那些白帽子与 xray 的故事

很多人不满足现在的生活,觉得一生平淡无奇。从小到大循规蹈矩,读一个普通的高中,考一所普通的大学,再找一份普通的工作。
其实当一个普通人也是用尽了全力。当你的普通堆砌,人生就会变得不再普通,正如那些白帽子与 xray 的故事。

250$ 的任意重定向

  • id:nGlogicjo
  • 漏洞类型:任意重定向
  • 漏洞数量:一个

记得小E和我说过:“我之前交给某SRC的重定向,70元,我以为这是最贵的重定向,直到我看到 xray 交流群里面的小N。”
混迹在SRC圈子的白帽子都知道,一般情况下,一个重定向的价格也就几十、一百不到。我猜想小N是属于运气很好的那种。所以当时我采访了一下小N,小N是这样和我说的:“我惊呆了,原来只要把域名丢进xray就能挖到洞。”
你永远不知道自己有多厉害,就像你不知道自己的未来一样。但一个白帽子,会在“01”世界探索未知的快乐,未来就是你自己,别停下脚步就好。

xray 让我挣了半年房租

  • ID:但丁
  • 漏洞类型:注入
  • 漏洞数量:四个

我印象中的但丁是神秘且诗意的,从悲哀的地狱开始,到光明的天堂结束。这好像完全贴合白帽子的挖洞经历——没挖到前,是悲哀的地狱,挖到后就是光明的天堂。或许这就是这位白帽子ID取名但丁的原因吧。
众所周知,xray在注入上面一直都不是强项,一直主打的是xss。所以但丁和我说:“当看到漏洞类型的时候,半信半疑。”
虽然他半信半疑,但我相信他的实力。xray只是在他挖洞路上的一个助力工具而已,我相信,“挖洞致富”对他来说,一定不远。

感谢 xray ,让我挖洞挣学费

  • ID:Cyan
  • 漏洞类型:注入
  • 漏洞数量:2个

Cyan 是一名在校大学生。2019年8月26日,BSRC 发布了高危漏洞奖励翻倍的活动,这对于 Cyan来说真是十分心动。立竿见影进行了一波百度的子域名搜集,挂上 xray 代理开始进行鼠标乱点操作。可能是足够幸运,不一会就出了两个站的sql注入,赶紧验证,发现漏洞真实存在,提交给了 BSRC 审核后奖励了4000多元。
我不知道4000块对于一个城市孩子算什么,但是作为一个农村孩子,已经足够大学一年的学费了。

xray 作为一个渗透测试辅助工具,能在各位同学的成长道路上给予帮助,这就是 xray 一直想做的事。感谢有你,与我一路同行。