安全路透社
当前位置:安全路透社 > 网络转载 > 正文

没钱谈挖漏洞有毛用?记我初次参与漏洞赏金项目赚大钱

初次参与漏洞赏金项目赚大钱

漏洞赏金项目(Bug Bounty Programs)是一项非常奇妙有意思的事情,此文主要目的在于激励安全研究人员、黑客和一些兴趣人士积极加入到漏洞赏金项目中来,这里我不谈具体技术,只分享我一点点挖洞经验和感受,希望勾起你对漏洞赏金项目的一丝丝兴趣。在我初次参与到漏洞赏金项目的过程中,我就发现了10个漏洞,赚取了$19800美金,且听我慢慢说来。

什么是漏洞众测项目

漏洞赏金项目(Bug Bounty Programs)是以一种负责任的方式,向软件或系统供应商、开发商或使用商上报安全漏洞。对漏洞涉及主体来说,这是一种积极的安全防护方式,对白帽黑客来说,也能实现赚钱目的,而且还有机会被列入漏洞名人榜。对安全两方来说,这无疑是一种双赢方法。

像Facebook、Google或Microsoft等大公司都设立了自己的漏洞赏金项目,而且,很多知名企业厂商也在流行的第三方众测平台中开设赏金项目接收漏洞。这些流行众测平台包括HackerOne、Bugcrowd等,这种按照提交漏洞等级,给予相应赏金的漏洞上报模式,可以有效避免某些漏洞被转售利用或扩散,对漏洞涉及公司厂商造成直接安全威胁,所以本质上来说,这是对某些安全产品或系统的一种积极特定的安全防护方式。

漏洞赏金项目选择标准

我曾在HackerOne上一些赏金项目公开的漏洞中经常看到,有人上报了一个简单的XSS漏洞后只赚了几块钱,每每此时,我都会心生感慨:如果是我,会不会也这样?所以,为了证明自己,我决定撸起袖子好好参与一回漏洞赏金项目玩玩。

在选择漏洞赏金项目初期,我遵循以下几个标准:

项目必须明确清晰的测试规则和测试范围;

漏洞提交后厂商必须具备良好的响应效率;

项目具有良好的赏金支付水平;

项目针对可访问的东西,必须具备清晰的范围界定;

最后,当然还得比较有趣,有意思。

选择漏洞提交厂商

由于我一直在研究嵌入式安全,也就是IoT攻防那一套,因此我筛选到了一家适合我专业方向的厂商Ubiquiti Networks(UBNT,中文叫优倍快网络公司),它家的漏洞众测项目中具备明确的规则、清晰的测试范围和不错的赏金支付水平,并且也非常看重固件漏洞。虽然HackerOne上还有另外一家赏金可观的厂商,但我选择Ubiquiti Networks的目的在于,它的赏金支付水平和效率相对较高,只要漏洞一经确认,就会很快兑现赏金,不像其它厂商那样拖拖拉拉要等补丁修复才会支付赏金。

选择漏洞测试目标

接下来我要做的就是选择漏洞测试目标,经过一番研究和与朋友的讨论之后,我决定在线购买一个UBNT生产的EdgeRouter X多功能路由器来作为测试目标,该路由器连着快递费共花了我100美金左右,我想,只要我能发现它的一个简单XSS漏洞,或许就能挣150美金,也算赚的了吧…

初次参与漏洞赏金项目赚大钱

我5月30号在线下单这个路由器,两周后的6月14号才收到。

漏洞挖掘测试

在此,像文章开头那样,我再次重申一下,本文我不谈详细的挖洞技术,只分享我参与该漏洞测试项目的一些经验观点,以激发那些想参与类似项目的有志朋友,积极投身漏洞众测项目中来,早日赚钱成为高帅富迎娶白富美,哎,又扯远了….。

闲话少说,在我收到路由器的那天,我就一直工作到晚上9点才下班,回家之后,我想在电脑上配置路由器查看它的WEB接口,看看其网页管理方面可能存在的一些漏洞。

在经过对其HTTP消息的分析之后,我发现了一个存在于只读配置用户(如普通操作用户operator)中,能像root身份一样执行设备命令的漏洞。我研究该路由器设备的刚开始,就发现了该漏洞,这完全令我出乎意料。由于该漏洞需要在只读配置账户下才能成功被利用,所以我觉得其漏洞价值应该不会太大。因此,我觉得它仅只是一个简单的提权漏洞,还不是真正意义上的远程代码执行漏洞(RCE)。

编写漏洞报告

这有一点重要提示:你必须尽可能地把漏洞描述清楚明白,因为这会直接影响到厂商的回应速度,以及最终的赏金奖励。

漏洞报告的主要目的在于,具体地描述漏洞产生的细节,写清楚漏洞带来的影响威胁,有助于厂商进行漏洞再现测试,一旦厂商分析师或安全专家看到这种详细的漏洞报告后,他们就能明白漏洞存在的大概原由,并能再现分析漏洞。所以良好的漏洞报告,从某种意义上来说,会提高厂商漏洞分类筛选和赏金发放效率。

重要的是,还须在其中解释清楚漏洞可被复现,可能的话,你可以重置应用(回到原始安装状态),记录下复现漏洞的每个步骤。对于嵌入式设备来说,须在报告中注明所测试中用到的硬件和内置固件版本。

就比如,我报告的一个漏洞,它的利用条件仅限在WEB接口的初次认证条件下才行,但在漏洞报告中我却忽略了这一细节,所以导致后来我与厂商之间进行了多次沟通,才把该漏洞说清楚,形成双方对漏洞复现的统一共识。

继续….,在一个周四的晚上,我详细地编写了漏洞报告,尽量把每一步都说的清清楚楚,之后通过HackerOne平台发送给了厂商。

初次赏金

第二天早上一醒来,我象往常一样用手机检查我的邮箱回信,突然我看到了两封来自HackerOne的邮件,我本能的反应是,难道我在漏洞报告中缺失了哪个步骤,忘记了什么东西?还是该漏洞已经有人上报了?哦…,那分钟的忐忑不安简直了。

经过查看,我非常高兴,第一封邮件为漏洞分类相关内容,表明该漏洞已经被厂商确认生效了。

我已经很满意了,想着这种漏洞应该会在250美金左右吧。当我打开第二封邮件时,其中竟然为赏金确认内容,它的意思是该漏洞赏金已经确定待支付。哦,太好了,在我上报漏洞后不到半天,漏洞就已经确认并确定了赏金。但更让我高兴的是,这不是250美金,这是1500美金!比我想像的要多得多,足够可以买15个路由器了。

初次参与漏洞赏金项目赚大钱

私密测试项目邀请

在几分钟之内赚取1500美金,这种事情足以让我上瘾着迷。而且这还是在休假时发生的事。以至于在后来的休假中,我把周末也搭进来对Ubiquiti Networks产品进行漏洞挖掘。

之后,我又陆续发现了4个漏洞,其中一个被确定为已有人上报,另外三个被确认生效,分别被给予赏金150、150和500美金,赏金相对较少,主要原因是这些漏洞利用条件须与用户进行交互,且漏洞已在内测版固件中被发现。

逐渐地,我喜欢上了这种漏洞赏金项目,并希望能有所成就。但由于我没有多少周末时间,磨刀不误砍柴工,为了发现更好的漏洞,我决定在周末抽一些时间来加强学习。但在6月的一天,我收到了一封来自Ubiquiti Networks公司的私密邀请邮件,他们邀请我参与其一款新产品EtherMagic的内测,如果我接受邀请,将会收到一套免费的EtherMagic产品。我很意外也很高兴,或许这是Ubiquiti Networks公司对我上报漏洞的认可。

初次参与漏洞赏金项目赚大钱

‘别让桑巴死去’ – 继续

在收到Ubiquiti Networks的内测产品之前,我花了很多时间去研究一些老版本EdgeRouter路由器可能存在的漏洞,出人意料,我又发现了两个新漏洞。有之前测试版本固件漏洞赏金不高的前例,我试着在最新的发行版上来测试这两个漏洞,结果我又成功了,上报了这两个漏洞之后,其中一个获得了大概1000美金,另外一个获得了1500美金赏金。

我来算算:第一个漏洞 $1500 + 后续漏洞$150 + $150 + $500 + 新发现漏洞的$2500,在几个周末的业余时间里,我已经赚了$4800美金!

新产品漏洞测试

两周后,我收到了Ubiquiti Networks的新产品,起初,由于我想拆开该产品,打算将其焊接引脚连接到UART接口,我想这可能会对产品设备造成破坏,毕竟一旦设备坏了Ubiquiti Networks官网是不支持购买的,由于这是一个测试版本,其功能有限,Ubiquiti Networks暂时还未提供任何相应的固件下载。所以,我唯一能做的就只能从该设备中提取固件信息,然后通过这些固件信息分析,发现其中的一些可利用和访问的应用。(具体测试细节我会在后续发文中公布)

初次参与漏洞赏金项目赚大钱

时间已是深夜,我一遍又一遍地尝试访问该设备固件,非常疲惫。然而,由于我缺乏一些底层硬件知识,我决定使用bootloader命令,也就是U-Boot系统引导方式,来对FLASH存储器进行加载读写。当它停止加载且在重启之后,LED灯甚至都不亮,此时我心都提到嗓子眼了,我记得有这样一个玩笑:不要玩硬件,因为它无法做备份。好在我的一个朋友帮助了我,他答应把他的硬件和我交换,就这样,我又能继续完成之后的测试了。

Talk is cheap. Show me the money!

与从固件到应用的自下而上分析不同,我尝试使用自上而下的调查分析,也就是说,我要找到一种简单的方法路径,而不是继续对固件进行底层访问。该产品设备采用了一种甚至不属HTTP的特定协议,所以为了测试,我还作了一些硬件刷新和大量基于Wireshark / tcpdump的流量分析。

非常幸运,最终,我发现上报了该新产品设备的三个严重漏洞,经Ubiquiti Networks公司确认,这三个漏洞单个赏金就达$5000美金,所以这次内测我又收获了$15000美金,爽吧。遗憾的是,由于这是一次新产品EtherMagic的内测项目,Ubiquiti Networks不许我公开披露更多漏洞细节,所以我也只能就此打住。另外,也就在这波漏洞奖励之后,Ubiquiti Networks宣布由于测试超出范围,EtherMagic内测项目被暂时冻结。

漏洞赏金总计

也就是我参与Ubiquiti Networks公司漏洞赏金项目那个月开始,前前后后算下来,我一共发现上报了10个漏洞,其中1个是已经有人上报的重复报,另外9个漏洞则为我赚了总共 $19800美金。

初次参与漏洞赏金项目赚大钱

同时,我在Ubiquiti Networks公司的漏洞致谢榜中排名第5

初次参与漏洞赏金项目赚大钱

总结

虽然本文不是一篇漏洞技术报告(后续我会发文披露),但我希望它能是一篇很好的阅读参考材料,能激发更多人参与到漏洞赏金项目中来。小编提醒你,国外有HackerOne,国内有漏洞盒子,来吧,我们在这等着你。

*参考来源:hacknroll,FreeBuf小编clouds编译 

未经允许不得转载:安全路透社 » 没钱谈挖漏洞有毛用?记我初次参与漏洞赏金项目赚大钱

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册