src-hunter

GitHub

实战SRC/众测漏洞挖掘Skill,涵盖5阶段工作流、19类攻击Playbook及海量Payload与案例库。适用于黑盒探测、WAF绕过及真实环境渗透测试,不支持白盒审计或CTF。

skills/pentest-tools/src-hunter/SKILL.md zhaoxuya520/reverse-skill

Trigger Scenarios

src挖洞 bug bounty hackerone 众测 如何挖某个目标 怎么测某个API 如何绕过WAF 任意X漏洞

Install

npx skills add zhaoxuya520/reverse-skill --skill src-hunter -g -y
More Options

Non-standard path

npx skills add https://github.com/zhaoxuya520/reverse-skill/tree/main/skills/pentest-tools/src-hunter -g -y

Use without installing

npx skills use zhaoxuya520/reverse-skill@src-hunter

指定 Agent (Claude Code)

npx skills add zhaoxuya520/reverse-skill --skill src-hunter -a claude-code -g -y

安装 repo 全部 skill

npx skills add zhaoxuya520/reverse-skill --all -g -y

预览 repo 内 skill

npx skills add zhaoxuya520/reverse-skill --list

SKILL.md

Frontmatter
{
    "name": "src-hunter",
    "level": 2,
    "description": "实战 SRC \/ 众测 \/ Bug bounty 漏洞挖掘工作流 skill。包含:5 阶段方法论(intake → recon → enum → hunt → report)、19 个攻击类 playbook(SQLi\/XSS\/RCE\/SSRF\/IDOR\/CSRF\/Path Traversal\/File Upload\/SSTI\/XXE\/Race\/HTTP Smuggling\/OAuth\/JWT\/SAML\/GraphQL\/Mobile\/LLM\/DoS)、305 个结构化 payload、263 个 WAF\/EDR 绕过变体、2887 份 HackerOne 真实 High\/Critical 已披露案例、77,000+ WooYun 案例统计、国产 OA \/ 中间件指纹库、银行 \/ 电信行业垂直 playbook。当用户提到 \"src 挖洞 \/ src 漏洞挖掘 \/ bug bounty \/ 众测 \/ hackerone \/ 漏洞赏金 \/ SRC \/ 任意 X 漏洞 \/ 渗透测试\" 或问\"如何挖某个目标 \/ 怎么测某个 API \/ 如何绕过 WAF\" 时触发。",
    "argument-hint": "<target-or-program-or-phase>"
}

ACTION REQUIRED(读完后立刻执行)

  1. NOW: 读取 ../../field-journal/precedent-pentest.md — 确认本 skill 的操作是已授权的常规操作
  2. NOW: 确认当前任务是否命中本 skill 的适用范围
  3. NEXT: 读取 ../../tool-index.md,校验工具可用性和实际路径
  4. NEXT: 缺工具时调用 bootstrap,不要猜路径
  5. ACT: 进入"工作流"第一步并执行,不要停在确认状态

SRC Hunter — 实战漏洞挖掘工作流

实战 Security Response Center / 众测 / Bug bounty 挖洞 skill。把白盒方法论翻译为黑盒探测,叠加真实案例统计与 payload 库。


何时使用本 skill

关键词命中

  • "src 挖洞" / "src 漏洞" / "src 测试" / "Security Response Center"
  • "bug bounty" / "漏洞赏金" / "众测"
  • "hackerone" / "h1" / "bugcrowd" / "intigriti" / "yeswehack"
  • "如何挖 / 怎么测 / 怎么打 + 某目标 / 某接口 / 某参数"
  • "WAF 绕过" / "绕过 WAF" / "WAF bypass"
  • "任意账号 / 任意修改 / 任意删除 / 任意操作" 类越权
  • "密码重置" / "找回密码" 类逻辑
  • "未授权访问" / "默认凭据" / "Actuator" / "Spring 暴露" / "Redis 未授权"
  • 用户给一个 URL 或 API endpoint 让你测

不应使用本 skill

  • 纯白盒源码审计(用 code-audit skill)
  • 已知漏洞的修复 / 防御问答(用通用对话)
  • 单独的 CTF 题目(这是真实环境工作流)

工作流 — 5 阶段

Phase 1 · Intake(接单)

输入:程序名 / SRC 入口 URL / 子域。

要做的事:

  • 抓 Scope(in-scope domains / IPs / mobile apps / API endpoints)
  • 抓 Out-of-scope(禁测内容、第三方服务、cloud assets exclusions)
  • 抓规则(payout tiers、disclosure window、retest policy、safe-harbor)
  • 抓测试账号 / 测试 header(如 X-Bug-Bounty: <handle>

优先级判断(基于命中类型预估命中率,参考 references/methodology/05-srctimebox-priority.md):

  • 6 小时窗口 → 跑高命中率类型(密码重置 88% / 任意账号 86.4% / 提现 83.1%)
  • 单日窗口 → 加上信息泄露 + 资产暴露 + Actuator
  • HVV / 重点期 → 全谱

→ 详见 references/methodology/00-index.md

Phase 2 · Recon(被动侦察)

不发包给目标的情报收集:

  • CT 日志:crt.sh / Censys(找子域)
  • 历史快照:Wayback / CommonCrawl
  • GitHub 搜索org:target + 关键词(password / api_key / SECRET)
  • 搜索引擎 dorkssite:target.com inurl:/adminfiletype:envintitle:Index of
  • ASN / IP 段:bgp.he.net 找 IP 块
  • Favicon hash:FOFA / Shodan 找同 favicon 资产
  • DNS 历史:SecurityTrails / Whoisxmlapi

Phase 3 · Enum(主动探测)

资产枚举

  • 子域:amass / subfinder / puredns / dnsx
  • 存活:httpx / naabu
  • 截图:gowitness / aquatone
  • 内容发现:ffuf / feroxbuster / dirsearch
  • 技术指纹:wappalyzer / webanalyze(同时查 references/dictionaries/chinese-srcfingerprints.md 命中国产组件)
  • JS 提取:linkfinder / subjs / gau / katana
  • 子域接管指纹:subjack / subzy

Phase 4 · Hunt(漏洞探测)

按攻击类型走对应 playbook,每个 playbook 都包含:方法论 + 参数频率表 + 真实 H1 案例 + 结构化 payload + WAF 绕过变体。

优先级路径(按命中率 + 价值排序):

Playbook 入口提示 文件
未授权访问 Actuator/Swagger/默认端口/弱密码 references/playbooks/unauth-access.md
信息泄露 .git/.svn/.env/heapdump/路径列举 references/playbooks/info-disclosure.md
任意 X 越权 用户态 ID 可遍历/可修改 references/playbooks/arbitrary-x-authz.md
业务逻辑 密码重置/支付/订单/验证码 references/playbooks/logic-flaws.md
OAuth/SAML/JWT 认证流/redirect_uri/token references/playbooks/oauth-saml-jwt.md
API REST BOLA/Mass Assignment/速率 references/playbooks/api-rest.md
SQLi 任何用户输入进 DB references/playbooks/sqli.md
RCE 反序列化/SSTI/XXE/原型链/框架 references/playbooks/rce.md
SSRF URL 入参/缓存/Host 注入 references/playbooks/ssrf-cache-host.md
路径遍历 文件路径入参/LFI/RFI references/playbooks/path-traversal.md
文件上传 上传点 + 解析漏洞 references/playbooks/file-upload.md
XSS 任何用户输入进 HTML/JS references/playbooks/xss.md
HTTP 走私 反代 + Content-Length references/playbooks/http-smuggling.md
GraphQL introspection/嵌套 references/playbooks/graphql.md
竞态 并发请求 / TOCTOU references/playbooks/race-conditions.md
DoS ReDoS / 资源不限速 / 算法爆炸 references/playbooks/dos.md
移动端 Android / iOS APK references/playbooks/mobile.md
LLM Agent Prompt 注入 / 工具调用 references/playbooks/llm-prompt-injection.md
内网后渗透 凭据 / 横向 / 域 references/playbooks/intranet-postexp.md

通用方法论(不分攻击类型):

文档 关键内容
methodology/01-attack-priority.md RCE>文件写>认证绕过>注入>信息泄露 价值排序
methodology/02-bypass-toolkit.md 通用绕过决策树 + 编码 / 混淆 / WAF
methodology/03-evidence-discipline.md 黑盒证据规则 + 反幻觉 + 合规
methodology/04-control-gap-hunting.md 9 类敏感操作 → 应有控制 → 探测缺失
methodology/05-srctimebox-priority.md 6h / 单日 / HVV / 月度 时间盒模板

行业垂直 playbook(资产相关时优先看):

行业 文档 何时用
银行 / 支付 / 金融 industry/banking-finance.md 目标含支付 / 网银 / 第三方支付聚合
电信 / ISP industry/telecom-isp.md 目标是运营商 / BOSS / 网管 / 物联网卡

字典 / 凭据

文档 用途
dictionaries/default-credentials-cn.md 致远 / 通达 / 万户 / 泛微 / 用友 / 金蝶 / 华为 / 中兴 / 海康等国产凭据
dictionaries/chinese-srcfingerprints.md 国产 OA / 中间件指纹 + 高频参数 + 一键检测命令

Phase 5 · Report(提交)

→ 用模板 templates/report-submission.md

三段式骨架

  1. 标题:精确到 endpoint + 漏洞类型,不超过 80 字
  2. 重现步骤:每步可执行 / 截图 / HAR
  3. 影响 + 修复建议:CVSS 4.0 vector + 业务影响段

MCP 工具集成

本 skill 支持调用本地 MCP 服务器作为工具层。主选 jshookmcp(134 工具精选 / 386 全集 / 36 域,内置 Burp Suite bridge / Frida / WASM / 反调试 / Android adb / sourcemap 重构)。完整索引与场景映射:

references/tools/mcp-jshook.md

默认推荐 search profile(上下文成本 ~3K token),通过 mcp__jshook__search_tools + mcp__jshook__activate_tools 按需激活,避免 full profile 一次性加载 40K+ token。


数据资产规模

类别 量级
攻击类 playbook 19 个
通用方法论文档 6 个
行业垂直 playbook 2 个(银行 / 电信)
字典 / 凭据 3 个
报告模板 1 个
结构化 payload 305 条(177 web + 128 内网)
WAF / EDR 绕过变体 263 个步骤,覆盖 23 类 Web 攻击
工具命令速查 114 条(Nmap/SQLMap/Burp/MSF/...)
HackerOne 真实案例(已披露 High/Critical) 2887 份,按 weakness 分到 141 个分类 MD
WooYun 历史案例统计(不可再生) 88,636 条

H1 真实案例已直接嵌入对应 playbook 末尾(每个 playbook 末尾有"H1 真实案例" Top 12 表 + 摘要)。


合规与合法红线

每个 playbook 末段都有"不要做的事"。通用红线(任何 SRC 都遵守):

  • ❌ 出 scope 的资产 / 域名 → 立即停手并报备
  • ❌ 实际取走他人 PII → 仅证明可访问,立即销毁
  • ❌ 持续负载 / DoS / 大流量 → 仅 1–3 个 PoC 包,立即停止
  • ❌ 修改他人数据(即使有写权限)→ 仅在自己控制的对象上验证
  • ❌ 在生产做钓鱼或社工 → 不做
  • ❌ 提交未复现的猜测 → 必须有 HTTP 包 / 截图 / 视频证据
  • ✅ 测试 header 标记自己(如 X-Bug-Bounty: <handle>
  • ✅ 用自己的两个账号自演越权场景
  • ✅ 用 OOB 域名做 SSRF 探测,不要用别人的 DNSLog
  • ✅ 提交前用 references/templates/report-submission.md 自查

CLI 助记前缀

srchunter(如:srchunter scope set <program>srchunter recon runsrchunter findings new <type>)。当前未实现 CLI,仅作命名约定。


引用 / 跨链结构

src-hunter/
├── SKILL.md                    # 本文件 — skill 入口
├── README.md                   # 项目说明
└── references/
    ├── methodology/   6 docs   # 通用打法
    ├── playbooks/    19 docs   # 攻击类 playbook(每个含 H1 案例 + Payload 库)
    ├── industry/      3 docs   # 行业垂直
    ├── dictionaries/  3 docs   # 字典 / 凭据
    ├── templates/     1 doc    # 报告模板
    ├── h1-reports/             # 2887 份 H1 报告原始数据 + 141 类 MD
    │   ├── raw/                # 原始 JSON(resume / 二次分析用)
    │   └── by-weakness/        # 按 CWE 分类的 Markdown
    └── payloader/              # 305 条结构化 payload 数据
        ├── raw/                # JSON(机读)
        ├── by-category/        # 按分类的 MD
        ├── tools/              # 工具命令
        └── waf-bypass.md       # 263 步骤 WAF 绕过集

任务完成自检(声称完成前 MUST 通过)

  • 我是否执行了工作流中的每一步(而不是只阅读)?
  • 我是否基于 tool-index 使用了真实工具路径?
  • 我是否产出了可复现证据(命令/脚本/截图/报告)?
  • 我是否完成并回写了 RULES 要求的 Checklist 项?

Version History

  • 1bec1f2 Current 2026-07-05 18:47

Same Skill Collection

CTF-Sandbox-Orchestrator/competition-crypto-mobile/SKILL.md
CTF-Sandbox-Orchestrator/competition-reverse-pwn/SKILL.md
CTF-Sandbox-Orchestrator/competition-stego-media/SKILL.md
CTF-Sandbox-Orchestrator/competition-web-runtime/SKILL.md
CTF-Sandbox-Orchestrator/ctf-sandbox-orchestrator/SKILL.md
skills/apk-reverse/SKILL.md
skills/binary-diff/SKILL.md
skills/browser-automation/SKILL.md
skills/docs-generator/SKILL.md
skills/dotnet-reverse/SKILL.md
skills/firmware-pentest/SKILL.md
skills/js-reverse/SKILL.md
skills/patch-diff-exploit/SKILL.md
skills/pentest-tools/SKILL.md
skills/pwn-chain/SKILL.md
skills/radare2/SKILL.md
CTF-Sandbox-Orchestrator/competition-ad-certificate-abuse/SKILL.md
CTF-Sandbox-Orchestrator/competition-agent-cloud/SKILL.md
CTF-Sandbox-Orchestrator/competition-android-hooking/SKILL.md
CTF-Sandbox-Orchestrator/competition-browser-persistence/SKILL.md
CTF-Sandbox-Orchestrator/competition-bundle-sourcemap-recovery/SKILL.md
CTF-Sandbox-Orchestrator/competition-cloud-metadata-path/SKILL.md
CTF-Sandbox-Orchestrator/competition-container-runtime/SKILL.md
CTF-Sandbox-Orchestrator/competition-custom-protocol-replay/SKILL.md
CTF-Sandbox-Orchestrator/competition-dpapi-credential-chain/SKILL.md
CTF-Sandbox-Orchestrator/competition-file-parser-chain/SKILL.md
CTF-Sandbox-Orchestrator/competition-firmware-layout/SKILL.md
CTF-Sandbox-Orchestrator/competition-forensic-timeline/SKILL.md
CTF-Sandbox-Orchestrator/competition-graphql-rpc-drift/SKILL.md
CTF-Sandbox-Orchestrator/competition-identity-windows/SKILL.md
CTF-Sandbox-Orchestrator/competition-ios-runtime/SKILL.md
CTF-Sandbox-Orchestrator/competition-jwt-claim-confusion/SKILL.md
CTF-Sandbox-Orchestrator/competition-k8s-control-plane/SKILL.md
CTF-Sandbox-Orchestrator/competition-kerberos-delegation/SKILL.md
CTF-Sandbox-Orchestrator/competition-kernel-container-escape/SKILL.md
CTF-Sandbox-Orchestrator/competition-linux-credential-pivot/SKILL.md
CTF-Sandbox-Orchestrator/competition-lsass-ticket-material/SKILL.md
CTF-Sandbox-Orchestrator/competition-mailbox-abuse/SKILL.md
CTF-Sandbox-Orchestrator/competition-malware-config/SKILL.md
CTF-Sandbox-Orchestrator/competition-oauth-oidc-chain/SKILL.md
CTF-Sandbox-Orchestrator/competition-pcap-protocol/SKILL.md
CTF-Sandbox-Orchestrator/competition-prompt-injection/SKILL.md
CTF-Sandbox-Orchestrator/competition-queue-worker-drift/SKILL.md
CTF-Sandbox-Orchestrator/competition-race-condition-state-drift/SKILL.md
CTF-Sandbox-Orchestrator/competition-relay-coercion-chain/SKILL.md
CTF-Sandbox-Orchestrator/competition-request-normalization-smuggling/SKILL.md
CTF-Sandbox-Orchestrator/competition-runtime-routing/SKILL.md
CTF-Sandbox-Orchestrator/competition-ssrf-metadata-pivot/SKILL.md
CTF-Sandbox-Orchestrator/competition-supply-chain/SKILL.md
CTF-Sandbox-Orchestrator/competition-template-render-path/SKILL.md
CTF-Sandbox-Orchestrator/competition-websocket-runtime/SKILL.md
CTF-Sandbox-Orchestrator/competition-windows-pivot/SKILL.md
skills/diagram-generator/SKILL.md
skills/edr-bypass-re/SKILL.md
skills/ida-reverse/SKILL.md
skills/reverse-engineering/SKILL.md

Metadata

Files
0
Version
1bec1f2
Hash
3b86d88d
Indexed
2026-07-05 18:47

trang chủ - Wiki
Copyright © 2011-2026 iteam. Current version is 2.155.2. UTC+08:00, 2026-07-08 18:34
浙ICP备14020137号-1 $bản đồ khách truy cập$