文章总结: 本文分享作者3天内挖掘4个漏洞的实战经历,虽未获赏金但总结了完整方法论。内容涵盖范围分析、资产收集及手工测试技巧,涉及JSONPXSS、盲SSRF和CORS等漏洞。核心建议包括重点关注收购公司资产、坚持手工测试、研读API文档及利用上传功能挖掘SSRF,为新手提供了宝贵的实战经验与心态指引。 综合评分: 85 文章分类: SRC活动,渗透测试,实战经验,安全工具
我如何在 3 天内发现 4 个漏洞 —— 新手成长之路
haidragon haidragon
安全狗的自我修养
2026年3月2日 12:11 湖南
官网:http://securitytech.cc
这是一个关于我如何在 3 天内向 Target 的 HackerOne 项目提交 4 份漏洞报告的故事。我使用的是一种系统化的方法和一套扎实的工具链。
📣 真实结果
我跟你说实话:
这 4 个报告,我一分钱赏金都没拿到。
- 漏洞 #1(JSONP XSS): 信息性(官方已知问题)
- 漏洞 #2(DNS 错误配置): 信息性(只是 www 与非 www 的 DNS 问题,并非真实的子域接管)
- 漏洞 #3(盲 SSRF): 重复(已经有人先提交)
- 漏洞 #4(CORS): 信息性(该 API 已被弃用)
零美元。 零声誉积分。
但我得到了:
- 一套可以在任何目标上重复使用的真实方法论
- 实战发现真实漏洞的经验
- 对自己侦察与手工测试能力的信心
- 4 份报告,让我理解了安全分流团队(triage)的思维方式
- 明确知道:发现漏洞是我已经掌握的技能——拿到赏金只是下一步
如果你是新手:不要被 “Informative” 打击。每一个报告都会让你成长。那些年入 10 万美元的猎人,都是从一堆 Informative 开始的。
🧰 我的武器库 —— Bug Bounty 工具清单
🔎 信息收集工具(Recon)
- subfinder — 子域发现
subfinder -d target.com -o subs.txt
- httpx — HTTP 探测 & 技术识别
cat subs.txt | httpx -status-code -title -tech-detect -o alive.txt
- gau — 历史 URL 收集
gau target.com --o urls.txt
- waybackurls — Wayback 机器 URL
echo target.com | waybackurls > wayback.txt
- gospider — 网站爬虫
gospider -s https://target.com -d 3 -o spider-output/
🎯 模糊测试 & 参数发现
- ffuf — 高速 Web Fuzzer
ffuf -u https://target.com/FUZZ -w wordlist.txt -mc 200,301,302,403
- arjun — 隐藏参数发现
arjun -u https://target.com/endpoint
- paramspider — 从归档中挖参数
paramspider -d target.com
- gf — 漏洞模式匹配(SSRF, XSS 等)
cat urls.txt | gf ssrf > ssrf-candidates.txt
🧪 利用 & 分析
- Burp Suite Pro — 代理 & 手工测试(Repeater / Intruder)
- subjack — 子域接管检测
subjack -w subs.txt -t 100 -timeout 30 -o takeovers.txt
- Corsy — CORS 错误扫描
python3 corsy.py -u https://api.target.com
📚 字典
- SecLists(目录 / 参数 / payload)
- burp-parameter-names
- arjun-large
- param-miner
- fuzz-bo0om
- api-endpoints
🖥 基础设施
- Mullvad VPN — 防止扫描时被封 IP
- Burp Collaborator — OOB 漏洞检测(SSRF / Blind XSS)
- ngrok — 暴露本地服务器(用于重定向攻击)
📋 方法论 —— 我如何打猎
第一阶段:Scope 分析
在运行任何工具前,我先研究项目:
1. 阅读 HackerOne 全部项目政策
2. 下载 scope CSV → 分析在范围内域名
3. 查找收购公司与子公司
4. 记录赏金等级与对应严重性
关键洞察: Scope 包含:
*.target.com*.acquiredco-a.com*.acquiredco-b.com*.acquiredco-c.tv
收购公司往往关注度低,漏洞更多。
第二阶段:子域枚举
subfinder -d target.com -o target-subs.txt
subfinder -d acquiredco-a.com -o acquiredco-a-subs.txt
subfinder -d acquiredco-b.com -o acquiredco-b-subs.txt
subfinder -d acquiredco-c.tv -o acquiredco-c-subs.txt
合并去重后:
20,923+ 子域
第三阶段:存活主机探测
cat all-subs.txt | httpx -status-code -title -tech-detect -content-length -o alive.txt
结果:
220 个存活主机
第四阶段:历史 URL 收集
gau target.com
waybackurls acquiredco-a.com
最终:
196,796 条唯一 URL
第五阶段:模式匹配
gf ssrf → 75
gf redirect → 69
gf xss → 1,796
gf idor → 1,615
gf sqli → 1,714
第六阶段:自动化扫描(效果一般)
nuclei -l alive.txt -t ~/nuclei-templates/
自动化没有发现关键漏洞。
第七阶段:手工测试(真正的漏洞都在这里)
- 用 Burp 浏览网站,构建 sitemap
- 研究 API 请求/响应结构
- 测试 IDOR(改 ID / 换 JWT)
- 测试 CORS
- 测试 SSRF(上传、webhook、拉取功能)
- 重点检查收购域名
🐛 发现的 4 个漏洞
漏洞 #1:JSONP XSS
在 oEmbed API 中发现未过滤的 callback 参数。
返回:
Content-Type: application/javascript
JSON 被 callback 包裹,允许通过 <script> 标签跨域读取数据。
结果:Informative(已知)
漏洞 #2:子域接管(Fastly)
3 个子域指向未认领的 Fastly 端点。
验证步骤:
- 创建 Fastly 服务
- 绑定子域
- 部署 PoC 页面
- 截图
- 清理
结果:Informative(DNS 问题)
漏洞 #3:盲 SSRF(视频上传)
API 支持:
"approach": "pull"
服务器会主动拉取 URL。
通过 302 重定向绕过过滤,访问:
- 127.0.0.1
- 169.254.169.254
- metadata.google.internal
还使用十进制 IP 绕过过滤。
结果:Duplicate
漏洞 #4:CORS 错误配置
响应:
access-control-allow-origin: https://evil.com
access-control-allow-credentials: true
允许任意 Origin + 凭证。
意味着恶意网站可以:
- 读取用户 API 数据
- 窃取授权 Token
- 执行 CRUD 操作
结果:Informative(API 已弃用)
🎯 关键经验总结
- 收购公司 = 漏洞宝库
- 自动化发现攻击面,人工发现漏洞
- 一定阅读 API 文档
- 每个 API 都测试 CORS
- 上传功能 = SSRF 黄金点
- 一定使用 VPN
📊 数据统计
-
时间:3 天
-
报告:4 个
-
子域:20,923+
-
存活主机:220
-
URL:196,796
-
工具:15+
-
公众号:安全狗的自我修养
-
vx:2207344074
-
http://gitee.com/haidragon
-
http://github.com/haidragon
-
bilibili:haidragonx
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全狗的自我修养 haidragon haidragon《我如何在 3 天内发现 4 个漏洞 —— 新手成长之路》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论