前言
2024网安界跑出一匹引人瞩目的黑马
仅用一年挖洞收入突破100万+的百万赏金猎人
2024腾讯SRC年榜第一
而就在这一年前
他仅仅是一个因为挂科留级的大一“新生”
他说,他是天才小火炬
2024 创造挖洞奇迹
2024年,网络安全领域迎来了一位耀眼的新星,他用一年时间创造了令人瞩目的成绩:挖洞收入突破100万元,成为腾讯SRC年榜第一,并刷新了腾讯SRC有史以来的年榜最高分纪录。不仅如此,他还获得了2024年腾讯双十一保卫战师长(第三名)、HackerOne中国区第三季度第五、Boss直聘SRC 2024年第十、微博SRC 2024年第七、UCloud SRC 2024年第五等荣誉。
而在这些耀眼的成就背后,他曾经只是一个普通的游戏少年,小学时就开始偷偷玩游戏,高中时更是沉迷其中。也正是因为热衷网上冲浪,高二时,结识了网络安全的很多大神,那时候觉得他们好厉害,太牛了。
接触到了网络安全的“挖洞”世界后,从此一发不可收拾。他的故事,就像一部精彩的逆袭剧本。
正如他所说:“没有特别崇拜的对象,我觉得我最牛逼。”
2024年收入证明
2024腾讯SRC年榜第一
腾讯SRC有史以来的年榜最高分纪录
挖海外第一个月上万美刀
双十一安全保卫战"师长"称号
挖洞之旅 从迷茫到突破
“一篇文章先不管它水不水,它里面多少都会有一点能用得到的东西。”
因为没有系统性的学习,我前期基本上就是有问题就查资料,追着北山还有其他人士问,还有知识星球,平时没事的时候公众号CSDN 、Git Hub,各种各样的文章都看,现在基本上都是看Medium,看得多了总有一天挖洞的时候能用得上。有的时候一个问题研究一晚上也研究不明白,很痛苦!是兴趣让我坚持下来,挖不到的时候全都是靠 CTF 平台刷题那种正反馈来坚持的,看到别人的赏金很羡慕,他们怎么可以挖到这么多的,天天就是各家 SRC排行榜一个一个翻,看他们兑换的奖金来激励自己。
挖不到洞的时候我会很焦虑,有时候找北山他们要新思路,但是总归是别人的东西,这次给了下次呢,还是得靠自己。还有就是去刷那种垃圾洞,这也是一个办法,去刷一些公益 SRC 、 EDU SRC漏洞或者是小厂商企业SRC ,虽然说钱少,但是你刷完之后你就有感觉自己在产出,就是有正反馈有动力,这样才可以可以去接着静下心来去看那些更高等级的一些思路了。
挖不到洞可以,但是你正反馈要有,这样才能哄着自己坚持下去。
通杀思路的迷茫
如何找到属于自己的“金钥匙”
发现通杀思路是一个很机缘巧合的事情,当时有人在聊天群发了个卡屏代码,我点了一下发现qq直接卡死无响应退出,然后我就想会不会其他安卓app也有,我就去研究,花了很久的时间去研究,最后发现这个其实是安卓app官方的字符串渲染组件的一个漏洞,最后这个思路谷歌给了2000美金,并且各大平台前前后后捡了差不多1w元。
当时在刷这个通杀的时候,就会侧面给自己一种危机感,抱着一种刷完了怎么办这种想法,然后刷完之后我就开始研究别人的思路,就是他们放出来的那些各种各样的逻辑漏洞,各种各样的一些TOP10 的绕过这些。看了他们的思路之后就开始重点关注和研究这类的漏洞。
我经常翻阅关于oauth2.0的文章和一些传统的攻击手法,一开始也是针对传统攻击手法挖掘到了一个华为的,劫持了登录凭证,但是无法利用,然后转头研究腾讯的,结合之前看到的一些文章和打ctf的时候了解到的一些特性,发现了通杀问题。
就这样,我开始了研究通杀思路。
送你通杀思路
开启你的挖洞之旅
一开始我也是加了各种各样的知识星球自己摸索,花费很多时间效果也不好,还把人弄得很焦虑。自学就等于是先走别人给你铺好的路,走到最后肯定是要自己去找新思路的,不可能说一辈子都是别人给思路的。
挖洞这条路认识了很多人,也发现有很多人跟我刚开始挖洞时一样迷茫,所以开了这个课程,希望能帮助更多像我一样的“挖洞小白”快速成长。
这套课程的亮点在于:
独家通杀思路:我将毫无保留地分享自己发现的通杀思路,让你在挖洞之路上少走弯路,学到即可上手刷分;
举一反三:学会自己生火做饭好过一直走别人铺好的老路,我将带你拓展思维,学会自己发现通杀思路;
触类旁通:低中危漏洞如何升级成高危漏洞,其实也是有一定技巧,这些我都会在课程中无保留分享。
无论你是初学者,还是已经有一定基础的“挖洞人”,这套课程都能为你提供全新的视角和灵感。
FreeBuf报名福利
接轨实战项目 学完即上手
FreeBuf也给大家争取到了报名福利!通过FreeBuf报名课程后,你不仅能学习到独家的通杀思路,学完之后将有机会参与真实项目实战,通过实际操作,快速积累经验,提升自己的技术能力。
扫码加椰子微信
即可加入小火炬本人亲自带队的学习交流群,
还可免费获得价值99的直播课一节,
仅限前100名,先到先得!
无论你此前在学习的道路上有过怎样的经历
此刻都是全新的起点
学习这件事,现在开始就不算晚!
