关于我挖洞的经历

我是从1月25号进入Day1到4月18日突破0-1，突破了人生第一个五位数。

我目前还是学生大二在读。我对安全是有一定的基础的，但也可以说是没有。如果和计算机专业的师傅们来比，我的基础可能没有80%的师傅好。仅仅也是做过一些靶场什么的，实战挖洞基本没有过。

从靶场到实战，这一步我始终没有跨过去。到底真实的环境是什么样子的始终是不知道。所以我在年初的时候，正值寒假在家也没什么事情，就去了解了一下SRC漏洞挖掘。

为什么选择Day1？其实我对其他的培训没有什么很多了解，也不想去了解。每个都吹的天花乱坠，没进团队之前都是一次赌注。但是当我翻到Day1团队的时候，加王佬微信后，我其实一直以为会是一个代理和我对话然后收了钱加入团队，王佬只是讲师罢了。事实恰恰相反，加到王佬微信后我与王佬对话很快就有回复，然后询问我的基础已经其他的一些问题，当时就感觉很真诚，所以就选择了加入Day1。对于一个大二的我来说，8500块对我来说是一笔巨资了。但是我想了一下，8500块在我毕业后可能也就是三四个月工资(hhh，也有可能更久)  但我不想有遗憾，即便是最后一无所获，我也就知道了我不适合这条路了，我还有时间可以去选择其他的方向。于是我就拿着大一攒下来的奖学金进入了Day1（其实是来的时候只交了4500，之后尾款是赚钱之后补的，感谢王佬对我的信任）。

于是，我就开启了我愉快的Day1之旅了。刚开始肯定是看课看视频啦，我当时寒假也没什么事，就报了个社区的志愿者天天坐在办公室里看王佬的视频。我刚来的第二天就有一场直播课，当时进去听了一个多小时吧，直接带挖，但当时我什么都不懂，只看到了满屏的666，吸收的很少(错过了

我来了之后的第一个项目是爱奇艺，因为刚开始学，就会个轰炸，就库库轰炸，只要有发验证码的地方就轰炸。有个接口还真有轰炸，当时开心的交报告，最后重复了。没几天就跟着一起去挖百度了，百度也挖到了一个小小的逻辑漏洞，我又是在开开心心的写报告交了，居然还给了5积分，但是！我过两天回来一看说是重复又给我收走了！

别提当时又多难受了。之后就到了过年，也就抓紧看看课，然后过完年就是开学。稳定下来的时候就是二月底了，附几张什么都不会的时候的截图

这张图是我当时url跳转以为是爆破呢

这个图是当时xss F12日全球(好尴尬

2月底我终于有了出货。

所以可以说我从挖到洞到1w用了大概一个半月从三月到四月初，是我最肝的一个月，一天基本上挖到在八个小时以上，经常就是熬到一两点。感谢所以帮助过我的师傅们，Day1的氛围是真的好。

庆尘师傅直接开腾讯会议指点我！骚操作真的太多了，让我一下子视野大开

师兄的指导和同期师傅们的相互鼓励和打气，轻松且专业的氛围（群里的信息不断，只要有问题问出来必然有人给你解答）

在三月份我可能得交了有近百分报告，各大src都交过，在腾讯真的都给忽略麻了，交了17个只过了一个，当时就想着没有动力了就去看师兄们的0-1分享，果然就是有效，看一个就有动力了。之后我挖到了我的第一个高危，接着下面的两个洞也是高危，也就是我三连高危。当时是真的开心，也是真的感觉有点小爽，一波活动双倍奖励就基本上有6000块了。

因为我真的挖低危真的通过的很少，和师傅吐槽的时候说了"我高危比低危挖的都多"然后这个就成了一个梗了hhh

期间也有一些几百块钱的中危。到三月底就有点爽了，一个站从看两眼没啥东西就跑到一个站能看好多天，一个功能点一个功能点的研究。根本不用看0-1，天天都有动力去挖。终于在4月中旬，在某SRC主站发现了一个信息泄露，挖到了我的第一个严重！给了2280元

至此超额完成0-1，赚到了人生的第一个1w,也挖到了某src的年榜第三的位置

当时忽略的报告，只是一部分，还有很多

出货就报喜这氛围谁能受得了

ps一些有趣的小故事：有一次由于分享骚操作没有录播只有直播的时候，十几秒的时间直播间就没座位了，还是师傅给我举着手机开微信视频看完的，太干货了，师傅们也太热情太爱学了！！！

最后要狠狠的推一波Day1，一周最少两节的直播课，还有师傅们的0-1分享，以及一期一期的活动，学不完根本学不完。遇到不会的，群里的师傅都会给你指点迷津，还可以和同期的师傅们畅谈，和同期的师傅们一起努力进步，来到Day1获得的资源以及知识不仅是在挖洞方面，还有专业的方方面面甚至是人生的方方面面。氛围真的没得说，出货了全群恭喜这你受得了吗！？还有不定期的全国下线哟，上一次没参加真的太可惜了。

这是我自己的一个公众号，会给大家分享一些SRC漏洞思路以及技巧和资料，有什么问题也可以私信我，看到都会及时回复的

核心价值观：It's always day 1 永远保持第一天接触网络安全的热情

原文始发于微信公众号（Day1安全团队）：关于我挖洞的经历