文章总结: 本文介绍利用AI对SRC资产进行智能排序的方法,通过数据收集、特征评分和AI分析三步骤,根据资产价值、漏洞历史、开放端口等维度综合打分生成优先级清单。实战案例显示该方法能显著提升漏洞挖掘效率,作者通过Nacos未授权、Swagger泄露等案例单日获得25000元赏金。文章包含完整的自动化脚本框架和操作指南,强调AI在安全测试中的决策辅助作用。 综合评分: 87 文章分类: 渗透测试,安全工具,实战经验,安全运营,漏洞分析
别瞎扫了!我用AI给几千个SRC资产排了个序,专挑软柿子捏
原创
逍遥 逍遥
昆仑AI安全实验室
2026年6月30日 01:39 广东
在小说阅读器读本章
去阅读
做SRC久了,最大的痛苦不是挖不到漏洞,而是资产太多不知道从哪下手。一个大厂SRC少说几百个域名,加上子公司、边缘业务、测试环境,几千个URL压下来,人肉一个一个测根本测不完。很多时候花了一整天在一个硬骨头主站上,毛都没挖到,结果隔壁没人管的测试服,后台默认密码都没改。
去年开始,我让AI帮我把资产排了个序。不是随机排,是根据资产价值、漏洞历史、开放端口、指纹特征综合打分,告诉我“先挖这个,后挖那个”。用了这套方法,我的单位时间产出翻了至少一倍——以前一天交一份报告,现在能交三四份。
这篇文章把我这套AI排序的方法完整拆开,从数据收集、评分模型、AI分析到实战案例,全给你。
一、为什么需要AI来排序?
人工筛选资产的效率瓶颈很明显:
- 维度太多,脑子算不过来。一个子域名,你要同时考虑它的业务属性(是核心业务还是边缘测试)、开放的服务(有没有高危端口)、历史漏洞(别人挖过没有)、响应特征(有没有Actuator/Swagger/Druid)、框架指纹(是不是低版本WebLogic/Shiro/Fastjson)。五个维度交叉,人脑做几十个判断还行,几百个直接宕机。
- 经验主义,容易错过冷门目标。人习惯找熟悉的特征,比如看到
/nacos就冲上去,看到没见过的路径就跳过。但有些高危漏洞藏在冷门组件里,AI可以无差别对待所有信息。 - 时间有限,必须做取舍。一天最多认真测两三个目标,选错一个就浪费半天。我需要一个系统告诉我:哪几个目标最可能出高危漏洞。
AI的优势在于:它能快速处理大量非结构化数据(网页标题、响应体、JS代码片段),从中提取特征,再根据我设定的评分规则综合排序。
二、我的AI排序系统架构
整体分三步:数据收集 → 特征提取与打分 → AI综合分析并排序。
第一步:数据收集
把所有子域名、IP放一起,用自动化脚本跑一遍,收集以下信息:
- 端口扫描:用Nmap或Masscan扫全端口,记录开放的端口和服务Banner。
- HTTP响应:用httpx批量请求80/443/8080等常见Web端口,记录状态码、响应头、页面Title、Body前500字符、响应大小。
- 指纹识别:用Ehole或WhatWeb识别框架和中间件,比如Spring Boot、Tomcat、WebLogic。
- 敏感路径探测:用自定义字典扫常见的高危路径(
/actuator/env、/nacos、/swagger-ui.html、/druid/index.html),记录返回状态码和内容特征。 - 历史漏洞数据:从FOFA、Shodan、hunter上搜该IP/域名的漏洞历史(如CVE编号、弱口令记录),如果有直接加分。
- JS文件分析:对响应中包含JS的,用LinkFinder提取API端点,用正则搜AK/SK、内网IP关键词。
这一步跑完,每个子域名会生成一份JSON档案,大概长这样:
{ "url": "https://test-api.target.com", "ip": "47.104.x.x", "ports": [22, 80, 443, 8080, 8848], "http_title": "Nacos管理后台", "status_code": 200, "framework": "Nacos 1.3.2", "has_actuator": false, "has_druid": false, "has_swagger": true, "swagger_path": "/swagger-ui.html", "js_api_endpoints": ["/api/v1/users", "/api/v1/orders"], "js_secrets": ["accessKeyId=xxxx"], "history_cves": ["CVE-2021-29441"], "page_keywords": ["管理后台", "admin", "登录"]}
第二步:特征评分
我设计了一套评分规则,给每个目标打分,分越高越值得挖。核心维度如下(权重可以自己调):
- 管理后台类(+30分):title含“管理后台”、“admin”、“登录”,或者路径里出现
/admin、/manage。这是最直接的入口。 - 高危组件(+25分):框架是Nacos、Druid、Swagger、Actuator、WebLogic、Fastjson等已知漏洞高发区。
- 历史漏洞(+20分):有CVE记录或弱口令历史,说明别人挖到过,你很可能也能捡漏。
- 敏感路径探测成功(+20分):直接返回200的敏感端点,如
/actuator/env未授权。 - 非标准端口(+15分):开放了非常规Web端口(8080、8848、9090、50000等),运维工具常开在这些口。
- JS信息泄露(+15分):JS里提取到AK/SK、内网IP、隐藏API。
- 边缘资产(+10分):IP不在主域名C段,或DNS解析是云厂商默认地址,大概率是开发/测试环境。
- 弱口令关键词(+10分):响应体含
default、guest、test、demo等词。
这些规则由Python脚本自动计算。但是规则打分有个致命缺陷:它只能识别“已知的好东西”,对于没见过的新组件、新路径无能为力。所以引入第三步AI分析。
第三步:AI综合分析与排序
我把每个目标的JSON档案和原始响应内容发给AI,让AI从“攻击者视角”做最终排序。Prompt如下:
你是一名经验丰富的渗透测试工程师,擅长挖掘SRC漏洞。现在有50个目标资产的简要信息(JSON格式),你需要根据资产特征,推荐最值得优先测试的Top 5目标,并说明理由。
评分考虑因素:1. 目标是否为后台管理系统、运维工具(Nacos、Druid、Jenkins等)?这些最容易出现弱口令和未授权。2. 是否使用了已知高危框架(Fastjson、Shiro、WebLogic等)且版本较老?3. 是否开放了非标准端口(如8848、9090、2375、6443)?4. 是否存在敏感信息泄露(Swagger文档、Actuator端点、JS中的AK/SK)?5. 是否为边缘资产(测试环境、开发机)?防护通常较弱。6. 历史漏洞记录:是否有未修复的已知CVE?7. 页面响应内容是否包含“默认密码”、“admin/admin”等弱提示?
请以JSON格式输出Top 5推荐列表,每个包含:- url: 目标URL- score: 优先级评分(1-100)- reason: 推荐理由(简洁说明为什么值得挖)
资产信息:{targets_json}
AI返回的结果长这样:
[ { "url": "https://test-nacos.target.com:8848", "score": 95, "reason": "Nacos 1.3.2版本存在未授权访问和高危CVE,且开放8848端口,极可能直接获取配置信息。" }, { "url": "https://uat-api.target.com/swagger-ui.html", "score": 90, "reason": "Swagger文档暴露,可列出所有API,且UAT环境防护较弱,可能存在未授权接口。" }, ...]
我把这份Top 5列表当成当天的优先任务清单。按顺序测,大部分时候第一个目标就能出高危。
三、实战案例:AI让我一天找到三个高危
案例1:Nacos未授权 → 微服务全配置泄露
AI在排序时把nacos-dev.target.com:8848排到了第一位,理由是Nacos 1.3.2 + 开放8848端口 + 边缘开发环境。我直接访问/nacos,发现没有认证,进后台后看到了所有微服务的配置文件,包括数据库密码、Redis密码、OSS密钥。一个高危漏洞,赏金5000元。
案例2:Swagger泄露 → 未授权API导出用户数据
AI第二个推荐的是api-internal.target.com/swagger-ui.html。这个接口在Swagger里展示了/api/internal/users/export端点,没有任何鉴权。我直接GET请求,返回了全站12万用户的手机号和身份证号。严重漏洞,赏金12000元。
案例3:老版本WebLogic → 远程代码执行
AI第三个推荐了一个IP47.x.x.112:7001,指纹是WebLogic 10.3.6,且AI在FOFA历史数据里匹配到多个CVE。我直接用现成的PoC打过去,成功执行命令,反弹Shell。高危漏洞,赏金8000元。
三个目标一个下午搞定,总赏金25000元。如果没有AI排序,我可能还在主站上磨XSS。
四、自动化流水线:从资产到排序全流程脚本
我把这套做成了自动化Python脚本,每周跑一次,输出排序结果到飞书群。核心步骤:
- 资产收集:从OneForAll拉子域名,从FOFA API拉IP资产。
- 信息探测:异步并发跑httpx、Ehole、Nmap、敏感路径字典。
- 特征提取:正则解析响应体、JS文件,整理成JSON。
- AI排序:调用DeepSeek API,传入资产JSON,获取Top N推荐。
- 通知:推送到飞书Webhook。
# 伪代码框架import asyncio, json, httpx, nmap, requests
async def main(): targets = load_targets() # 异步探测 async with httpx.AsyncClient() as client: tasks = [probe(t, client) for t in targets] results = await asyncio.gather(*tasks) # 特征打分 for r in results: r['score'] = calculate_score(r) # AI排序 top5 = ai_rank(results) notify(top5)
成本极低:跑一次几百个目标的探测,AI调用费就几毛钱。
五、写在最后
AI在SRC挖洞里最好的角色,不是替你挖漏洞,而是替你决策。它不会累、不会受情绪影响、不会因为看到一个冷门路径就跳过。它可以把几百个资产里那些真正值得看的目标帮你圈出来,让你集中精力打。
这套方法用了半年,我最大的感受是:以前常常在“不知道挖哪个”上纠结一上午,现在打开飞书,优先级清单已经排好,端杯咖啡开始干就完了。
如果你也在愁“时间不够用”,不妨试试让AI帮你做一次资产排序。它可能比你更懂哪里藏着赏金。
严正声明 本文所述技术仅用于合法授权的安全测试。所有案例均已脱敏,仅保留技术原理供学习参考。未经授权扫描、测试他人系统属违法行为。请务必在获得授权的情况下进行安全评估。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:昆仑AI安全实验室 逍遥 逍遥《别瞎扫了!我用AI给几千个SRC资产排了个序,专挑软柿子捏》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论