当前位置：首页 > news >正文

从零到提交第一个漏洞：一个非科班白帽的6个“野路子”实战阶段

news 2026/6/2 3:11:52

从零到提交第一个漏洞：一个非科班白帽的6个“野路子”实战阶段

别被“挖洞很难”劝退，我第一个漏洞是在厕所蹲坑时找到的

先说实话：我不是什么安全大牛。
大学学的是市场营销，代码全靠B站和百度。
第一次听说“漏洞挖掘”是在一个技术群里，有人发了个补天平台的截图，上面写着“奖金200元”。
我当时心想：这玩意儿还能赚钱？

然后我就开始了漫长的踩坑之路。
第一个漏洞花了我三周，是一个简单的越权漏洞，奖金150块。
虽然不多，但那种“我居然也能找到漏洞”的感觉，比钱爽多了。

下面这6个阶段，是我自己一步步走过来的。
不一定科班，不一定正统，但管用。

阶段一：先别想着搞大新闻，把“漏洞到底长啥样”看明白

我最开始犯的错特别蠢：
直接下载了kali Linux，打开 metasploit，对着一个随机网站乱敲命令。
结果啥也没发生。

后来一个老哥点醒我：你连漏洞长什么样都不知道，你拿什么工具都白搭。

于是我开始老老实实看“漏洞截图”。
什么意思？就是去翻公开的漏洞报告（补天、漏洞盒子都有公开的漏洞详情），专门看里面的POC（证明漏洞存在的截图或请求包）。

比如看到一个XSS漏洞报告，里面贴了一张弹窗截图，请求包里写着<script>alert(1)</script>。
我就照着这个请求包，自己去一个叫XSS game的网站（Google出的）去复现。

看得多了，你会形成一种直觉：
“哦，这个地方把输入原样返回了，可能有XSS。”
“这个参数是数字ID，改一下可能越权。”

这一步没啥技巧，就是多看、多抄、多复现。
推荐几个可以看真实漏洞案例的地方：

补天公开漏洞
HackerOne 公开报告（英文）
先知社区的漏洞分析

目标就一个：让你脑子里有一个“漏洞画像”。

阶段二：不买书不报班，就用三个免费靶场把胆子练出来

很多人喜欢收藏书单：《Web安全深度剖析》《渗透测试实战》……
我不反对读书，但第一个月，别碰书，直接上手干。

我推荐三个免费的、在线就能玩的靶场，按顺序来：

WebGoat（OWASP出品）
每个漏洞都有教程和题目，你做错了它会提示。
我当年做“SQL注入”那课，死活注入不出来，最后发现是空格被过滤了，改成/**/绕过——那一瞬间比打游戏通关还爽。
PortSwigger的Web Security Academy
这个稍微难一点，但每个lab都有“提示”按钮。
你不用全做完，只需要把SQL注入、XSS、越权、文件上传这四个类型的初级lab做一遍。
DVWA（本地搭或者用在线版）
这个有点老了，但好处是难度从Low到Impossible。
你用Low难度手工打一遍，然后看Impossible的代码，就知道漏洞是怎么被修掉的。

我当年怎么练的？
每天下班后花1小时，打开一个靶场，只练一个漏洞类型。
比如周一练SQL注入，周二练XSS，周三练越权……
一周下来，你对这几种漏洞的敏感度就上来了。

关键点：不要用自动化工具（SQLMap、XSSer），全部手工。
手工打出来一次，工具只是帮你省时间；
手工打不出来，工具就是黑盒瞎蒙。

阶段三：工具只学三样，多一个都不要碰

我见过太多新手，桌面上装了一排工具：
Burp、Nmap、SQLMap、Dirsearch、Wfuzz、Hydra、John、Metasploit……
结果每一个只会“点一下扫描”。

我第一个漏洞之前，只用三样东西：

Chrome浏览器（F12开发者工具）

看网络请求（Network标签）
改页面HTML（Elements标签）
存Cookie、改localStorage

Burp Suite社区版

抓包（Proxy）
重放（Repeater）
改参数然后发送
会用Intruder做简单的数字爆破（比如遍历ID）
就这些功能，够你用半年。

Notepad++ 或 VS Code

存下各种测试Payload
整理请求包模板

为什么不学更多？
因为第一洞不需要。
SQLMap是帮你自动注入的，但你手工都找不到注入点，它也没用。
Nmap是扫端口的，但SRC一般只让你测几个特定域名，不需要扫端口。
Dirsearch是扫目录的，但新手扫出来的大多是404，反而让你失去信心。

相信我，把Burp用熟，你已经超过80%的新手。

阶段四：找目标，从“软柿子”开始捏

很多人第一反应是：去挖百度、阿里、腾讯的漏洞。
然后灰头土脸地回来，说“挖不到”。

我给你一个降维打击的策略：
去挖那些偏门的、没人注意的、但合法的小目标。

哪里找？

各大学校的漏洞接收平台（很多高校有自己的SRC，或者用补天/漏洞盒子托管）
高校系统有几个特点：老旧、第三方外包、长期没人维护。
我第一个越权就是在某高校的旧版教务系统里找到的——直接改student_id参数就能看别人成绩。
补天上的“公开项目”
注册补天后，能看到很多“公开”状态的项目，测试范围明确，而且有保底奖金（哪怕你只写个报告，也有10-50元）。
自己所在公司的内部系统（如果公司有SRC或者允许内部测试）
我有个朋友，在自己的公司OA系统里找到了一个文件上传漏洞，直接拿了个高危，奖金2000。

关键心态：别嫌漏洞小。
反射型XSS、信息泄露、路径遍历、越权查看他人信息——这些“低危”或“中危”，恰恰是新手最容易拿到的。
第一洞的意义不是奖金，而是打通整个流程：
目标 → 测试 → 发现 → 报告 → 确认。

一旦流程跑通了，后面的漏洞会像滚雪球一样来。

阶段五：挖掘漏洞不用花里胡哨，就用“遍历功能点+乱填参数”

我最怕新手问我：“怎么找漏洞？”
因为这个问题太大。
我换个问法：“你现在对着哪个页面？它有几个输入框？几个按钮？”

方法极端简单，但有效到离谱：

步骤1：把目标网站的所有页面和功能列出来
比如：

首页（只有搜索框）
登录页（用户名、密码、验证码、登录按钮）
注册页（用户名、手机号、密码、注册按钮）
个人中心（昵称、头像上传、修改密码）
订单页（查看订单、取消订单）

步骤2：针对每个功能点，用“乱填参数”去测

举几个真实例子：

搜索框：输入单引号'看有没有报错（可能有SQL注入）。输入<script>alert(1)</script>看有没有弹窗（XSS）。
上传头像：上传一个test.php.jpg，看能不能绕过后端校验（文件上传漏洞）。
修改个人资料：抓包，把user_id改成别人的ID（水平越权）。
重置密码：抓包，看验证码是不是在URL里返回（逻辑漏洞）。
查看订单：订单号是order_id=1001，改成1002（越权）。

我第一个漏洞就是这么来的：
一个重置密码功能，提交手机号后，抓包发现响应包里直接返回了6位数字验证码。
那我是不是可以重置任何人的密码？
试了一下，填入别人的手机号，果然返回了他的验证码。
这就是一个中危逻辑漏洞，提交后第二天就确认了。

这个方法笨吗？笨。但100%能找到漏洞，只是时间问题。

阶段六：写报告，别让审核帮你“考古”

挖到漏洞后，很多人兴奋得手抖，然后写了个一句话报告：

“有越权，改ID就能看别人信息。”

审核看到这种，大概率先扔一边。
不是不认可你的漏洞，而是无法复现。

我吃过亏。第一次提交，截图只截了半张，没截全URL。
审核回来说：“麻烦提供完整URL和Cookie。”
我又回去重新抓包，浪费了半天。

后来我总结了一个报告模板，照这个写，审核必看：

报告模板（复制即用）

漏洞标题：
[功能点] + [漏洞类型] + [危害简述]
例：重置密码接口存在验证码泄露，可导致任意账号密码重置

漏洞类型：
（选填：SQL注入/越权/XSS/逻辑漏洞/文件上传等）

漏洞等级：
（自评高危/中危/低危，参考平台标准）

漏洞详情：

复现步骤：

第一步：访问 http://xxx.com/reset
第二步：输入手机号 13800000000
第三步：点击获取验证码，抓包
第四步：查看响应包，发现验证码为123456

请求包（从Burp复制）：

http

POST/resetHTTP/1.1 Host:xxx.com ...mobile=13800000000

响应包：

http

HTTP/1.1200OK ...{"code":0,"msg":"success","data":{"verifyCode":"123456"}}

漏洞证明截图：
（至少2张：操作截图 + 效果截图）

修复建议：
（可选）不要在响应包中返回验证码，验证码应通过短信发送且有时效性。

写报告的原则：

让一个完全不懂技术的人，照着你的步骤也能复现
截图要包含URL地址栏
不要删敏感信息（但注意不要泄露别人真实数据，用测试账号）

我后来靠这份模板，提交了十几个漏洞，确认率90%以上。

最后说几句真心话

从零到第一个漏洞，其实不是技术问题，而是路径问题。
你不需要成为安全专家，不需要懂汇编、逆向、内核。
你只需要：

知道漏洞长什么样 → 用靶场练出手感 → 学会Burp抓包改包 → 找个软柿子目标 → 挨个功能乱填参数 → 把报告写清楚

这6件事，一个周末就能跑通流程，一个月内大概率拿到第一洞。

我见过最快的人：周五晚上开始学，周日晚上提交第一个反射型XSS，周一早上确认。
我也见过最慢的人：收藏了20G教程，半年过去了还在收藏。

别做后者。

如果你已经在路上了，不妨今天就去注册一个补天或漏洞盒子的账号，找一个公开项目，对着它的登录框、搜索框、个人中心，一个一个参数改着试。
你的第一个漏洞，很可能就在下一次回车之后出现。

如果这篇文章帮你迈出了第一步，欢迎回来留言告诉我。
我也会继续写更具体的漏洞类型实战，比如“如何系统地挖越权”“XSS的三种绕过姿势”等。

挖洞路上，你并不孤单。

学习资源

如果你也是零基础想转行网络安全，却苦于没系统学习路径、不懂核心攻防技能？光靠盲目摸索不仅浪费时间，还消磨自己信心。这份 360 智榜样学习中心独家出版《网络攻防知识库》专为转行党量身打造！

01内容涵盖

这份资料专门为零基础转行设计，19 大核心模块从 Linux系统、Python 基础、HTTP协议等地基知识到 Web 渗透、代码审计、CTF 实战层层递进，攻防结合的讲解方式让新手轻松上手，真实实战案例 + 落地脚本直接对标企业岗位需求，帮你快速搭建转行核心技能体系！

这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】

**读者福利 |******[CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享

02 知识库价值

深度：本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。
广度：面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。
实战性：知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。