我2024年在国外赏金的挖洞经验分享

在开始之前先讨论一下BBP和VDP的区别

BBP 就是我们常说的有赏金的厂商,  VDP就是我们常说的公益厂商，在h1上面

挖这两种厂商都有积分，对此国外顶级BB人那个李也讨论过刷VDP的坏处，有些人会刷VDP的积分来刷自己的h1排名，但是这样会让平台的体验越来越差(之前我也刷过一点vdp,  后面了解到这个问题以后就不刷了)，所以h1现在把两种积分进行区分，而Bugcrowd 则是修改为vdp 厂商不给积分。

知名挖洞佬邦邦则是比较激进，他希望积分完全删除，但是目前hackerone 没有这么做，只是将两种类型的积分进行区分。

以至于出现了这种沙雕图

hackerone 上可以通过点击BBP获取BBP的积分排名，点击VDP获取VDP的积分排名，比如下面就是VDP积分，非常不推荐刷VDP, 原因那个李有解释

访问这个url可以看见这张图，这是BBP的排名

https://hackerone.com/leaderboard/country?year=2024&quarter=1&owasp=a1&country=CN&assetType=WEB_APP&tab=bbp

quarter = 1 表示第一季度，tab=bbp 表示赏金厂商积分，owasp=a1 表示所有漏洞类型， country=CN 表示中国区

图上显示我是hackerone 中国区第一季度第三

访问这个URL

https://hackerone.com/leaderboard/country?year=2024&quarter=2&owasp=a1&country=CN&assetType=WEB_APP&tab=bbp

图上显示我是hackerone 中国区2024第二季度第二

后面因为我切换区服，切换到其他区服，所以其他季度没有排名

以下是hackerone部分赏金截图

这是bugcrowd 部分赏金截图，有个0刀是因为那个域名超出范围 ，厂商决定不给钱只给积分

其实说到底我只是一个菜鸡中的菜鸡，本着随便试试的想法，就去试了一下，我就发现了，在国外SRC挖洞也没那么难，至少比我想象中的简单得很多

首先对我最大帮助的是在南风有椰的推荐下阅读了三咖喱(samcurry)以及邦邦(bombon)的文章，从他们两个人的文章我学到了非常非常多有用的东西，非常有价值，三咖喱的文章记录了他挖掘苹果，特斯拉，以及各种汽车公司的漏洞，不得不说对我挖洞很有启发，必须给他点一个大大的赞，邦邦的内容也很多汁，从邦邦的文章我学会各种缓存相关的漏洞的方法以及各种越权的骚操作

让直接拿文章的内容来举例子，用例子来说明更通俗易懂

比如https://samcurry.net/web-hackers-vs-the-auto-industry

这篇文章

这个文章提到的漏洞不难理解，就是逻辑漏洞导致的账号接管，But Find Bug is easy, But Find scope is Hard…….

我们应该思考的是，他是如何找到这个域名以及如何找到这个功能点的。

运行subfinder -d bmwgroup.com | httpx -sc -title -fr 命令

我们可以发现很多域名都重定向到https://auth.bmwgroup.com 这样的域名

检查这个域名可以发现，这个是SSO系统所在的域名

点击更改密码就会跳转到 xpita.bmwgroup.com 这个域名，也就是漏洞所在的域名

  这就是我们常说的Find Bug is easy, But Find scope is Hard…….

再看下一个例子

这个也是一个简单的逻辑漏洞，通过错误配置的SSO，访问内部系统

这个域名umas.mercedes-benz.com 有个注册功能，在这个域名注册以后，用注册的账号密码登录

git.mercedes-benz.com , 里面泄露了大量敏感信息，后面利用这些泄露的信息进一步利用直接RCE了

回答我， look at my eyes, tell me why? why baby？why？

https://umas.mercedes-benz.com/ 这个域名的注册功能是如何找到的？

回答我，回答我

直接访问就是404，

答案是时光机就有，访问时光机所在的那个URL，直接跳转到注册功能

时光机拿了MVP

Find Bug is easy, But Find scope is Hard…….

然后拿邦邦的这篇文章举个例子，这篇文章介绍缓存中毒导致存储XSS

通过阅读这篇文章，我在rei.com 挖了一个主站存储XSS

所以通过阅读国外一些精品文章(主要是少而精，我不喜欢大量阅读文章，这样容易今天看明天忘，我喜欢一篇文章细嚼慢咽慢慢品味)，并且在平台试验一下文章用到的思路，在每天挖洞时间不足1个小时的情况下挖到了这个成绩，这个结果对于我来说我感觉还是很满足的。

在文章的最后打一下广告，想要和朋友们一起搞一个国外漏洞赏金文章和报告解释，目前国内没有人在弄，主要就是通过靶场来解释漏洞赏金报告和文章，包含靶场的部分，这样可以更好地理解文章或者报告的内容,   主要是面向自学能力比较弱的师傅，之前有师傅跟我反映过国外的文章和报告看不懂，不知道从哪里入手，所以针对这部分师傅的需求开这门课。

但是话又说回来，如果你的自学能力不错，那么完全可以自学，毕竟我也是自学的，虽然也报过班，但是主要是图个氛围，而且其实我也是强烈强烈推荐自学，国外的公开的文章和报告的各种思路已经完全够你入门到进阶到精通一条龙服务了。

我开课的主要原因是今年打算把重心放在挖一些高价值漏洞上面，而不是像去年那样一直在水洞了，而且主要也是想尝试挖出来国外那些挖洞佬们挖到的多汁的漏洞，比如这篇文章提到的这种。但是我知道自己几斤几两，现在还是菜狗中的菜狗，需要菜就多练，所以在我今年这种激进型挖洞风格下，也许可能啥也挖不到，这样不免有点焦虑，所以需要一些额外的收入对冲一下激进型挖洞带来的风险，简单来说就是今年想整点活，但是怕活没整出来，但是还花费了大量的时间，所以想做一下风险对冲。

再提一嘴，如果自学能力强而且是想挖国外src的话，看国外的公开资料就完全够了，因为我也是自学的，我也很享受自学的时候那些放松，按照自己进度自由安排的感觉。

Find Bug is easy, But Find scope is Hard…….