2025 年漏洞赏金狩猎入门：真实世界指南

C-haidragon

于 2025-04-02 12:24:54 发布

阅读量661

点赞数 7

分类专栏：网络安全情报文章标签：安全 web安全网络

本文链接：https://blog.csdn.net/sinat_35360663/article/details/146941374

版权

网络安全情报专栏收录该内容

15 篇文章

订阅专栏

Hacktivity 社区动态：Hackerone

经过八年的漏洞赏金狩猎——包括疫情期间，这是我唯一的收入来源——我注意到一件令人沮丧的事情：大多数“入门”指南仍然只是告诉人们如何创建 Hackerone 帐户。真的吗？如果你真的想参与漏洞赏金狩猎，那么你应该得到更好的待遇。

让我们来谈谈 2025 年漏洞赏金计划中真正重要的事情。不是基本的账户设置（你可以自己想办法），而是我通过艰苦努力学到的真正的、有时很痛苦的教训。刚开始时，我感到完全迷失了方向。可用的资源要么太基础而无法使用，要么太高级，就像用象形文字写成的一样。我当时真希望有这本指南。

以下是我们要讨论的内容：将精力集中在哪个平台上（以及为什么这比您想象的更重要）、如何选择能带来回报的程序以及真正能产生影响的工具和自动化。我将分享我使用 nuclei 和 rengine 进行基于云的搜索的设置，分析为什么我更喜欢某些程序而不是其他程序（看着你，平台管理的程序），并向你展示如何将价值 200 美元的漏洞变成更有价值的东西。

公平警告：这不是那种“快速致富”指南。漏洞赏金狩猎可以带来令人难以置信的回报——无论是经济上还是智力上——但它需要真正的工作、明智的策略和正确的方法。如果你准备好学习如何正确地做到这一点，那就让我们开始吧。

平台深度剖析：Hackerone 与 Bugcrowd

Bugcrowd 仪表板

让我们来谈谈漏洞赏金领域的两个主要平台——Hackerone 和 Bugcrowd。更重要的是，为什么尽早选择一个平台进行关注比你想象的更为重要。

我主要在 Hackerone 上工作，这是有原因的。一旦你开始在一个平台上取得成功，你就会通过他们的声誉系统被锁定在他们的生态系统中。这不一定是坏事，但在深入研究之前你需要了解这一点。

它的工作原理如下：在 Hackerone 上，提交有效漏洞后，您的声誉会提高。声誉越高，私人计划的邀请就越多。刚开始时，我认为私人计划是赚大钱的唯一途径——但我发现这并不完全正确。让我解释一下。

公共项目通常由规模较大的公司运营，因此范围更大、资金更雄厚。虽然这些项目乍一看可能令人望而生畏或“一无是处”，但如果您以正确的方式对待它们，它们实际上是一座金矿。秘诀是什么？时机和自动化。

这些大型公共项目会定期扩大其范围 — 添加新的域名、IP、服务或功能。当这种情况发生时，游戏就开始了。如果您已经对现有范围进行了彻底的侦察（我将其存储在 reNgine 中），那么您可以在添加新目标时立即开始行动。当初学者仍在尝试了解范围的基础知识时，您可以提交有效的报告。这就像在比赛中领先一步 — 在漏洞赏金狩猎中，速度通常与技能同样重要。

更妙的是，这些大型公共项目通常会向其表现最好的人员发送私人邀请，让他们测试新功能或范围增加，然后再公开。这就是事情变得真正有趣的地方——一旦你不断在他们的公共范围内发现错误，你就会开始收到这些独家邀请。让我告诉你，这些公司不会在赏金数额上乱搞。当他们说他们重视安全时，他们会用大笔现金来支持它。

Bugcrowd 的做法略有不同。他们不只是自动邀请，而是让你申请加入私人项目。但问题就在这里——大多数申请都是根据你过去的表现来筛选的。他们不仅想看看你发现了多少错误，还想看看你发现了什么类型和严重程度。这就像一份简历，但用于寻找错误。

事情开始变得有趣了，但也有点令人沮丧。还记得我提到过被锁定在一个平台上吗？这是一个真实的例子：在 Hackerone 上建立了多年的声誉后，我想在 Bugcrowd 上试试运气。新公司、新目标、不同的范围——令人兴奋的东西，对吧？错了。尽管我有多年的经验，但我基本上是从零开始。我习惯的所有私人计划邀请？都没了。我不得不再次努力通过公共计划来建立我的 Bugcrowd 统计数据，然后才能访问好东西。

在我全职狩猎的一年里，我大约 70% 的收入来自私人项目。但问题是——另外 30% 来自公共项目的收入并不是小数目。一开始，我所有的赏金都来自公共项目。随着我建立声誉，私人邀请开始慢慢涌入，改变了这个比例。最终，我本可以只在私人项目上狩猎——但到那时，我已经了解到，如果方法正确、自动化，公共项目也可以同样有利可图。

以下是我的实用建议：查看两个平台的公共计划。看看哪些更符合你的技能和兴趣。如果你从事 Web 应用测试，请查看哪个平台有更多以 Web 为中心的计划。如果你从事移动应用测试，同样如此。根据早期成功几率最高的平台来选择平台，因为第一个声誉建立阶段至关重要。

关键是不要像我最初那样放弃公共项目。是的，私人项目通常具有更清晰的范围定义、更好的响应时间和更少的竞争。但是，如果你聪明地对待公共项目，尤其是来自大公司的公共项目，可能会带来令人难以置信的回报。设置自动化，进行彻底的侦察，并准备好在范围发生变化时发起攻击。你可能会对发现的结果感到惊讶。

选择你的第一个程序

Hackerone 计划详情：1Password

选择第一个要破解的程序可能是你在漏洞赏金职业生涯中做出的最重要的决定。我经历了一段痛苦的教训——浪费了几个月的时间在那些要么限制太多、管理不善，要么就是令人沮丧的程序上。让我来帮你摆脱这种头痛。

首先，让我们谈谈范围调整。刚开始时，我专注于 Web 应用程序。我寻找具有较大 IP 范围和大量范围内域的程序。为什么？因为更多的攻击面意味着更多的机会，而 Web 应用程序是我最了解的。如今，我已经涉足软件测试和移动应用程序，甚至使用 Ghidra 进行了一些逆向工程（RIP IDA，你很棒，但对于某些架构来说很贵）。但这种进步是自然的——我从自己感到舒适的地方开始，随着成长而扩展。

这是我花了很长时间才学到的专业技巧：寻找“由 Hackerone 管理”或“由 Bugcrowd 管理”的程序。我再怎么强调也不为过。当程序由平台管理时，您要与了解安全性的专业分类人员打交道。当它由公司自己管理时？您可能最终会与一些防御性系统管理员争论为什么他们的“这不是错误，而是一个功能”实际上是一个关键的安全问题。相信我，没有什么比花费数小时撰写详细报告却被人拒绝更能扼杀您的积极性了，因为他们不想承认他们的系统存在漏洞。

举个真实的例子：我曾经在一家公司的 API 中发现一个严重漏洞（不能说出名字，但应该是一家中型科技公司）。该程序由公司管理，他们的安全团队坚称该程序不可利用。我花了三天时间构建概念验证来证明他们错了。使用平台管理的程序？这个问题可以在几小时内解决，而不是几天。平台分类人员了解技术细节，更重要的是，他们对系统没有情感投入。

现在，让我们讨论一下程序作用域中的危险信号。您需要避免：

仅包含一两个域/应用程序的微型范围
范围定义模糊（“除了不允许的之外的一切”）
数月未付款的项目（检查其统计数据）
包含大量超出范围事项但很少在范围内目标的计划
需要很长时间才能响应报告的程序（再次检查其统计数据）

相反，寻找：

清晰、详细的范围定义
定期更新范围（这意味着他们正在积极维护该计划）
良好的平均响应时间
最近的赏金支付
关于不同严重程度的透明规则

Hackerone 计划详情：23 & Me

大多数指南都不会告诉你：范围变化是你的朋友。当程序在其范围中添加新域或功能时，就是最佳狩猎时间。我会在 reNgine 中跟踪我所有活动的程序，当我收到有关范围变化的通知时，我通常是第一批开始测试的人之一。新的范围项目通常意味着新的错误——而成为第一个很重要。

关于范围的另一件事——不要只看包含的内容，还要看它们如何处理极端情况。最好的程序有明确的指导方针，说明当你发现可能影响范围内和范围外资产的东西时会发生什么。这些极端情况可能是最有趣的错误所在，但在你花时间调查之前，你需要知道程序将如何处理它们。

让我来打破一个普遍的误解：公司规模越大并不一定意味着项目越好。我见过小型初创公司拥有出色的漏洞赏金项目，也见过大型公司拥有糟糕的项目。重要的是他们如何管理项目以及如何与赏金猎人互动。寻找具有清晰沟通、合理响应时间和公平赏金评估历史的项目。

请记住，您的时间很宝贵。不要将时间浪费在无法取得成功的项目上。从符合您的技能、范围明确且具有主动管理迹象的平台管理项目开始。在那里建立您的声誉，然后随着经验的积累，您可以开始尝试其他类型的项目。

行业必备工具

原子核

让我来分解一下我的漏洞搜寻工具箱——从经典的命令行到强大的 GUI 工具。我们将在下一节中介绍自动化工具（reNgine、nuclei 和我的 Azure 设置），但它们值得在这里提及，因为它们是我搜寻堆栈的支柱。

命令行经典

网络映射

每个猎人都需要坚实的 CLI 工具基础。虽然框架和 burp 让很多这些工具听起来多余，但它们在手动测试中仍然具有很大的价值。以下是我进行快速、有针对性测试的首选：

ffuf — 仍然是我最喜欢的模糊测试工具。速度极快，非常灵活，可以完成从内容发现到参数模糊测试的所有任务
dirb — 是的，这是老派的，但有时简单更好。非常适合初始目录枚举
nmap — 网络扫描的瑞士军刀。如果你不习惯使用 nmap，那就换一个吧
searchsploit — 本地 Exploit-DB 搜索。当你认为发现了一个有漏洞的服务时，这个工具必不可少

重要的 GUI 工具

Burpsuite 专业版

让我们深入研究漏洞搜寻的真正主力——Burp Suite Pro 和 Fiddler。我将它们一起运行，乍一看可能有点奇怪，但这种疯狂是有方法的。

Fiddler 是我日常使用的代理。它的界面简洁、直观，非常适合进行一般流量分析。实际上，我在日常工作中也使用它进行非安全工作，这意味着我对它的所有怪癖和功能都有了肌肉记忆。当我只是想了解应用程序的工作原理或跟踪一些奇怪的行为时，Fiddler 是我的首选。

但是 Burp Suite Pro？这就是奇迹发生的地方。虽然它可能不会赢得任何 UI 设计奖项，但它的安全测试功能无与伦比。我经常使用的核心功能是：

中继器——用于操作和重放请求。非常适合测试边缘情况和奇怪的参数组合。
Intruder — 自动化测试的瑞士军刀。无论我是在模糊测试参数还是运行密码列表，Intruder 都能搞定一切。
扫描仪——是的，它是自动化的，但与手动测试相结合，它是找到唾手可得的成果的有力工具。

真正让 Burp 大放异彩的是它的扩展。社区版中没有这些扩展，这很糟糕。我安装了很多扩展，但以下是真正值得使用的扩展：

Autorize — 这是我的 IDOR 追踪秘密武器。输入低权限用户的 cookie，它会自动检查他们是否可以访问高权限端点。我的一半 IDOR 发现都来自于我在手动测试时让它在后台运行。
Taborator — 让 Collaborator 有效载荷的使用变得轻而易举。非常适合查找盲目漏洞。
JSON Web Tokens — 因为谁愿意手动解码和操作 JWT？我可不想。
Turbo Intruder — 当常规 Intruder 的性能不够出色时。
CMS 扫描仪和 CSRF 扫描仪——虽然它们不是我的主要错误查找工具，但它们的价值已经达到了数倍。

单词列表和有效载荷

让我们来谈谈列表——以及为什么它们可能是漏洞赏金狩猎中最被低估的方面。每个人都知道经典的列表：rockyou.txt、raft-large-words.txt 以及 dirb 等工具附带的默认单词表。它们是很好的起点，你肯定会用它们找到一些漏洞。但问题是——其他每个赏金猎人都在使用这些完全相同的列表。

想想看：当您在公共程序上模糊测试端点时，您实际上是在与数百名其他猎人竞争，他们已经针对相同的目标运行了相同的列表。这就是持续发现漏洞的真正秘诀——自定义单词表。

我学到这个教训是经过一番艰苦的努力的。在狩猎的第一年，我完全依赖公共列表：SecLists、PayloadAllTheThings、common.txt，等等。当然，我也发现了漏洞，但通常只在我最先加入队伍的新范围添加中。然后我开始注意到一些事情：成功的猎人守护他们的单词表就像龙守护黄金一样。起初，我以为这只是典型的信息安全守门。但在我开始建立自己的列表后，我明白了原因。

您的自定义单词表会成为您注意到的每个模式、您发现的每个奇怪端点、您制作的每个成功有效载荷的汇编。它们不仅仅是单词的随机集合——它们是实际有效的数据库。当我发现一个导致错误的有趣端点时，它不仅会出现在我的报告中——还会出现在我的单词表中。当我注意到一家公司为其管理面板使用特定的命名模式时，该模式就会出现在我的列表中。

从基础开始：

raft-large-words.txt 用于一般内容发现
dirb 的快速扫描默认列表
特定漏洞类型的安全列表
PayloadAllTheThings 为测试用例奠定坚实的基础

但随后开始构建您自己的列表。为以下内容创建单独的列表：

导致先前发现的终点
你注意到的公司特定模式
行业特定术语
自定义参数名称
独特的身份验证绕过模式

请记住，公开的单词表并不坏——它们只是开始。把它们想象成一套基本的撬锁工具。当然，它们会打开一些门，但真正的专业人士拥有自己根据多年经验打造的自定义工具。您的自定义单词表将成为您的竞争优势。它们是持续发现错误和偶尔碰碰运气之间的区别。

不，我不会分享我的个人列表。不是因为我不想帮忙——而是因为真正的价值来自于自己构建列表、学习模式以及理解为什么某些单词或路径比其他单词或路径更重要。

rengine 示例工作流程

第三支柱：支持工具和技术

在您的核心工具和自动化设置之后，还有一整套支持工具，它们可以决定您漏洞搜寻的成败。让我带您了解那些一直证明其价值的工具。

网络智能

我的浏览器中总会打开某些选项卡 - 并不是因为它们是我的主要搜寻工具，而是因为它们通常提供将潜在错误转变为确认的漏洞的关键信息。

Shodan 是互联网扫描的鼻祖。虽然每个人都知道它，但很少有人能有效地使用它。我发现，通过 Shodan 的图标哈希搜索和 SSL 证书查询，比通过其基本的 IP 扫描，有更多有趣的攻击面。同样，VirusTotal 不仅仅用于恶意软件分析——他们的企业 API 帮助我绘制了整个被遗忘的基础设施，这些基础设施不在范围内……直到我向程序所有者指出了它们。

CRT.sh 是我的安静表演者。证书透明度日志就像是子域名发现的时光机。它们不仅向您展示现在有什么，还向您展示以前有什么——有时，公司会忘记正确停用旧服务。将它与 Censys（想想 Shodan 更学术的表亲）结合起来，您就会开始发现那些无人测试的被遗忘的资产。

Github 侦察

GitHub 侦察是耐心的回报。虽然 Gitrob 和 Shhgit 等工具非常适合查找敏感文件，但真正的收获在于了解如何有效地使用它们。开发人员习惯于留下导致更大问题的线索。

LinkFinder 值得特别提及。它不仅仅是在 JavaScript 文件中查找端点 — 而是了解这些端点如何融入更大的应用程序架构。一个端点可能看起来很无聊，直到您意识到它正在调用一个不应该公开的内部 API。

虚拟主机发现

虚拟主机枚举经常被忽视，但在现代云环境中却至关重要。公司通常在同一 IP 上运行多个应用程序，而传统扫描可能会完全错过它们。我发现，将传统虚拟主机扫描器与证书透明日志中的数据相结合，通常可以发现无法通过标准枚举发现的主机。

这些工具的妙处在于它们可以相互补充。CRT.sh 的子域名可能会指向 GitHub 存储库，其中可能包含对虚拟主机的引用，这些引用可以通过 Shodan 进行确认。这就像拼拼图，其中每一块都可能是下一个 bug 的关键。

但请记住——这些是辅助工具，而不是你的主要武器。它们在用于增强你的核心方法而不是替代它时最有效。我见过太多猎人陷入从一个工具跳到另一个工具的陷阱，而不是开发一个系统的方法来一起使用它们。

漏洞赏金工具的演变

让我们来谈谈为什么我没有在本指南中提及 sublist3r 和 aquatone 等工具。当然，这些工具在当时是改变游戏规则的工具。我曾经为自己收集的链式工具和自定义脚本而自豪，这些工具和脚本可以自动化我的侦察过程。

但要在 2025 年保持各种工具的拼凑？这就像坚持使用翻盖手机，因为它在 2010 年运行良好。现代框架发动机基本上已经让这些拼凑起来的方法过时了。它们不只是复制这些单个工具的功能，而是对其进行改进，并将所有内容集成到一个单一、有凝聚力的系统中。

别误会我的意思——了解这些旧工具的工作原理仍然很有价值。当你的自动化框架出现问题时（总会有一些东西出现问题），了解基础知识可以帮助你找出问题所在。但对于实际狩猎来说？是时候考虑比单个工具更大的问题了。

自动化：秘密武器

让我来告诉你彻底改变我的漏洞赏金游戏的设置。我们谈论的是结合 nuclei 和 reNgine，以及 Azure 的强大功能。但在深入讨论细节之前，让我们先讨论一下房间里的大象：本地设置与云设置。

本地与云：真正的对话

当我刚开始自动化狩猎时，一切都在我的本地机器上运行。这似乎更便宜、更简单。但我从中学到的是：

在本地运行密集扫描意味着：

你的家庭 IP 受到速率限制（或更糟的是，被阻止）
您的互联网连接无法用于其他用途
你的机器被占用运行扫描，而不是让你主动搜索
网络故障可能会终止长时间运行的扫描
您的硬件限制了您可以运行的并发扫描数量

迁移到 Azure 改变了一切。是的，这需要花钱。但您得到的回报是：

可轮换多个专用 IP
企业级带宽
在需要时扩大规模的能力（发现了新的潜力？获得更多资源）
全天候正常运行，持续扫描
您的本地机器可以自由地进行主动狩猎

Nuclei：不仅仅是另一台扫描仪

让我们来谈谈 nuclei。如果你身处漏洞赏金圈，你可能听过人们对它的赞美。这是有原因的——它基本上是漏洞扫描的瑞士军刀，但你可以设计自己的刀片。

想想你曾经发现的每一个错误。每个错误可能都有特定的模式，对吧？使用 nuclei，你可以将该模式转换为 YAML 模板，并自动扫描所有目标中的类似问题。我有各种模板，从基本内容（如公开的 git 目录）到复杂的多步骤身份验证绕过。

nuclei 的真正威力不仅在于运行扫描，还在于它周围的社区。与许多其他工具不同，每个人都将自己最好的东西保密，nuclei 拥有一个蓬勃发展的模板共享社区。当然，你不会发现有人分享他们最新的零日漏洞的模板，但你会对人们分享的内容感到惊讶。通过研究公共 nuclei 模板，我了解到的不同漏洞模式比我从大多数漏洞赏金报告中了解到的还要多。

这就是 nuclei 的特别之处：它速度快、灵活，并且非常擅长处理边缘情况。想要测试特定类型的 IDOR？编写一个模板。发现奇怪的身份验证绕过？模板化它。注意到某些应用程序处理文件上传的方式有规律吗？你猜对了 — 制作一个模板。我的收藏已经从少数几个基本检查发展到数百个自定义模板，每个模板都代表了从之前的狩猎中吸取的教训。

ReNgine：你的漏洞搜寻任务控制中心

ReNgine 是一切的汇集地。可以把它看作是你的漏洞赏金行动的任务控制中心。我将一切组织到项目空间中 — 私有程序、公共程序、我关注的特定目标。它让混乱井然有序，当你同时处理多个程序时，这一点比你想象的更重要。

子扫描功能非常棒。你知道在进行大规模扫描时发现有趣的东西时的那种感觉吗？无需等待所有操作完成，你可以立即深入研究那个有希望的子域。我发现了一些最好的错误，因为当有趣的东西出现时我可以快速转向。

但真正让我对 reNgine 产生兴趣的是它的持续监控。我已将其设置为每当发现新事物时（新的子域、范围更改或任何看起来可疑的东西）都会 ping 我的私人 Discord 服务器。过滤功能很好（比我以前那样通过文件 grep 查找要好得多），GPT 集成有时可以发现有趣的攻击模式，但真正值得的还是这种持续的警惕。我的一半错误都来自于率先发现和测试新资产，而 reNgine 的监控功能使这成为可能。

撰写有成果的报告

让我们来谈谈漏洞赏金世界中没有得到足够重视的事情——撰写可以真正获得报酬的报告。我曾见过出色的漏洞因为报告质量差而被拒绝或降级，也见过相对简单的发现因为有效地呈现而获得高额报酬。

我从痛苦中学到的一点是：撰写报告不仅仅是记录错误 — 而是讲述一个故事。当你与分类团队打交道时（尤其是我之前提到的那些平台管理程序），你需要清楚地说明你的发现的影响。他们正在审查数百份报告；让你的报告脱颖而出。

举个真实的例子。在我早期的狩猎中，我发现了一个我认为很关键的 IDOR 漏洞。我写了一份快速报告：“这是端点，这是重现方法，这是它不好的原因。”被拒绝了。一个月后，我发现了一个类似的问题，但这次我采取了不同的方法。我没有只展示 IDOR，而是演示了如何将其与另一个小问题结合起来以实现完全账户接管。同样的基本漏洞，完全不同的结果。

这让我想到了漏洞赏金报告的黄金法则：不要立即报告漏洞。当你发现一些有趣的东西时，退后一步。这可以与其他漏洞联系起来吗？这个低严重性的发现会成为更大漏洞的垫脚石吗？如果你花时间探索它的全部潜力，一个价值 200 美元的漏洞可能是一份价值 2,000 美元的报告的基础。

以下是我撰写结果报告的清单：

首先，了解你的受众。平台管理的计划通常有专业的分类人员，他们了解安全概念——你可以是技术人员。公司管理的计划可能需要从业务角度更多地解释为什么某件事很重要。

接下来，结构很重要。我总是包括：