SRC挖掘思路（八）

文章来自" bgbing安全"，未经授权，禁止转载（如发现抄袭本文，欢迎举报，联系黑子黑，将获取奖励！）

本文来自真实的挖掘过程，所以内容是尽可能厚码再厚码！

首先先感谢bro师傅的持续投稿，另外有兴趣投稿的师傅也可以联系我，微信号：bgbing-src 会给合适的稿费，还会额外送礼品（比如现在端午，会送端午礼盒，粽子等）

【引言】

感觉这儿有洞但就是挖不到？那么，请看我操作！(doge)

【线索都断了怎么办】

学习使人进步，但每个课程只能看第一节，后续需登录使用

那注册个号再登嘛，可是没得注册...

没办法了，看看网站是如何调取播放地址的吧

如上图所示，显然vid是关键，可这看着也没啥规律啊，不过它也出现在了源码中。我的想法是查看当前源码（即第一节无需登录的章节页）并提取vid附近的关键字，再去需要登录使用的章节搜一下，看看它们的vid是不是暴露在源码里。这里的关键字，我以var video为例

可惜的是，除第一节外，其它章节的vid我是咋个也找不着哦

好吧，线索到这儿就断了。Plan B就是FUZZ，至于为啥想到，是因为常规调取视频的地址一般位于云服务器中，那条url又是sign又是secret的，看着就麻。但这里调取视频的地址仍然位于当前域名下，直觉让我FUZZ一手。老样子，看看第一节视频的url

马的是数字+密文，没啥用，师傅们先记住这条url的特征，这是此次FUZZ的灵感根源

可问题又来了，按理说上面马住的数字+密文才应该是FUZZ的关键（比如尝试通过遍历获取其它章节视频），但我的目的是想看啥就看啥，即指哪儿打哪儿。具体操作如下，一般网站会把图片与视频放在一块，只是目录不同，那找一下第一节课的展示图片地址和它对应的视频地址有啥区别呗

唯二的区别就是trans后的目录以及后缀。距离成功又近一步，那我想获取其它章节视频的话，只需要先获取它的展示图片地址，再改改那唯二的区别是不是就成了？试试吧

第一步，获取其它章节的展示图片地址

第二步，将原先trans后的图片目录改为视频目录，再将图片后缀改为视频后缀

拿下

因为这是个教学资源站嘛，同样的姿势可在无账号的情况下获取全站资源。遗憾的是没得付费资源

【存在越权但用户标识难以遍历】

问题功能点位于个人中心的修改资料处，可以越权篡改用户姓名等关键信息，因为这里仅凭id鉴别用户，但这里每一位用户的id可不好遍历

所以说挖到鸡肋洞也挺麻的，那有没有办法提升危害，比如寻找网站有没有泄露其它用户id。这里正好有个企业公示（我自己注册的也是企业账号）

那就查看源码看看会不会存在用户标识

后面就是常规操作咯

端午活动：

加入星球，即可进内部群，内部群的师傅们大多都是经常挖补天、先知、各大SRC平台的，跟师傅们一起冲src，互相学习，交流技术。

火柴人安全团队招人，主要冲src

小小门槛：2022年提交过一个有效漏洞（企业src），并且审核通过，满足的话，加微信号：bgbing-src  给我简历即可

加入团队的好处：经常冲src，活跃度高的话，会送礼品，额外现金奖励，团建，线下面基这些，也会给团队直播挖src一些思路，互相交流技术，一起冲src，一起进步！

本文是bgbing安全内部bro师傅的投稿，bgbing安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

原文始发于微信公众号（bgbing安全）：SRC挖掘思路（八）