别瞎扫了!我用AI给几千个SRC资产排了个序,专挑软柿子捏

admin 2026-06-30 06:19:54 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍利用AI对SRC资产进行智能排序的方法,通过数据收集、特征评分和AI分析三步骤,根据资产价值、漏洞历史、开放端口等维度综合打分生成优先级清单。实战案例显示该方法能显著提升漏洞挖掘效率,作者通过Nacos未授权、Swagger泄露等案例单日获得25000元赏金。文章包含完整的自动化脚本框架和操作指南,强调AI在安全测试中的决策辅助作用。 综合评分: 87 文章分类: 渗透测试,安全工具,实战经验,安全运营,漏洞分析


cover_image

别瞎扫了!我用AI给几千个SRC资产排了个序,专挑软柿子捏

原创

逍遥 逍遥

昆仑AI安全实验室

2026年6月30日 01:39 广东

在小说阅读器读本章

去阅读

做SRC久了,最大的痛苦不是挖不到漏洞,而是资产太多不知道从哪下手。一个大厂SRC少说几百个域名,加上子公司、边缘业务、测试环境,几千个URL压下来,人肉一个一个测根本测不完。很多时候花了一整天在一个硬骨头主站上,毛都没挖到,结果隔壁没人管的测试服,后台默认密码都没改。

去年开始,我让AI帮我把资产排了个序。不是随机排,是根据资产价值、漏洞历史、开放端口、指纹特征综合打分,告诉我“先挖这个,后挖那个”。用了这套方法,我的单位时间产出翻了至少一倍——以前一天交一份报告,现在能交三四份。

这篇文章把我这套AI排序的方法完整拆开,从数据收集、评分模型、AI分析到实战案例,全给你。

一、为什么需要AI来排序?

人工筛选资产的效率瓶颈很明显:

  • 维度太多,脑子算不过来。一个子域名,你要同时考虑它的业务属性(是核心业务还是边缘测试)、开放的服务(有没有高危端口)、历史漏洞(别人挖过没有)、响应特征(有没有Actuator/Swagger/Druid)、框架指纹(是不是低版本WebLogic/Shiro/Fastjson)。五个维度交叉,人脑做几十个判断还行,几百个直接宕机。
  • 经验主义,容易错过冷门目标。人习惯找熟悉的特征,比如看到/nacos就冲上去,看到没见过的路径就跳过。但有些高危漏洞藏在冷门组件里,AI可以无差别对待所有信息。
  • 时间有限,必须做取舍。一天最多认真测两三个目标,选错一个就浪费半天。我需要一个系统告诉我:哪几个目标最可能出高危漏洞。

AI的优势在于:它能快速处理大量非结构化数据(网页标题、响应体、JS代码片段),从中提取特征,再根据我设定的评分规则综合排序。

二、我的AI排序系统架构

整体分三步:数据收集 → 特征提取与打分 → AI综合分析并排序。

第一步:数据收集

把所有子域名、IP放一起,用自动化脚本跑一遍,收集以下信息:

  1. 端口扫描:用Nmap或Masscan扫全端口,记录开放的端口和服务Banner。
  2. HTTP响应:用httpx批量请求80/443/8080等常见Web端口,记录状态码、响应头、页面Title、Body前500字符、响应大小。
  3. 指纹识别:用Ehole或WhatWeb识别框架和中间件,比如Spring Boot、Tomcat、WebLogic。
  4. 敏感路径探测:用自定义字典扫常见的高危路径(/actuator/env/nacos/swagger-ui.html/druid/index.html),记录返回状态码和内容特征。
  5. 历史漏洞数据:从FOFA、Shodan、hunter上搜该IP/域名的漏洞历史(如CVE编号、弱口令记录),如果有直接加分。
  6. JS文件分析:对响应中包含JS的,用LinkFinder提取API端点,用正则搜AK/SK、内网IP关键词。

这一步跑完,每个子域名会生成一份JSON档案,大概长这样:

{  "url": "https://test-api.target.com",  "ip": "47.104.x.x",  "ports": [22, 80, 443, 8080, 8848],  "http_title": "Nacos管理后台",  "status_code": 200,  "framework": "Nacos 1.3.2",  "has_actuator": false,  "has_druid": false,  "has_swagger": true,  "swagger_path": "/swagger-ui.html",  "js_api_endpoints": ["/api/v1/users", "/api/v1/orders"],  "js_secrets": ["accessKeyId=xxxx"],  "history_cves": ["CVE-2021-29441"],  "page_keywords": ["管理后台", "admin", "登录"]}

第二步:特征评分

我设计了一套评分规则,给每个目标打分,分越高越值得挖。核心维度如下(权重可以自己调):

  • 管理后台类(+30分):title含“管理后台”、“admin”、“登录”,或者路径里出现/admin/manage。这是最直接的入口。
  • 高危组件(+25分):框架是Nacos、Druid、Swagger、Actuator、WebLogic、Fastjson等已知漏洞高发区。
  • 历史漏洞(+20分):有CVE记录或弱口令历史,说明别人挖到过,你很可能也能捡漏。
  • 敏感路径探测成功(+20分):直接返回200的敏感端点,如/actuator/env未授权。
  • 非标准端口(+15分):开放了非常规Web端口(8080、8848、9090、50000等),运维工具常开在这些口。
  • JS信息泄露(+15分):JS里提取到AK/SK、内网IP、隐藏API。
  • 边缘资产(+10分):IP不在主域名C段,或DNS解析是云厂商默认地址,大概率是开发/测试环境。
  • 弱口令关键词(+10分):响应体含defaultguesttestdemo等词。

这些规则由Python脚本自动计算。但是规则打分有个致命缺陷:它只能识别“已知的好东西”,对于没见过的新组件、新路径无能为力。所以引入第三步AI分析。

第三步:AI综合分析与排序

我把每个目标的JSON档案和原始响应内容发给AI,让AI从“攻击者视角”做最终排序。Prompt如下:

你是一名经验丰富的渗透测试工程师,擅长挖掘SRC漏洞。现在有50个目标资产的简要信息(JSON格式),你需要根据资产特征,推荐最值得优先测试的Top 5目标,并说明理由。
评分考虑因素:1. 目标是否为后台管理系统、运维工具(Nacos、Druid、Jenkins等)?这些最容易出现弱口令和未授权。2. 是否使用了已知高危框架(Fastjson、Shiro、WebLogic等)且版本较老?3. 是否开放了非标准端口(如8848、9090、2375、6443)?4. 是否存在敏感信息泄露(Swagger文档、Actuator端点、JS中的AK/SK)?5. 是否为边缘资产(测试环境、开发机)?防护通常较弱。6. 历史漏洞记录:是否有未修复的已知CVE?7. 页面响应内容是否包含“默认密码”、“admin/admin”等弱提示?
请以JSON格式输出Top 5推荐列表,每个包含:- url: 目标URL- score: 优先级评分(1-100)- reason: 推荐理由(简洁说明为什么值得挖)
资产信息:{targets_json}

AI返回的结果长这样:

[  {    "url": "https://test-nacos.target.com:8848",    "score": 95,    "reason": "Nacos 1.3.2版本存在未授权访问和高危CVE,且开放8848端口,极可能直接获取配置信息。"  },  {    "url": "https://uat-api.target.com/swagger-ui.html",    "score": 90,    "reason": "Swagger文档暴露,可列出所有API,且UAT环境防护较弱,可能存在未授权接口。"  },  ...]

我把这份Top 5列表当成当天的优先任务清单。按顺序测,大部分时候第一个目标就能出高危。

三、实战案例:AI让我一天找到三个高危

案例1:Nacos未授权 → 微服务全配置泄露

AI在排序时把nacos-dev.target.com:8848排到了第一位,理由是Nacos 1.3.2 + 开放8848端口 + 边缘开发环境。我直接访问/nacos,发现没有认证,进后台后看到了所有微服务的配置文件,包括数据库密码、Redis密码、OSS密钥。一个高危漏洞,赏金5000元。

案例2:Swagger泄露 → 未授权API导出用户数据

AI第二个推荐的是api-internal.target.com/swagger-ui.html。这个接口在Swagger里展示了/api/internal/users/export端点,没有任何鉴权。我直接GET请求,返回了全站12万用户的手机号和身份证号。严重漏洞,赏金12000元。

案例3:老版本WebLogic → 远程代码执行

AI第三个推荐了一个IP47.x.x.112:7001,指纹是WebLogic 10.3.6,且AI在FOFA历史数据里匹配到多个CVE。我直接用现成的PoC打过去,成功执行命令,反弹Shell。高危漏洞,赏金8000元。

三个目标一个下午搞定,总赏金25000元。如果没有AI排序,我可能还在主站上磨XSS。

四、自动化流水线:从资产到排序全流程脚本

我把这套做成了自动化Python脚本,每周跑一次,输出排序结果到飞书群。核心步骤:

  1. 资产收集:从OneForAll拉子域名,从FOFA API拉IP资产。
  2. 信息探测:异步并发跑httpx、Ehole、Nmap、敏感路径字典。
  3. 特征提取:正则解析响应体、JS文件,整理成JSON。
  4. AI排序:调用DeepSeek API,传入资产JSON,获取Top N推荐。
  5. 通知:推送到飞书Webhook。
# 伪代码框架import asyncio, json, httpx, nmap, requests
async def main():    targets = load_targets()    # 异步探测    async with httpx.AsyncClient() as client:        tasks = [probe(t, client) for t in targets]        results = await asyncio.gather(*tasks)    # 特征打分    for r in results:        r['score'] = calculate_score(r)    # AI排序    top5 = ai_rank(results)    notify(top5)

成本极低:跑一次几百个目标的探测,AI调用费就几毛钱。

五、写在最后

AI在SRC挖洞里最好的角色,不是替你挖漏洞,而是替你决策。它不会累、不会受情绪影响、不会因为看到一个冷门路径就跳过。它可以把几百个资产里那些真正值得看的目标帮你圈出来,让你集中精力打。

这套方法用了半年,我最大的感受是:以前常常在“不知道挖哪个”上纠结一上午,现在打开飞书,优先级清单已经排好,端杯咖啡开始干就完了。

如果你也在愁“时间不够用”,不妨试试让AI帮你做一次资产排序。它可能比你更懂哪里藏着赏金。

严正声明 本文所述技术仅用于合法授权的安全测试。所有案例均已脱敏,仅保留技术原理供学习参考。未经授权扫描、测试他人系统属违法行为。请务必在获得授权的情况下进行安全评估。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:昆仑AI安全实验室 逍遥 逍遥《别瞎扫了!我用AI给几千个SRC资产排了个序,专挑软柿子捏》

评论:0   参与:  0