				

					zkaqlaoniao的博客
				

				

					03-27
					
					989
					
				

			

		

		

			
				
我在上面的“提交报告”中,教大家提交的报告,漏洞标题、基本信息、漏洞正文,这3个都算好,不用管。制胜点就在这里了,比如你交了一个中危的漏洞是3分,但是你报告写的好,是优秀,积分翻倍变6分,相当于交了两个中危漏洞。我看很多人,漏洞正文只有文字 没有图片,很简陋,我们最好加上图片,审核员看的舒服一点,心情好点,对我们有好处。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。当初刚挖SRC,不会交报告,一股脑交了一大堆,全被打回来了,漏洞白挖 报告白写。

			
		

	





	

		

			

				
					
SRC上分秘诀+实战挖掘+挖洞技巧+新手上路+详细讲解

				
			

			

				

					zkaqlaoniao的博客
				

				

					06-12
					
					747
					
				

			

		

		

			
				
这个地方确实存在SQL注入 但是莫名奇妙的报错 试试盲注网站有装安全狗 试试bypass输入了敏感字符从而被封ip 重启路由器没挖到漏洞不要紧 在URL后面加一个amdin 说不定进了后台管理 又有可以测试的地方了。

			
		

	





	

		

			

				
					
来自榜一的公益SRC挖掘思路分享

				
			

			

				

					weixin_50464560的博客
				

				

					03-31
					
					4105
					
				

			

		

		

			
				
前言本文内容是写有关公益SRC如何高效上分。有些大佬看到这里可能会说:“公益SRC一点技术含量的没有,刷这玩意有啥用?”。我认为,任何一样东西存在,他都是合理的,当然了包括公益src。对小白入门来说挖掘公益src会让小白自身更加的了解漏洞的形成和挖掘。积攒更多实战经验,我认为意义非凡。这本身也是一种成长。公益src可以提供成多的实战环境,而不是枯燥无味的靶场毫无意思,在此之后你会遇到很多有趣的站点,也会学到更多的知识~想怎么快速的去交每一个漏洞呢?怎么高效的挖掘漏洞呢?展开了一系列的思考,才得出此文本文内容

			
		

	





	

		

			

				
					
漏洞挖掘 | 公益SRC上榜技巧

				
			

			

				

					Python_paipai的博客
				

				

					03-09
					
					1051
					
				

			

		

		

			
				
漏洞别人已经帮你测好了,你只需要验证,如果存在漏洞,直接写报告提交,不用费时间去慢慢测漏洞。制胜点就在这里了,比如你交了一个中危的漏洞是3分,但是你报告写的好,是优秀,积分翻倍变6分,相当于交了两个中危漏洞。我看很多人,漏洞正文只有文字 没有图片,很简陋,我们最好加上图片,审核员看的舒服一点,心情好点,对我们有好处。当初刚挖SRC,不会交报告,一股脑交了一大堆,全被打回来了,漏洞白挖 报告白写。我在上面的“提交报告”中,教大家提交的报告,漏洞标题、基本信息、漏洞正文,这3个都算好,不用管。

			
		

	





	

		

			

				
					
绝对干货!src漏洞挖掘经验分享

					
热门推荐

				
			

			

				

					南迪叶先森
				

				

					07-16
					
					2万+
					
				

			

		

		

			
				
公粽号:黒掌

一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主!

src漏洞挖掘经验分享 – 掌控安全以恒
一、公益src
公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。
在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好不要再往下获取。而xss漏洞 ,只获取自己的cookie或ip等信息以证明漏洞存在。遇到信息泄露时,如果存在可以下载敏感文件的情况那么在漏洞确认后一定要将文件删除。.

			
		

	





	

		

			

				
					
国内SRC漏洞挖掘经验和技巧分享.pdf

				
			

			

				

					09-10
				

			

		

		

			
				
1. SRC个人推荐:漏洞挖掘中的个人经验和技巧分享中,SRC个人推荐是非常重要的,包括合规手段、点到为止、漏洞保密等方面。 2. SRC的规则:漏洞挖掘中的个人经验和技巧分享中,SRC的规则也是非常重要的,包括信息...

			
		

	





	

		

			

				
					
vue.js项目中实用的小技巧汇总

				
			

			

				

					10-18
				

			

		

		

			
				
总之,掌握这些Vue.js项目中的实用小技巧能提高开发效率,优化代码质量,使得项目开发更加顺畅。通过持续学习和实践,开发者可以更熟练地应对各种开发场景,提升开发体验。希望这些内容对你在Vue.js项目开发中有所...

			
		

	





	

		

			

				
					
js小技巧--自动隐藏红叉叉

				
			

			

				

					10-30
				

			

		

		

			
				
JavaScript 小技巧 - 自动隐藏红叉叉  在 Web 开发中,我们经常会遇到图片加载失败的问题,这时浏览器就会显示一个红叉叉的图标,这样会对用户体验产生不良影响。今天,我们将讨论如何使用 JavaScript 实现自动隐藏...

			
		

	





	

		

			

				
					
国内SRC漏洞挖掘技巧与经验分享

				
			

			

				

					01-29
				

			

		

		

			
				
总结来说,国内SRC漏洞挖掘需要结合技术分析与经验积累,通过多方面信息收集、深度漏洞分析、代码审计、Web应用漏洞挖掘安全配置检查、社会工程学以及持续学习,才能在这一领域取得显著成效。希望这份经验分享能对...

			
		

	





	

		

			

				
					
DNSSec:网络安全的守护者

				
			

			

				

					jiamisoft的博客
				

				

					07-12
					
					197
					
				

			

		

		

			
				
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。

			
		

	





	

		

			

				
					
医疗健康信息的安全挑战与隐私保护最佳实践

				
			

			

				

					2301_79955948的博客
				

				

					07-12
					
					521
					
				

			

		

		

			
				
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。

			
		

	





	

		

			

				
					
安全防御-用户认证综合实验

					
最新发布

				
			

			

				

					weixin_69863399的博客
				

				

					07-12
					
					144
					
				

			

		

		

			
				
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;

			
		

	





	

		

			

				
					
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?

				
			

			

				

					olzorange的博客
				

				

					07-08
					
					410
					
				

			

		

		

			
				
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。

			
		

	





	

		

			

				
					
小程序获取webview上的src

				
			

			

				

					07-15
				

			

		

		

			
				
小程序中的 webview 组件是嵌入网页的容器,如果你想要获取 webview 上的 src 属性(即网页的 URL),可以通过 webview 组件的属性 `src` 来获取。

以下是一个示例代码:

```javascript
// 获取 webview 组件
const webviewContext = wx.createWebViewContext('webview');

// 在页面加载完成后,通过 webview 组件的属性 src 获取当前网页的 URL
webviewContext.onLoad = function(e) {
  const currentUrl = e.target.dataset.src;
  console.log("当前网页的 URL:", currentUrl);
};
```

在上述示例中,首先通过 `wx.createWebViewContext` 方法创建了一个 webview 组件的上下文对象 `webviewContext`,其中 `'webview'` 是 webview 组件的 id。

然后,在 webview 的 `onLoad` 事件中,可以通过 `e.target.dataset.src` 获取到 webview 组件的 `src` 属性,即当前网页的 URL。将其打印出来即可。

请注意,以上代码是基于微信小程序的实现,其他小程序平台可能会有所不同,具体请参考对应小程序平台的开发文档。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值