在网络安全这片江湖，漏洞赏金项目就好比华山论剑，引得各路白帽大侠前来一较高下。谁能技高一筹，就能抱走丰厚的“奖金”。

今天，咱就来聊聊一个真实的故事：一位安全研究员和他的好基友 Mohammad Nikouei 哥俩，决定在 BugCrowd 上挑战一个已经“千疮百孔”的公开漏洞赏金项目。这项目，目标公司那是相当有名气，早就被各路大神“蹂躏”过无数遍了。而且，这俩兄弟也不是全职挖洞，但他们愣是决定每人砸进去 100 小时，总共 200 小时，死磕到底！结果嘛，当然是喜人的，他们成功拿下了 20,300 美元的赏金！

想知道他们是怎么做到的吗？别眨眼，这篇文章将为你揭秘他们的独门秘籍、技术细节和经验总结，让你也能在网络安全的世界里掘到属于自己的第一桶金！

第一步：选对“矿山”很重要

这俩兄弟可不是那种眼里只有钱的“俗人”，他们把这次挑战当成了一场刺激的“挖洞”探险。他们给自己立了个 Flag：每人 100 小时，总共 200 小时，就当是练级打怪了。他们觉得，与其盯着那点赏金，不如享受过程，这样才能更有动力，就算遇到再深的坑也能咬牙坚持下去。

那么问题来了，如何才能选到一个合适的赏金项目呢？记住，项目的技术栈一定要和你的技能匹配！ 这哥俩就喜欢那种赏金范围广、架构新旧技术都有、还有专业应急响应团队的项目。

当然，最关键的是，有个叫 todayisnew 的大神在这个项目排行榜上名列前茅。既然他能发现这么多漏洞，咱凭啥不行？记住，千万别低估自己！ 毕竟，每个赏金猎人都有自己独特的“脑回路”，说不定就能发现别人忽略的宝藏呢！

第二步：信息收集，像福尔摩斯一样刨根问底

信息收集可是漏洞赏金项目的基石，地基打不牢，楼盖不高啊！作者团队在这方面可是下了不少功夫，各种技术手段齐上阵。

• 证书大法：顺藤摸瓜找资产
• IP 反查：不放过任何蛛丝马迹
• CSP 响应头：隐藏的宝藏等你来挖
• Google Dorks：黑客的秘密武器
• Google Analytics id：定位目标，精准打击
• DNS 爆破：让所有域名都无处遁形
• OSINT：情报收集，决胜千里之外

证书：别放过任何一个细节

通常，我们都习惯用 Common Name 来搜索证书，但其实证书还有很多其他有用的信息，比如 Organization 字段等等。有些网站会专门搜索并保存这些证书信息，比如 Shodan 或 Censys。当然，你也可以自己去找其他的替代方案。

以苹果公司为例，看看怎么用证书来挖掘信息：

用下面这条命令，就能把苹果公司的根域名都给揪出来：

curl -s "https://crt.sh/?O=Apple%20Inc.&output=json" | jq -r ".[].common_name" | tr A-Z a-z | unfurl format %r.%t | sort -u | tee apple.cert.txt

效果是这样的：

IP 反查：顺着 IP 地址摸到老巢

每家公司都可能会有一些 CIDR，但有时候这些 CIDR 很难找，因为所有者的名字可能很模糊。不过，如果 CIDR 带有公司标识（比如 ASN 名称中包含 Apple），那就好办多了。要找到 IP、CIDR 和 ASN，有很多工具可以用，比如 ipip.net。

扫描了公司所有的 CIDR、ASN 和 IP 之后，提取证书信息，就能发现一些隐藏的域名。用下面这条命令，可以找到 alternative names 和 common names：

echo AS714 | tlsx -san -cn -silent -resp-only

OSINT：跳出思维的牢笼

相信你肯定听说过 OSINT 技术，但作为一个白帽黑客，一定要不断跳出思维定式！ 在完成基本的信息收集后，作者团队就开始玩起了 OSINT。

一开始，他们只是在网上漫无目的地搜索，看看有没有什么关于公司的新闻，希望能发现一些新的线索（说实话，作者也不知道自己在找啥，就是瞎逛）。

但就是这漫无目的的瞎逛，竟然让他们撞上了大运！

他们在公司的新闻博客里，偶然发现了一个域名，长得像这样：championscompany.com。赶紧回去检查信息收集的结果，发现这个域名竟然不在域名列表里！

于是，作者手动翻遍了公司所有的 5,000 篇博客文章，最终找到了 60 个不在信息收集中的“漏网之鱼”！

第三步：漏洞挖掘，是时候展现真正的技术了！

在测试过程中，他们发现了一些非常有趣的安全漏洞。为了避免大家看得犯困，作者只挑了几个比较有代表性的案例来分享。

通过 Swagger 泄露访问所有用户数据

通过 DNS 暴力破解（也就是测试 test 子域），他们发现了 test.target.tld 子域名。然后，他们发现了一个在 5000 端口上没有认证的 Swagger UI。

Swagger UI 上大概有 100 个 API，看起来都需要认证。于是，他们开始一个一个地测试这些 API（过程很枯燥，但很有必要）。

结果，他们竟然发现了 10 个开放的 API，其中 2 个正在泄露身份信息，就像这样：

两个 SQL 注入

渗透测试最有效的方法之一就是威胁建模。只有了解了目标的环境，才能准备好测试用例和攻击场景。

威胁建模非常关键！ 不要随便 Fuzz，那样效率太低，而且还浪费时间。

这个系统是基于旧架构的遗留系统，包含从数据库加载的字段（比如 country）。于是，他们就对这些字段进行了基于时间的 SQL 注入检测。

最终，他们发现了 2 个 payload 是 1'XOR(SELECT CASE WHEN(1234=1234) THEN SLEEP(7) ELSE 0 END)XOR'Z 的 SQL 注入。

所有用户信息泄漏

在浏览应用程序时，他们看到了一个这样的请求：

GET /users/58158 HTTP/2Host: www.target.comCookie: xContent-Length: 0Sec-Ch-Ua:

他们尝试通过更改请求中的数字 ID 来获取用户信息，就像很多渗透测试者做的那样，但却遇到了 403 错误。

然后，作者尝试将请求方法改为 PATCH，但这招也不管用。不过，作者的关键策略是添加特定的 header 头，通过添加 Accept: application/json，他们成功收到了 200 OK 响应！

结果嘛，自然是喜人的：

存储 XSS

任何编辑器使用文本的地方，都是测试 XSS 的绝佳环境。

当他们浏览某个程序时，发现了一个可以像 Twitter 一样发布笔记的地方。虽然程序用正则表达式过滤掉了危险的标签，但他们并没有气馁，而是继续测试，最终成功绕过了过滤规则。

不过，由于程序有 CSP，所以他们使用了 Google 的 payload 来绕过 CSP：

xss<script/src="https://www&#x2e;google&#x2e;com/complete/search?client=chrome&q=hello&callback=alert#1"> "></script>

员工域访问导致所有交易泄露

在信息收集过程中，作者团队发现了一个特别有趣的域名，其名称中包含 demo，比如 companydemonew.com。这个域名只提供登录或注册选项。注册时，需要公司电子邮件地址，比如 [email protected]。

于是，作者注册了 [email protected]，并成功绕过了注册流程，收到了激活邮件！

由于这个域名无法公开访问，他们预计登录后会有很多漏洞。在探索网站功能后不久，他们的预期就得到了证实。结果，只需将数字 ID 从 35 更改为 36，他们就发现了一个重大的 IDOR 漏洞！

最终成果：

WPEngine 配置文件

用公共字典，也许你能找到一些漏洞，但自定义字典绝对能让你发现更多！使用他们的私有单词表，他们成功找到了 WPEngine 配置文件：

https://target.com/_wpeprivate/config.json

其他漏洞

• 数据库凭证泄露 * 2
• 账号接管
• 反射 XSS * 10
• 信息披露 * 2
• 业务逻辑漏洞 * 2
• 子域名接管 * 2

第四步：时间管理，效率就是金钱！

作者使用 toggltrack 程序来跟踪时间，以便评估最终的成果。结果如下图所示：

他们总共花费了大约 200 小时（每人 100 小时）在这次漏洞赏金活动中。在达成 200 小时共同工作的目标后，他们就暂停了“狩猎”，静静等待报告的处理结果。最终，他们花了将近 5 个月的时间才收到所有报告的赏金，而这次“掘金”之旅也为他们带来了 20,300 美元的收入！

总结：如何从大佬身上学到真本事？

这 200 小时挑战的故事，真是让人热血沸腾！这哥俩不仅技术牛，心态和协作能力也值得我们学习。他们在一个已经被“挖烂”的项目上，从侦察到挖洞，靠自动化工具、手动翻博客、OSINT 情报，三管齐下，最终取得了令人瞩目的成果。

给新手白帽的建议： 巩固基础知识，别光靠工具，多动手实践；

给中级白帽的建议： 学习他们的策略，提高效率，让自己的技术更上一层楼！

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*********************************