活动 | 以梦为马 莫负韶华—404年终总结 女娲计划篇

项目地址：https://nvwa.org/https://nvwa.org/

 

活动简介

相传远古时代，天柱倾倒，天塌地陷，百姓深受猛禽恶兽残害。为拯救百姓于水深火热之中，女娲炼彩石、斩鳖足、修补苍天、重立四极天柱。故天地得以平整，人类得以安居。此后，世人便将女娲奉为补天救世的英雌和开世造物的“大地之母”！

在网络安全世界中，安全漏洞就如同猛禽恶兽，威胁着个人、集体乃至国家的利益。在此背景下，“女娲计划” 于2019年11月应运而生!

作为国内第一个对标国外著名漏洞平台的漏洞收取平台，“女娲计划”脱离Seebug独立运营！

“女娲计划”是针对超高价值的0day漏洞及利用技术研究奖励计划，对包括主流PC及移动操作系统、流行服务端或客户端软件应用、网络设备、虚拟系统逃逸等在内的0day安全漏洞及相关利用技术研究项目提供丰厚的奖金，且最高单个漏洞奖励可达¥20,000,000！

截至2021年1月，“女娲计划”的收录范围已覆盖了271种产品和厂商；截至今日，”女娲计划”已发出的漏洞奖金累计近千万~

目前，“女娲计划”已更新2.0版本，添加了大量的Web应用及厂商，在之前的基础上达到了优化升级，为大家提供更好的参与体验~

 

活动时间

2021年1月22日18:00~1月25日20:00

 

活动地点

项目地址：https://nvwa.org/https://nvwa.org/

 

主办方

知道创宇404实验室

 

活动详情

女娲计划更新收录范围

今天，女娲计划再次更新了收录范围，添加了92个常见的厂商以及产品，快来看看你有没有0day吧~~

target	type	topprice
ActiveMQ	RCE	50,000
anymacro安宁邮箱	RCE /AUL	500,000
Apache Shiro	RCE	100,000
Apache Spark	RCE	20,000
Apache Struts2	RCE	500,000
Apereo CAS	RCE /AUL	100,000
Atlassian Jira	RCE	300,000
Cacti	RCE	20,000
Citrix	RCE	350,000
CISCO SSL VPN	RCE /AUL	500,000
CISCO firewall	RCE	500,000
Confluence	RCE /AUL	300,000
Coremail	RCE /AUL	500,000
Dedecms	RCE	50,000
Discuz	RCE	50,000
easysite	RCE	30,000
ECShop	RCE	20,000
EmpireCMS	RCE	20,000
F5 BIG-IP	RCE	500,000
Fastjson	RCE	500,000
Fortinet(飞塔) Firewall	RCE	50,000
Gitea	RCE	50,000
Gitlab	RCE	50,000
Hadoop	RCE	50,000
Harbor	RCE	20,000
Jboss	RCE	500,000
Jenkins	RCE	50,000
jetty	RCE	300,000
kxmail	RCE /AUL	50,000
JFinal	RCE	20,000
Laravel	RCE	20,000
MetInfo	RCE	10,000
Microsoft SharePoint	RCE	200,000
ModSecurity	RCE	20,000
Nexus	RCE	20,000
outlook	RCE /AUL	1,500,000
Phpcms	RCE	50,000
Phpmyadmin	RCE	100,000
Pulse Secure VPN	RCE /AUL	500,000
redmine	RCE	150,000
resin	RCE	100,000
richmail(thinkmail）	RCE /AUL	100,000
SaltStack	RCE	20,000
SiteServer	RCE	20,000
Spring Boot	RCE	500,000
Spring Security Oauth	RCE	50,000
Thinkphp	RCE	500,000
turbomail	RCE /AUL	20,000
VMware vCenter	RCE	100,000
Weblogic	RCE	350,000
Webmin	RCE	50,000
websphere	RCE	300,000
winmail	RCE /AUL	350,000
XAMPP	RCE	20,000
Zabbix	RCE	500,000
Zimbra	RCE /AUL	150,000
时代亿信邮箱	RCE /AUL	200,000
微擎	RCE	10,000
禅知	RCE	20,000
宝塔	RCE	20,000
禅道/zentao	RCE	50,000
致远oa	RCE /AUL	50,000
用友	RCE /AUL	50,000
通达oa	RCE /AUL	20,000
帕拉迪堡垒机	RCE /AUL	50,000
齐治堡垒机	RCE /AUL	100,000
大汉cms	RCE	20,000
泛微	RCE /AUL	50,000
金蝶	RCE	50,000
万户ezoffice	RCE	20,000
拓尔思 TRSWAS	RCE	20,000
亿邮	RCE /AUL	50,000
税友	RCE	50,000
jeecms	RCE	20,000
JeeSite	RCE	10,000
jackson	RCE	500,000
蓝凌oa	RCE /AUL	50,000
express	RCE	50,000
ADC	RCE	20,000
TPlink	RCE	50,000
dlink	RCE	50,000
锐捷	RCE	50,000
爱快流控路由	RCE	50,000
HanSight Enterprise	RCE	50,000
日志易	RCE	50,000
堡垒机	RCE /AUL	50,000
jumpserver	RCE /AUL	50,000
phpStudy	RCE	20,000
TeamViewer	RCE	50,000
向日葵	RCE	50,000
FusionAccess	RCE	50,000
常用安防类产品（防火墙、VPN、IDS、IPS、主机安全、终端安全等）	RCE	50,000

 

ps:ALL:RCE + LPE;RCE(Remote Code Execution):远程代码执行;LPE(Local Privilege Escalation):本地权限提升;SBX(Sandbox Escape Bypass):沙盒逃逸绕过;VME(Virtual Machine Escape):虚拟机逃逸;FCWP(Full Chain (Zero-Click) with Persistence):完整的利用链;AUL:任意用户登录

 

常见问题

1.邮箱

请使用您的常用邮箱，在漏洞确认期间，我们会通过邮件和您联系。

 

2.漏洞接收范围？

我们重点主要关注”女娲计划”给出的目标范围内的相关0day漏洞，目标范围相关的漏洞收取会定期更新，请随时关注目标列表。
您的漏洞在我们给出的目标范围之外，如果漏洞影响大并且严重，也可能成为我们的接收目标，可直接提交，我们评估后联系回复您。

 

3.我能得到多少漏洞奖金？

在您提交漏洞简介时会一并提交漏洞自评价格，我们会根据您提交的漏洞信息评估您的漏洞价值并和您联系议价。只有在议价得到双方认可之后，流程才会进入到下一步。
在接收到漏洞样本详情之后，如果我们发现与您之前的描述不符，我们会根据您提及的漏洞细节进行二次议价。

 

4.我需要提交什么样的漏洞简介？

在流程开始阶段，请参考”漏洞提交”表单信息提交，到确定漏洞议价完成后需要提交漏洞详情说明及完整可靠的exploit。

 

5.在提交漏洞之后，我什么时候能拿到奖金？

在提交完整漏洞说明及exploit后，经过平台确认完整可靠后我们将根据最终议价结果发放奖金。奖金将在3个月内完成分期支付。
最终确定漏洞后1周内支付完成50%奖金，其余50%奖金作为保证金最终在漏洞确认后3个月内完成100%支付。
漏洞提交者应该为漏洞相关信息及程序保密，如果是由于漏洞提交者原因出现泄密情况我们会根据对应具体情况进行扣除或者取消奖励。

 

6.”要求”内的交互相关要求（如”零交互”）是什么意思？

交互相关要求是指攻击场景之外的其他任何交互动作，比如打开office打开文档或者浏览器打开链接、移动im等应用打开链接都算是”攻击场景”，不属于”交互要求”范围内。

 

7.在沟通过程中，如果需要发送我认为敏感的信息怎么办？

在沟通过程中，如果你担心你发送的信息涉及到敏感信息，请使用我们的公开PGP密钥加密。

 

8.如果我有问题想要咨询怎么办？

如果有任何问题，请发送邮件到 root#nvwa.org。值得注意的是，这个邮箱不会沟通任何于实际漏洞相关的信息，当你提交表单之后，请于联系你的邮箱进行进一步沟通。

 

抽奖活动

奖品为：1个国行Switch+10个定制机械键盘~

详情请转至微信公众号@Seebug漏洞平台推文《以梦为马 莫负韶华—404年终总结女娲计划篇》查看！！！