工具项目
文集大纲加载中……
小迪安全知识库
-
+
首页
SRC挖洞Skill技能库
SRC挖洞Skill技能库
# src-hunter 项目地址:https://github.com/MyuriKanao/src-hunter-skill [](https://github.com/MyuriKanao/src-hunter-skill#src-hunter) 这是一个给 SRC、众测和 Bug bounty 用的 Claude Code skill。 简单说,就是你给它一个目标,它会按一套固定流程帮你推进漏洞挖掘:先确认目标范围,再做信息收集和资产枚举,然后进入漏洞测试,最后整理报告。 ``` intake → recon → enum → hunt → report ``` 项目内置了一批从公开来源整理的知识库,包括: * 19 类攻击 playbook * 305 个结构化 payload * WAF / EDR 绕过变体 * HackerOne 已披露 High / Critical hacktivity 数据 * WooYun 历史案例统计残余 * 常见国产组件指纹和默认凭据 ## MCP 工具集成 [](https://github.com/MyuriKanao/src-hunter-skill#mcp-%E5%B7%A5%E5%85%B7%E9%9B%86%E6%88%90) 本 skill 集成本地 MCP 服务器作为工具层,让 Claude 在 hunt 阶段能直接调用浏览器自动化、CDP 调试、网络拦截、JS hook、AST 反混淆、Frida 内存验证、WASM 逆向、Source map 重构、Android adb 桥接、SSL pinning 绕过等能力。 **当前主选**:[jshookmcp](https://github.com/vmoranv/jshookmcp) 0.3.0(134 工具精选 / 386 全集 / 36 域),完整索引与场景映射见 [`references/tools/mcp-jshook.md`](https://github.com/MyuriKanao/src-hunter-skill/blob/main/references/tools/mcp-jshook.md)。 7 个高关联 playbook(`xss` / `rce` / `ssrf-cache-host` / `mobile` / `oauth-saml-jwt` / `api-rest` / `file-upload`)末尾各有 `## 相关 MCP 工具` 反向锚点,指明该攻击面下应该调哪些 jshook 工具、何时调。 ## 触发关键词 [](https://github.com/MyuriKanao/src-hunter-skill#%E8%A7%A6%E5%8F%91%E5%85%B3%E9%94%AE%E8%AF%8D) skill 内置触发词包括: * bug bounty、HackerOne、SRC 挖洞、漏洞赏金、众测 * WAF bypass、绕过 WAF * 如何测试某个 endpoint / API / 参数 * 任意账号、任意修改、任意删除 * 密码重置、找回密码 * 默认凭据、Actuator、暴露的管理后台
xiaodi
2026年7月3日 16:19
22
0 条评论
转发
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
分享
链接
类型
密码
更新密码
有效期
Markdown文件
Word文件
PDF文档
PDF文档(打印)