SRC挖掘


  • 简介
  • 目录大纲
  • 最新文档

    某医院系统渗透测试

    注:文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担! 在挖小程序漏洞时注意到一个医院后勤系统 可以进行用户注册 这里发现验证码回显漏洞  注册后提示我们等待审核,并跳转登...……

    xiaodi - 2026年7月16日 14:19


    AI帮我挖到的第一个高危

    转载于:https://mp.weixin.qq.com/s/QZDzPgKJVSJTbtIC5cX9_g 今天AI的产出,只有一行 早上打开AI后台。 今天只有一条待验证任务。 点开以后,最上面只有一个URL。 home.html;jsessionid=D482597*************6AAC9 我第一反应是jsessionid可以直接拼接? 「是不是复制的时候多复制了一截?」 ...……

    xiaodi - 2026年7月14日 17:50


    AI渗透实战赋能记录

    我并没有对AI做过深入研究,更多是在实战中慢慢摸索出一些提效的小思路,主要用来简化信息收集和业务理解的时间。大部分场景下,也就寥寥几句Prompt,用来梳理业务逻辑、提取全量JS接口、扒路由表,以及做接口参数追踪和Fuzz构造。 初次渗透时,我会先让AI宏观地去收集网站的整体信息架构,尽量发挥AI本身的渗透能力,同时给它设定好行为边界和明确目标,让它在规则之内无限推理。与此同时我也会同步进行...……

    xiaodi - 2026年7月9日 00:34


    众测一路追到供应链

    前言 事起之因源于某次EDU众测,好巧不巧某高校连上了两次众测 华中 开局 目标靶标中一处资产,大概长这样 打过这套通用的都知道,这套实验室系统多处上传也不是什么0day,早在一年前就出来了 相对于这套上传,另外的VDI虚拟化架构一主多从Master + N node节点更让人心动 应该是这套 xxx孪生系统 大概长这样 打点 从我有一个朋友那里拿一个点,某系统的后台 又碰巧的是这套后...……

    xiaodi - 2026年7月3日 16:31


    AI+小程序任意登录漏洞

    前言 圈友的点,拿来学习一手,挖掘过程遇到了很多问题,通过交流也学习到了,很多之前不太了解的内容,交流是个好东西。 信息收集 直接搜索学校的名字,会看到很多学校相关的小程序,我们来到红色箭头这个小程序这里,这个就是本次的挖掘目标 edusrc挖掘的话,小程序信息收集,直接丢学校名字在搜一搜里面, 搜到公众号打公众号,有小程序打小程序就行,非常适合,天天感觉 自己找不到边缘资产的师傅,直接跳...……

    xiaodi - 2026年7月1日 14:47



    xiaodi