7个让我赚取漏洞赏金的技巧
原文链接: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247497805&idx=1&sn=8e219abdc3c2828bd937f2aaa04b6cd7
7个让我赚取漏洞赏金的技巧
迪哥讲事 2025-07-04 09:32
forever young
不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人
01
背景
安全小白团
在漏洞赏金狩猎中,侦察(Recon)往往是决定成败的关键一步——但大多数人只停留在常规扫描,却忽略了那些隐藏的“非主流”攻击面。本文将分享7个让我成功斩获高额赏金的侦察技巧,涵盖子域名爆破、历史URL挖掘、GitHub敏感信息泄露、JS文件分析、参数探测、S3存储桶狩猎以及子域名接管。这些方法不仅帮助我发现了多个关键漏洞,更重要的是,它们能让你在众猎手中脱颖而出,找到别人遗漏的漏洞!
准备好了吗? 让我们从那些“非常规”的侦察手段开始——它们或许就是你拿到第一笔赏金的突破口! 🕵️♂️💸
02
七个技巧
安全小白团
- 使用自定义字典枚举子域名
目标:通过暴力破解排列组合,发现别人遗漏的子域名。
工具:Am
ass、altdns、httpx
# 步骤1:使用amass被动枚举子域名
amass enum -passive -d target.com -o subs.txt
# 步骤2:生成排列组合(如 dev-api → api-dev、beta-api)
altdns -i subs.txt -o permutations.txt -w ~/bugbounty/wordlists/altdns_words.txt
# 步骤3:解析存活的子域名
httpx -l permutations.txt -silent -o live_subs.txt
漏洞发现:dev-admin.target.com —— 未授权访问的管理面板
- Waybackurls + GF 模式匹配隐藏端点
目标:从历史存档数据中提取含漏洞参数的URL。
工具:waybackurls、gf、uro(去重)
# 步骤1:获取历史URL
waybackurls target.com > urls.txt
# 步骤2:筛选SSRF/XSS相关URL
cat urls.txt | gf ssrf | uro > ssrf_urls.txt
cat urls.txt | gf xss | uro > xss_urls.txt
# 步骤3:测试存活端点
httpx -l ssrf_urls.txt -status-code -title -tech-detect
漏洞发现:redirect.php?url=//attacker.com —— 开放重定向漏洞
- GitHub Dorking 寻找API密钥
目标:在公开代码库中搜索敏感信息。
工具:GitHub搜索语法 + truffleHog
# GitHub搜索:
"target.com" AND ("api_key" OR "secret" OR "password")
# 自动化密钥扫描:
trufflehog git https://github.com/target/repo/ --json | jq
漏洞发现:在.env文件中找到AWS密钥
- 使用LinkFinder挖掘JS文件中的秘密
目标:从JS文件中提取隐藏API端点。
工具:LinkFinder、httpx
# 步骤1:爬取JS文件
python3 LinkFinder.py -i https://target.com -o js_endpoints.txt
# 步骤2:搜索关键词(api/token/admin)
grep -E "api|token|admin" js_endpoints.txt
# 步骤3:探测存活端点
cat js_endpoints.txt | httpx -path /api/v1/deleteUser?userId=1234
漏洞发现:在压缩JS文件中找到硬编码的AWS凭证
- 使用Arjun挖掘隐藏参数
目标:发现未公开的HTTP参数。
工具:Arjun、ParamSpider
# 使用自定义字典扫描参数
arjun -u https://target.com/login -w ~/wordlists/params.txt -o params.json
# ParamSpider自动化扫描
python3 paramspider.py -d target.com --exclude png,jpg
潜在漏洞:?debug=true 可能泄露用户会话Cookie
- S3 存储桶狩猎
目标:寻找配置错误的AWS存储桶。
工具:s3scanner、AWS CLI
# 步骤1:暴力破解存储桶名称
s3scanner scan -t 50 --region us-west-1 --bucket-wordlist common_buckets.txt
# 步骤2:检查权限
aws s3 ls s3://bucketname --no-sign-request
aws s3 cp s3://bucketname/config.yml . --no-sign-request
漏洞发现:开放的存储桶包含用户数据
- 子域名接管自动化
目标:识别未解析的DNS记录。
工具:Subjack、nuclei
# 步骤1:查找易受接管的CNAME记录
subjack -w live_subs.txt -t 100 -o takeovers.txt
# 步骤2:使用Nuclei模板检测接管漏洞
nuclei -t ~/nuclei-templates/takeovers/ -l live_subs.txt
漏洞发现:成功接管废弃子域名
03
总结
安全小白团
侦察(Recon)是漏洞赏金狩猎中最具创造性的环节之一——它不仅是技术活,更是一场思维游戏。本文分享的7个技巧,从子域名爆破到存储桶狩猎,从JS文件分析到参数挖掘,每一条都经过实战验证,帮助我成功提交了多个高价值漏洞报告。
关键在于:
✅ 自动化 + 自定义字典(覆盖更多可能性)
✅ 历史数据挖掘(Wayback Machine/GitHub)
✅ 关注边缘资产(子域名/S3存储桶/JS文件)
现在轮到你了! 拿起这些方法,去挑战你的下一个目标吧。说不定下一个被厂商致谢的猎人,就是屏幕前的你。Happy Hacking!
参考及来源:
https://infosecwriteups.com/7-recon-tricks-made-me-earn-bounty-dc46b32724a6
04
免责&版权声明
安全小白团
安全小白团是帮助用户了解信息安全技术、安全漏洞相关信息的微信公众号。安全小白团提供的程序(方法)可能带有攻击性,仅供安全研究与教学之用,用户
将其信息做其他用途,由用户承担全部法律及连带责任,安全小白团不承担任何法律
及连带责任。安全小白团所分享的工具均来自互联网公开资源,我们不对工具的来源进行任何形式的担保或保证。
用户在下载或使用本公众号分享的
工具前,应自行评估工具的安全性。我们无法对工具可能存在的病毒、木马或其他恶意软件负责,因此造成的任何损失,安全小白团不承担任何责任。
欢迎大家转载,
转载请注明出处。
如有侵权烦请告知,我们会立即删除并致歉。谢谢!
如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
