by MyuriKanao
实战 SRC / 众测 / Bug bounty 漏洞挖掘 Claude Code skill — 19 个攻击类 playbook、305 个结构化 payload、263 个 WAF/EDR 绕过、2887 份 HackerOne 真实案例、88,636 WooYun 案例统计
# Add to your Claude Code skills
git clone https://github.com/MyuriKanao/src-hunter-skillGuides for using testing skills like src-hunter-skill.
这是一个带强制 checkpoint 的工作流,不是参考手册。每个阶段有 MUST 输出,未通过不进下一阶段。详细 payload / playbook / H1 案例按需 Read,不准凭记忆生成。
数据规模、目录树、工具索引见 README.md,本文件只管"做什么 / 何时做 / 何时去读哪个文件"。
命中任一即进入:
不应触发:纯白盒源码审计 → code-audit skill;漏洞修复问答 → 通用对话;CTF → 通用对话。
references/playbooks/<type>.md(或 <type>/00-index.md + 具体子文件,见下表)。Phase 4 的 payload 必须能在文件里查到出处。references/h1-reports/by-weakness/ 下的实际文件。说不出文件路径就别引。进入条件:用户首次给出目标 / 程序名 / URL。
MUST 输出 checkpoint(四项缺一不进 Phase 2,缺什么向用户问什么,不要假设):
X-Bug-Bounty:<handle>)中文 · English
这是一个给 SRC、众测和 Bug bounty 用的 Claude Code skill。
简单说,就是你给它一个目标,它会按一套固定流程帮你推进漏洞挖掘:先确认目标范围,再做信息收集和资产枚举,然后进入漏洞测试,最后整理报告。
intake → recon → enum → hunt → report
项目内置了一批从公开来源整理的知识库,包括:
Marketplace:
/plugin marketplace add MyuriKanao/src-hunter-skill
/plugin install src-hunter@src-hunter
Git:
git clone https://github.com/MyuriKanao/src-hunter-skill.git ~/.claude/skills/src-hunter
references/
methodology/ 五阶段流程、攻击优先级、绕过工具集、证据规则
playbooks/ 每类漏洞一个文件,包含真实 H1 案例和 payload
industry/ 银行/金融、电信/ISP 垂直场景 playbook
dictionaries/ 国产组件指纹和默认凭据
templates/ CVSS 4.0 报告模板
h1-reports/ 2887 份已披露报告原始数据,并按 weakness 分组
payloader/ 305 个结构化 payload、263 个 WAF/EDR 绕过步骤、114 个工具命令
playbook 是主要入口。所有 playbook 都按黑盒视角编写,默认你只有 URL,没有源码。
每个 playbook 都围绕同一套问题展开:
整体思路不是堆 payload,而是把测试动作、证据留存和报告输出串起来。
本 skill 集成本地 MCP 服务器作为工具层,让 Claude 在 hunt 阶段能直接调用浏览器自动化、CDP 调试、网络拦截、JS hook、AST 反混淆、Frida 内存验证、WASM 逆向、Source map 重构、Android adb 桥接、SSL pinning 绕过等能力。
当前主选:jshookmcp 0.3.0(134 工具精选 / 386 全集 / 36 域),完整索引与场景映射见 。
No comments yet. Be the first to share your thoughts!
Top skills in this category by stars
仅当用户问"哪个最值得先测" → Read references/methodology/05-srctimebox-priority.md。
进入条件:Phase 1 checkpoint 四项全过。
禁止:任何主动发包(端口扫描 / 路径爆破 / payload 测试)。
MUST 输出:不发包给目标得到的资产清单 + 历史信息,来源 ≥3 种:
org:target + password|api_key|SECRET|.env)进入条件:Phase 2 资产清单非空。
MUST 输出:活资产矩阵——域 → 端口 → 服务 → 指纹 → JS endpoint。
条件触发 Read(命中就必读,不命中不读):
| 命中信号 | MUST Read |
|---|---|
| 指纹含 weaver/seeyon/tongda/landray/yongyou/kingdee/hikvision/dahua | references/dictionaries/chinese-srcfingerprints.md + references/dictionaries/default-credentials-cn.md |
| 资产含 银行 / 支付 / 网银 / 第三方支付聚合 | references/industry/banking-finance.md |
| 资产含 运营商 / BOSS / 网管 / 物联网卡 | references/industry/telecom-isp.md |
进入条件:Phase 3 矩阵 ≥1 个候选目标。
强制流程(每个候选目标走一遍):
references/methodology/02-bypass-toolkit.md 决策树| 入口信号 | MUST Read |
|---|---|
| Actuator / Swagger / 默认端口 / 弱密码 | references/playbooks/unauth-access.md |
| .git / .svn / .env / heapdump / 路径列举 | references/playbooks/info-disclosure.md |
| 用户态 ID 可遍历 / 任意 X 越权 | references/playbooks/arbitrary-x-authz.md |
| 密码重置 / 支付 / 验证码 / 订单 / 提现 | references/playbooks/logic-flaws/00-index.md |
| OAuth / SAML / JWT / redirect_uri | references/playbooks/oauth-saml-jwt/00-index.md |
| REST API / BOLA / Mass Assignment / 速率 | references/playbooks/api-rest/00-index.md |
| 任何用户输入进 DB | references/playbooks/sqli.md |
| 反序列化 / SSTI / XXE / 原型链 / 框架 RCE | references/playbooks/rce/00-index.md |
| URL 入参 / 缓存 / Host 注入 | references/playbooks/ssrf-cache-host/00-index.md |
| 文件路径入参 / LFI / RFI | references/playbooks/path-traversal/00-index.md |
| 上传点 + 解析漏洞 | references/playbooks/file-upload/00-index.md |
| 用户输入回显到 HTML / JS | references/playbooks/xss/00-index.md |
| 反代 + Content-Length / TE | references/playbooks/http-smuggling.md |
| GraphQL endpoint / introspection | references/playbooks/graphql.md |
| 并发 / TOCTOU | references/playbooks/race-conditions.md |
| ReDoS / 资源不限速 / 算法爆炸 | references/playbooks/dos.md |
| APK / IPA / 移动端 | references/playbooks/mobile.md |
| LLM agent / prompt 入口 / 工具调用 | references/playbooks/llm-prompt-injection/00-index.md |
| 已拿到 shell / 凭据 / 内网 | references/playbooks/intranet-postexp/00-index.md |
两步 Read 模式(已拆分的 playbook):目录形式的 playbook(rce/ / oauth-saml-jwt/ / ssrf-cache-host/ / api-rest/ / logic-flaws/ / file-upload/ / path-traversal/ / xss/ / llm-prompt-injection/ / intranet-postexp/)第一步只 Read 00-index.md——它含子文件路由表和通用方法论。不要把 00-index 当 payload 库用,据子文件路由定位到具体场景后再 Read 对应子文件(如 rce/14-ssti.md / oauth-saml-jwt/12-jwt.md)。单文件形式的 playbook(sqli.md / xxx.md)直接 Read 即可。
通用方法论(仅在卡壳时 Read,不要预加载):
references/methodology/01-attack-priority.mdreferences/methodology/02-bypass-toolkit.mdreferences/methodology/03-evidence-discipline.mdreferences/methodology/04-control-gap-hunting.md进入条件:Phase 4 至少一个 finding 已具备可重现 HTTP 包 / 截图 / 视频。
MUST 流程(顺序执行):
references/compliance.md 核对合规红线(不准跳)references/templates/report-submission.md 取模板默认 mcp__jshook__search_tools + mcp__jshook__activate_tools 按需激活(~3K token)。完整索引仅在用户问"用什么工具 / Burp / Frida / adb"时 Read:references/tools/mcp-jshook.md。
7 个高关联 playbook(xss / rce / ssrf-cache-host / mobile / oauth-saml-jwt / api-rest / file-upload)末尾各有 ## 相关 MCP 工具 反向锚点,指明该攻击面下应该调哪些 jshook 工具、何时调。
skill 内置触发词包括:
也可以显式调用:
/src-hunter <target>
| Playbook | 嵌入 H1 案例数 | |---|---:| | arbitrary-x-authz(IDOR / 任意账户 / 提权) | 465 | | rce(反序列化 / SSTI / XXE / 框架) | 385 | | xss | 335 | | info-disclosure | 319 | | oauth-saml-jwt | 240 | | logic-flaws(CSRF / 点击劫持 / 支付) | 234 | | path-traversal / LFI / RFI | 163 | | sqli | 147 | | dos | 138 | | ssrf-cache-host | 108 | | unauth-access(默认凭据 / Actuator / 暴露服务) | 46 | | http-smuggling / CRLF | 38 | | api-rest / WebSocket | 15 | | file-upload | 8 | | mobile(Android / iOS) | 8 | | race-conditions | 5 | | llm-prompt-injection | 1 | | graphql | 1 | | intranet-postexp(内网 / 后渗透速查) | — |
3516634930/Payloader。本项目只整理、翻译和重组公开资料,不包含专有数据,也不抓取需要认证的内容。
每个 playbook 末尾都写了具体的边界,下面是抽出来的几个最常踩的点:
id / whoami / uname -a;Redis / Mongo 默认未授权只 info / ping / db.version();任意文件读看到 root:x: 一行即停,不读 /etc/shadow。sts get-caller-identity / 看 banner 验证,绝不用来扣款 / 发邮件 / 连接生产库。具体到每类漏洞还有更细的限制(DoS 类最敏感、上传不留 webshell、读类只读 1 条样本等),看对应 playbook 的最后一节。
MIT。
数据来源均为公开资料。本项目主要做资料整理、翻译、归类,并封装成适合黑盒漏洞挖掘使用的 Claude Code skill。