现在只对常读和星标的公众号才展示大图推送，建议大家能把渗透安全团队“设为星标”，否则可能就看不到了啦！

对很多刚开始挖洞的小伙伴来说，漏洞盒子公益src绝对是一个不错的选择。盒子每个月都会按照白帽子师傅提交所获得的漏洞积分做一个排名，列表展示前五十位的师傅，这也就是盒子月榜。可能很多牛逼的师傅会觉得这个月榜很简单，没什么意思。但我想它的存在一定有它的意义，特别是对一些小白师傅们来说。下面就分享一下我的一些上榜思路。

盒子的审核速度比起其它漏洞平台可能慢一点，所以把握好交洞的时机是重要的一环。一般来说盒子的审核大概在15天到20天左右，所以如果想冲月榜，最好在上一个月的后半段时间开始刷洞。举个例子，比如我想冲击12月份月榜，那么在11月份的15号之后开始就可以陆续提交。等到审核结束差不多刚好到12月份的中旬，在这个期间上一波大分岂不是美滋滋。

其次，对于很多小白师傅来说，刚上手挖洞的时候也只能挖挖公益src，盒子一个公益中高危大概是2到4积分。而我观察了几个月的月榜，第五十位差不多都在30积分左右，一些比较卷的月份会到40积分，所以师傅们至少需要准备10到15个中高危漏洞基本能够满足上榜条件。

还有就是，师傅们在提交漏洞时最好不要一次性提交太多同一类型的漏洞，比如我一次性提交50个sql注入，这样很容易被审核判定为重复或者忽略，一般以20个洞为宜(当然如果师傅提交0day当我没说)，各种类型的洞混着交，但是有一点，漏洞报告特别是归属一定要写明白，盒子很ex的一点就是如果只有一个ip地址的话他们是不收的。

但是盒子有一个很友好的地方在于，提交漏洞是没有验证码的，这也意味着我们可以实现自动化脚本批量提交。比如我们在挖到一个通用型漏洞之后，经过筛选，权重高的交到补天，学校的交到edusrc，政府的交到cnvd，剩下的就可以自动化通通交到盒子，到时候上分就犹如喝水一样简单。

基本上满足了上面所说的几点，冲击盒子月榜就变成了一件so easy的事情，能够上榜对于刚接触挖洞的小白师傅们来说确实是一件提升自信心的事，在有了挖洞经验之后再去冲击专属src赢得奖品和奖金。希望能给各位师傅带来一些思路和帮助。

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

群聊 | 技术交流群-群除我佬

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！