ROFL播放器:解决英雄联盟回放文件无法播放的终极方案
2026/4/24 17:43:27
【SRC漏洞挖掘系列·第2期】新手必看!SRC挖洞前准备工作,零门槛上手
大家好,我是专注网安实战的博主,上一期(第1期)我们搞定了SRC的基础认知——什么是SRC、为什么新手要做SRC,以及2026年主流SRC平台的选择,相信很多新手已经选定了自己的入门平台(优先CTFshow SRC、360SRC新手专区)。
这一期,我们进入核心实操环节,也是新手挖洞的关键前提——SRC挖洞前的准备工作。很多新手之所以挖不到漏洞、提交漏洞被驳回,甚至违规踩线,核心就是前期准备不到位:要么工具不会用,要么没吃透平台规则,要么环境没搭建好,导致白费功夫。
一、新手必备:SRC挖洞核心工具(无需复杂工具,3个就够用)
很多新手一听说挖漏洞,就盲目下载一堆工具,结果要么不会用,要么用不上,反而造成信息过载。其实SRC新手挖洞,无需复杂工具,掌握3个核心工具,就能覆盖80%的低、中危漏洞挖掘需求,优先用免费版,不用花钱买付费工具。
重点说明:工具只是辅助,新手不用精通工具的高级用法,掌握基础操作即可,核心是“用工具辅助发现漏洞”,而非“沉迷工具学习”。
(一)核心工具1:浏览器插件(无需安装复杂软件,直接用)
浏览器插件是新手挖洞的“入门神器”,无需复杂配置,安装后就能直接使用,重点推荐2个,适配Chrome、Edge浏览器:
- Wappalyzer(网站技术栈识别)
核心作用:快速识别网站的技术栈,比如网站用的是PHP还是Java、数据库是MySQL还是Oracle、服务器是Nginx还是Apache,帮我们快速判断可能存在的漏洞类型(比如PHP网站容易出现SQL注入、文件上传漏洞);
安装方法:打开Chrome/Edge应用商店,搜索“Wappalyzer”,点击安装即可,安装后浏览器右上角会出现图标,访问网站时点击图标,就能看到技术栈信息;
新手用法:不用深入研究,只需知道“网站用什么技术”,比如看到PHP+MySQL,就重点关注SQL注入、XSS漏洞即可。
- Tampermonkey(脚本辅助工具)
核心作用:安装各类辅助脚本,简化挖洞操作,比如自动检测简单XSS漏洞、弱口令扫描脚本、表单自动填充脚本,帮新手节省时间;
安装方法:同样在浏览器应用商店搜索“Tampermonkey”安装,安装后,可在脚本网站(如Greasy Fork)搜索“SRC挖洞”相关脚本,安装常用的即可(比如“XSS自动检测脚本”“弱口令字典生成脚本”);
新手用法:不用自己写脚本,安装现成的常用脚本,开启后,访问网站时会自动辅助检测漏洞,重点看脚本提示的异常信息即可。
(二)核心工具2:Burp Suite(抓包改参核心工具,新手必学)
Burp Suite是SRC挖洞的核心工具,无论是SQL注入、XSS,还是逻辑漏洞,都离不开它,新手用开源版(Burp Suite Community Edition)即可,完全满足入门需求,不用追求专业版。
核心作用:抓包(捕获网站的HTTP请求)、改参(修改请求参数)、拦截请求,帮我们发现网站的漏洞(比如修改参数触发SQL注入、XSS漏洞);
安装方法:
- 下载Java环境(Burp Suite依赖Java),官网下载免费版JDK,安装后配置环境变量(网上有详细教程,新手可直接搜索“Java环境配置”,跟着操作即可);
- 访问Burp Suite官网,下载开源版(Community Edition),无需破解,安装后直接打开即可;
- 新手必学基础操作(重点!):
① 开启代理:打开Burp Suite,点击“Proxy”→“Intercept”,开启拦截(Intercept is on),然后在浏览器中设置代理(代理地址:127.0.0.1,端口:8080),这样就能捕获浏览器的所有请求;
② 抓包与改参:访问目标网站(比如CTFshow SRC指定的网站),点击某个按钮(如搜索、登录),Burp会捕获到请求,此时可修改请求参数(比如将?id=1改为?id=1’),然后点击“Forward”发送请求,观察返回结果,判断是否存在漏洞;
③ 新手注意:初期不用学习高级功能(如主动扫描、爬虫),重点掌握“抓包、改参、发送请求”这3个基础操作,就能满足新手挖洞需求。
(三)核心工具3:辅助工具(可选,简化操作)
这类工具可根据需求选择,新手初期可不用全部安装,先掌握上面2类工具,后续挖洞熟练后,再补充使用:
- Dirsearch(目录扫描工具)
核心作用:扫描网站的隐藏目录、敏感文件(如admin.php后台、config.php配置文件),帮我们找到漏洞入口(比如后台登录页面,可尝试弱口令登录);
新手用法:下载开源版,通过命令行简单操作(比如“python dirsearch.py -u 目标网址”),扫描完成后,查看扫描结果,重点关注后台地址、敏感文件。
- SQLMap(SQL注入检测工具)
核心作用:自动检测并利用SQL注入漏洞,新手可用于辅助验证漏洞(比如用Burp抓到可疑请求后,复制请求地址,用SQLMap检测是否存在注入);
新手用法:掌握基础命令(比如“sqlmap -u 目标网址?id=1”),不用深入学习高级用法,重点是“验证漏洞是否存在”。
⚠️新手工具使用注意事项
所有工具仅用于SRC平台授权的挖掘范围,严禁用于未授权网站,避免违规;
新手不用追求“工具越多越好”,先熟练掌握Burp Suite和浏览器插件,再逐步补充其他工具;
工具操作遇到问题,可直接在CSDN、B站搜索相关教程(比如“Burp Suite新手入门”),跟着实操,很快就能掌握。
二、关键步骤:平台注册与规则详解(避免违规、提交无效漏洞)
上一期我们推荐了新手优先选择CTFshow SRC、360SRC新手专区,这一期我们详细讲解这两个平台的注册流程、核心规则,新手一定要仔细看——规则没吃透,即使挖到漏洞,也可能被驳回,甚至被封禁账号。
(一)CTFshow SRC(新手首选,重点讲解)
- 注册流程(全程免费,10分钟完成)
- 访问CTFshow SRC官网(直接搜索“CTFshow SRC”即可找到),点击右上角“注册”;
- 填写注册信息:用户名、密码、邮箱,完成邮箱验证(接收验证码,填写即可);
- 实名认证:新手需完成实名认证(上传身份证正反面、人脸识别),确保合法合规,实名认证后才能提交漏洞、领取赏金;
- 注册完成后,登录平台,点击“漏洞范围”,查看CTFshow SRC指定的挖掘范围(重点看“可挖域名”“可挖产品”),明确哪些可以挖、哪些不能挖。
- 核心规则(新手必记,避免违规)
① 挖掘范围:仅允许挖掘平台“漏洞范围”中指定的域名、产品,严禁挖掘未授权的系统、域名(比如CTFshow的其他非指定平台);
② 禁止行为:严禁破坏业务系统、篡改数据、泄露漏洞信息、攻击核心服务器,违者会被封禁账号,取消所有赏金;
③ 漏洞审核:审核周期1-3个工作日,漏洞等级按“高危→中危→低危→信息型”划分,审核通过后,赏金会直接发放到平台账户,可提现;
④ 重复漏洞:提交漏洞前,先在平台“漏洞库”搜索,避免提交已被发现的漏洞,重复漏洞会被驳回,浪费时间。
(二)360SRC(新手专区,补充讲解)
- 注册流程
- 访问360SRC官网,点击“注册”,填写用户名、密码、邮箱,完成邮箱验证;
- 实名认证:同样需要上传身份证正反面、人脸识别,完成实名认证后,才能参与新手专区挖洞;
- 进入新手专区:登录后,点击“新手专区”,查看新手专区的挖掘范围、挖洞指引,新手专区有详细的漏洞提示,更容易出洞。
- 核心规则(重点关注)
① 新手专区:仅新手可参与,漏洞难度低,有明确的挖洞指引,提交漏洞后,审核速度更快(1-2个工作日);
② 赏金兑现:低危漏洞50-200元,审核通过后,赏金会发放到360SRC账户,可提现到银行卡;
③ 违规处罚:未按规则挖洞(如超出范围、破坏系统),会被取消新手专区资格,情节严重者封禁账号。
⚠️ 通用规则(所有SRC平台都适用)
合规第一:所有挖掘行为必须在平台授权范围内,严禁未授权渗透,否则可能面临法律责任;
不破坏、不泄露:挖洞过程中,严禁破坏业务系统、篡改数据,严禁泄露漏洞细节、攻击方法;
如实提交:漏洞报告需真实、可复现,严禁伪造漏洞、提交虚假报告,否则会被封禁账号。
网络安全学习路线&学习资源![]()
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!