之前本来写了个年终总结,大概覆盖内容从高考完到现在,有一些矫情的话和莫名其妙的感慨,现在想来又感觉没有必要,毕竟这只是一篇年终总结罢了,更应该说说自己这一年都干了些什么,而不是乱记流水账,所以那篇底稿就继续放后台去吃灰吧。
说起来这一年确实经历了很多很多,大概这段时间就是从大一上学期的那个寒假到大二上学期结束,而这一年正好是我开始学习网安、打CTF的时间。我就是从大一上那个寒假做红岩考核的时候开始正式学习网安的,然后那段时间还打了个重庆邮电大学信息安全大赛,赛制是AWD模式,被凯神狠狠带飞,拿了第三名,混了个二等奖,第一是yyz那个队,第二是屈哥他们。
寒假做考核的时候确实学了很多很多东西,那时候因为我寒假还在体校练羽毛球,所以每天的生活就变成了白天练球,晚上做考核,基本上没有啥休息时间,每天六到八小时高强度工作,然后一路磕磕碰碰的、踩了很多雷,最终成功的完成了第一个开发任务,学了很多前后端的知识,对PHP也开始有了很多深入的了解。然后第二个考核是一个CTF题,网上一搜就能搜到,基本上是原题,所以也没废什么功夫就做了出来。考核三是一个靶机,最后通过稀奇古怪的方法完成了它(ubuntu拯救者模式重置密码+直接解压),然后就顺利的进入了CorestudyGroup继续红岩的学习,那个假期还受邀和学长们一起打了场CTF,当然是高强度坐牢,啥题都没做出来。
接下来就到了大一下了,这学期开始学习了一些运维的知识、开始刷ctf题、开始打比赛,开始真真切切的接触CTF,这其中打了很多比赛,但都是大比赛,什么虎符、网鼎杯之类的,所以又是经典的高强度坐牢,让我怀疑我到底能不能在CTF比赛里做出来CTF题来。
后面就到了国赛的时候,进了一个学长的队伍里,学长血C我们,做了一堆题,我们三个大一的当时一道题也没做出来,如果做出来一道题就能进线下了,可惜还是自己能力太差了。因为没进线下而且那年正好还是重邮主办,所以后来我进了裁判组审录屏去了,不过那些录屏至今都还在吃灰(~△~;)。在那个时候我应该是第二次见到远海师傅,第一次是听涅普的课的时候。当时远海就站在讲台上和领导一起讲话,我还以为他是绿盟的负责人之类的,所以也没怎么关注,后来才知道他其实就比我大一岁。就是这样一个同龄人,却统治了edusrc,从他大一开始就是edusrc的第一,直到现在,很难想象这么厉害的人竟然和我是同龄人,简直太可怕了。
然后到了教育护网的时候,学了一些信息搜集和社工的知识,通过钓鱼拿下了某个目标单位的一台电脑,最后重庆教委排到了省级行政单位第二名,我的名字也因此最后出现在了最后的公开表扬文件里。再然后就是打了场水的批爆的比赛,拿了个看起来名头很大的奖,有了NISP一级证书。
再往后走就是暑假考核了,也是红岩的最终考核,那时候选择了留校,每天没日没夜的完成自己的项目,多亏了自己,也多亏我有一个很厉害的队友,最后收获了一个完成度非常高的项目,也因此后来拿到了绿盟安全开发的面试机会,不过被我放弃了。然后不出意外的通过了最后的答辩,正式成为了sre的一名干事,开始负责招新授课之类的工作。
然后还是暑假,因为其他学长的有事,我获得了最后一个去打护网的机会,甚至因为学姐的放弃让我成为了领队,不过这个领队也不算什么好事,因为成绩的原因,当时来自裁判组的压力全都压在了我的身上,让我当时非常的痛苦,但这种痛苦又其实来自于自己的能力不足,毕竟当时的我确实啥也不会。
那时在护网期间挖了自己人生中的第一个洞,然后还因为乱试POC被学长骂了,虽然这个洞其实只是个小小的信息泄露罢了。最后又在远程协助之下得了些大大小小的分,暴露了自己身上的很多不足吧,因为期间其实有很多拿分的机会都被我们错过了,只能说经验和实力确实都不足。
打完护网回家基本上就要开学了,但接着因为疫情,上课方式变成了线上上课,不用到校了,所以我就开始趁着这段时间疯狂沉淀,基本上每节课都翘了,还在家的那段时间打了NewstarCTF,终于开始有了点大赛的体验感,在大家的一起协助之下拿了week1的总榜第一,熬夜ak了所有题,那种团队协助的感觉确实很让人难忘。然后每周都会放新题,我就开始做web和misc,最后拿了不少二血三血,最后的web排行榜名次也挺高的,week5甚至是web第一(不过那是因为昊昊哥号被ban了,本来我第二的)
再接着打了工业互联网大赛的线上预选赛,因为理论题比成电CNSS低了所以错失了去线下的机会,这个比赛就很难绷,主办方说了全程要录屏,甚至允许我们做理论题的时候上网查资料,但我们还是比他们分低很多,看来强队就算是查资料这种信息搜集的能力也比我们强。但最终我们队还是收获了西南区高校组第二的好成绩,虽然这个预选赛感觉就没什么学校在打,我们也根本没做几个题,但我还是骄傲的把这个战绩写在了自己的简历上(*^_^*)。接着去打了长安杯取证大赛,一人成队拿了三等奖,差一点点就二等了,这种比赛还是得有会点的队友,当时我找遍了人也找不到组队的人,真是太痛苦了。后面的美亚杯也因为没队友直接放弃去打了,眼睁睁看着屈哥拿了一等奖/(ㄒoㄒ)/~~,不过屈哥说好了明年带我😍😍
然后是某个晚上夜跑的时候,我升起了想要加SU的想法,主要原因是打NewstarCTF的时候认识了天才全栈少年Anyyy在SU里,然后发现三哈也在SU里,然后了解了一些SU之前的战绩,怀着忐忑的心,我加了书鱼哥哥的qq,发了他我的简历,没想到书鱼哥哥不嫌我菜,接纳了我,让我进入了SU,然后赵海燕、胡杨他们也学我,向SU投了简历,最后都正式成为了SU的一员。
进入SU对我的改变挺大的,基本上可以等于进红岩对我的改变。在这样一个厉害的高校联队里,我认识了很多很多厉害的人,更可怕的是他们年纪其实和我差不多,都是大一大二,而有的人大一就拿了国赛总决赛一等奖,有的人才高中就是Bugku的AWD第一,有的人大一刚完就拿了一大堆CVE、CNNVD证书……进了SU之后让我深刻认识到了我和同龄人的差距有多大,也让我后悔为什么不早点接触CTF。队里有很多很多很厉害的人,和他们成为队友,共同打比赛的感觉很爽,也让我成长了很多很多,我作为SU的一份子一起和大伙打了很多比赛,收获了很多成绩,也让我开始接触CTF圈这个很玄乎的玩意儿。
这期间和来自川大的密码爷Zima一起组队打了安洵杯,拿了线上赛的第八(当然逆向爷们也功不可没),让我见识了强队的密码手到底有多变态。我是年末才加了SU,年初的几场XCTF分站赛我都没有参与,年末的时候和大家一起打的比赛,有强网拟态,见识了两百万奖金的比赛,最后书鱼哥哥那里还有去线下的机会,但因为时间问题我还是没有去成;有Realworld的体验赛,最后我们拿了亚军,这比赛当时我花了很多时间,做出来了一道简单的web题,然后把时间都花在了那个薛定谔难度的misc上,花了很多功夫也没做出来,直到misc职业玩家三哈上手我才知道这原来涉及一个我还没出生时就流行的红白机彩蛋,这种大比赛的misc也太变态了;接着再打的比赛就只有2023的XCTF分站赛RCTF了,和Anyyy、三哈和Zima一起做了道misc。
然后发现了Anyyy究竟多变态,很轻松就把一道很难的misc二血了,他之前打安洵杯的时候一个人做题,web、misc、re、pwn啥都会,最后排了十多名,差一点就把另一道五解的misc做出来了,做出来的话他就前五了,到后面的pwnhub拿下了other所有题的一血,甚至自己是bugku上的一个awd队伍的创立者,排行榜一度第一,而他才高中!和这种天才做队友简直太打击自信了/(ㄒoㄒ)/~~
接着印象比较深刻的比赛就是重庆大学生信息安全大赛了,不过这个印象深刻却不是什么好印象,纯粹是感觉重邮举办的太逆天了,无论从什么角度看都是那种能被挂在知乎上骂一整年的负面形象。而就是这么一个很水的比赛,我却没拿到奖,当时其实只要签到题做的快甚至都拿得到三等奖,而我当时因为安洵杯misc做的很出色,所以信心爆棚,让队友去做web我去做misc去了,没想到直到三个小时比赛结束也没做出来,然后回去看web才发现学长思维走偏了,那个题其实很简单,一下就做出来那个web了。回头看那两个misc,其实那些就是个工具题,但我因为misc的套路知道的不多所以没做出来,因此那时候开始疯狂刷misc的题,花了几天把菜狗杯通关了,终于了解了misc的那些基本套路,ctfshow的总榜也刷到了前五十,越来越向赛棍进发。
这一年收获了很多,也成长了很多,本来打算寒假去找实习,但最后还是觉得自己实力不够,放弃了,虽然赵海燕最后找到了实习,假期要去上海了,想想也知道等他三个月实习完将薄纱我,但这还是没改变我的想法,虽然靠简历上混的那些经历和奖找个实习应该还是可以的,但我还是想趁着寒假好好沉淀一样,和这些变态认识了之后我意识到了自己和这些同龄人的差距究竟有多大,如果赶鸭子上架般找个实习当安服或者渗透,我又能从这其中学到些什么呢?这样的经历或许对我的提升还是不够大吧,这学期之后我也坚定了自己要走的路,我想像那些大佬一样去打defcon,现在想来最有可能去的方法是找陆队加入water paddler。
这一年来我总是在”学习”,向他人学习,向优秀的人学习,学习一些众人皆知的技巧,没有什么新东西。我看了p牛之类大佬的博客,他们总是在自己的博客里输出属于自己的新观点、新方法,输出一些有利于整个网安行业的发展的东西,我现在终于迈出的第一步,也就是那个先知上的文章了,虽然其实也借鉴了其他大佬的博客,但总体而言还是告诉了大家一些新东西,而这也是我正不断追寻的。
新的一年,继续努力。
近期打了两个春秋云镜的靶场平台,基本上都是看着师傅的wp一步步走下去的。今天无意中看到了这篇总结,读完后心里略有感慨,想起来自己的大学时光,同事信安科班出身,拿过大学CTF竞赛不错的成绩,但是缺极度缺乏实战经验,19年入学,大学期间被疫情覆盖,让在大二想外出找安全公司实习的我止步于家里,遂产生转行开发的念头,于是大二大三大部分时间是学习各种框架,安全却被打入冷宫。说来也是矛盾,22年大三自以为能保研,差一个名次保研失败后加入考研大队,结果理所当然是失败的,又投身到23年春招找工作的洪流之中,身边的同学都转行开发,只有我还在开发—-安全全部下手,拿了本省还不错的厂区里的软开offer,也拿了几个本省不错的甲方国企安全岗位,最终规划从事哪一行业的时候,还是选择了安全,最后入职某甲方国企安全岗位。目前的状态犹如温水煮青蛙,在入职的时候以为安全岗位会做一些我认为的攻防任务,没想到确实简简单单开一个网络,有事没事封一个ip,挖挖内网的漏洞是所有无趣的工作里最让我感兴趣的一件事情,也是我能坚持到现在的良药吧。期间也和来我司的乙方安服工程师的师傅们交流了一下,我像是在围墙里面,外面的人想进来安逸,而我想出去闯荡,但都劝我三思而后行。今天看了师傅的总结,不禁感慨大学生活的多姿多彩,也佩服师傅能一直坚持更新blog到现在,也希望有朝一日能追上师傅的步伐,和师傅进行技术交流,也祝愿师傅考研成功,前途光明。