年初的时候逛脉脉,看有个师傅问想要网安进大厂需要什么水平,其他东西都记不太清了,就记得那个回答者说现在大厂要求都非常高,除了基本要求之外,还得在各大安全社区投稿过足够好的原创文章、知名的CVE编号以及大型网安比赛有突出的成绩才有比较大的机会。然后大二下的时候一直朝着这个方向努力,虽然勉强做到了一点这个额外要求,但感觉自己应该完全没达到别人口中的基本要求,如果写2022年终总结的时候算是勉强在网络安全上入门了,过了一年,感觉自己还是处在入门的水平,只是比之前入门的程度略微深了一点,只不过回首的时候感觉昨年的我看到今年的我肯定会觉得这个人是带神,实则还是菜鸡。
看别人的简历,大部分人简历中对某个技能的掌握程度都大概分为三种——了解、熟悉和精通,按照这个标准,我也把对某项技能的掌握程度分为了三个程度——入门、熟练和精通,入门也就是大致了解某种技巧的常见利用方法,对原理有着基础的认识,比如sql注入的盲注知道个时间盲注和布尔盲注,知道时间盲注可以用sleep()构造延时来判断自己的语句是否正确执行,这大概就算基本入门了;而做到熟练的话,至少得掌握大部分常见的利用方法,对原理有本质的认识,还是以时间盲注为例,得知道各种限制条件下如何进行时间盲注,比如知道如果注入的时候sleep语句被ban了,明白时间盲注的本质就是要构造延时来判断自己的语句是否成功执行,因此即使sleep被ban了,也可以通过其他方法构造延时,比如可以用benchmark重复执行某个表达式构造延时、通过rpad或repeat构造长字符串加以计算量大的pattern来制造延时、用笛卡尔积连接表进行延时或者简单点只是执行某个非常麻烦的句子,比如把某个字符串hex很多遍然后select它的长度来明显减缓数据库的执行速度构造延迟等等,如果发现关键字被过滤可以想到其他绕过方法比如16进制之类的,发现执行的sql语句知道一些绕简单waf的方法比如分块传输、参数污染等。至于精通,虽然我自己也没达到这个水平,但我自己对这个境界的理解是,要对原理有着深刻的认识,能在前人的基础上做到推陈出新,对一些问题能提出自己独到的见解,提出一些崭新的方法,比如p神提出的那么多全新的技巧。
看完上面的描述其实也可以看到我对自己这一年发的一些文章的评价了,这一年确实到处发了挺多东西,先知发了一些,这个博客上发了一些,以及加的各种知识星球里发了一些。过年的时候运气好在p神的代码审计知识星球上发的一篇文章被加了精,周五晚上发的,不到一天就拿了当时的周榜第一,最后有幸成为了精华作者群最初的12人之一,还被p神主动加好友了,抢红包把加星球的钱还赚回来了(
今年个人认为写的最好的应该是无字母数字RCE和wakeup绕过这俩篇,达到了熟练这个程度,不过从结果上看,还是那篇sql注入总结受欢迎程度高点。就mysql注入而言的话勉强达到了熟练这个程度,但那篇文章既然叫sql注入,还是很多其他数据库的注入没有提到,比如oracle啥的,有点名不副实,奈何我自己也不会,也没法写,而且连现在业界最常见的预编译下的sql注入都没提到,可谓极大的失败,还好后来补了一篇专门研究预编译的文章。wakeup绕过这篇写的确实是比较全,至少我当时写的时候网上大部分文章都没提到我博客里写的那几种技巧,后来看别人博客有时候总会看到别人引用我的博客链接,不经令人感叹。写的人能被更多人看到是好事,奈何我自己没觉得自己有别人眼中那么厉害,擅自去期待擅自去失望莫过于此了,比如今年有一次加一个神交很久的大佬好友问问题,他上来给我来一句”我去,狗神”,可谓十分之绷不住。
这一年也打了挺多ctf的,大二下的时候想着暑假要找实习,所以一直想着水点比赛填充一下简历。从找工作的角度上讲,打ctf其实没什么卵用,想要靠奖被别人高看一眼,得在那些众人皆知的大比赛上表现突出,比如网鼎杯、强网杯、DEFCON这种级别,其他的奖估计别人也不认识,可能作用还不如pycc一等奖,至少名头比较唬人,真要找工作还得丰富实战经验,多挖点洞。就图一乐而言今年还是去了很多地方打比赛,今年之前我甚至连飞机都没坐过,年末的时候看了一眼航旅纵横已经十来次了,飞了国内很多地方,简直难以置信。
顺着年初到年尾回忆一下印象比较深的比赛,最深的时候上大二下开学的时候和SU的师傅一起去南京打了xctf final,基本上等于旅游,见了很多比我强的多的师傅,还和诸葛建伟老师蹭到了合影,赢麻了属于是。
接着就是大数据及网络安全精英对抗赛,爽打两天,最后好像成绩是重庆第一,反正最后晋级贵阳决赛了,线下打的和屎一样,决赛是域渗透,而我在那之前对内网一点了解都没有,连怎么搭代理都是yulate哥哥赛前指导的,反正最后领了个网络安全精英的牌匾回去,已经放在我卧室了,冒充高手
这期间参与了dasctf开局之战的出题,昨年还爆零,今年就能出题了,真是令人感叹,然后自己写的文章也被别人拿出去出题了。打完贵阳的比赛然后好像就是山城杯,初赛题确实水,摸了个第一,决赛因为和校队决裂了最后也没去。接着是国赛,初赛第一天拿了西南第一,给我高兴坏了,但第二天就掉到第六了,本来觉得分区赛应该能打进决赛的,可惜我和队友都不熟悉awdp这种赛制,发挥都不是很好,最后也就摸了个三等奖。打完国赛好像是SCTF,混了个一血,但感觉师傅们全去奋战期末考试了,最后成绩不算特别好,拿了个第八。期末考试完放暑假去小红书实习,基本上约等于走后门进的,上班前对工作内容一点也不懂,甲方都是做风控安全,我这种半桶水web小白非常不适应,还好最后还是熬过去了。去上海实习之前还挖了十多二十个cve,因为同质化严重而且没啥含金量,所以大部分都送人了。实习期间有段时间组里的实习生除了那个比我早来大一届的研究生大哥(似乎已经转正了),其他人全是我内推的,可谓非常抽象。比较遗憾,最后没有在实习期间学到足够多的东西,现在也是半桶水,不过也不能怪别人,主要是我自己当时没想着多深入多拓展点,只是会工作上需要的一点浅薄的知识,靠这个实习找工作肯定是铁失业。
当时因为众所周知的原因回学校远程了,一边上课一边上班,反正上课的时候用电脑老师也不管我,我就搁那儿办公,也幸亏我leader确实对我足够好,我要是领导,就我当时远程时候懒散的工作态度早给他开了,天天摸鱼,最后因为准备期末考试也准备考研所以离职了,leader最后也给我说考上研了的话想回来实习的话随时欢迎,感动,至少后面还能回小红书混日子。
后来回学校也打了些线下赛,巅峰极客、祥云杯啥的,但自己太菜了,每次去线下都是丢人,令人感叹。祥云杯过后去打了陇剑杯,算是小有的高光,依靠着队友出色的表现,半决赛拿了逐日组第三,总排名第八,除开企业队的话应该算是学生组冠军,然后决赛还是总排名第八,摸了个三等奖
我个人输出确实占比不大,虽然基本上把数据分析赛道的题做的差不多了,但得分还不如awdp一轮的分高。我们赛前聊天的时候都说这比赛看样子奖早该内定完了,没想到最后还拿到奖了,只能说m4x哥哥确实猛,当时倒数第二轮我们快被安恒反超了,最后m4x哥哥最后时间做出了一道web题,靠着最后一轮那道web的分我们才保持了对安恒的领先拿了第八。
在往后印象比较深的比赛应该是ACTF了,大伙一起熬夜上分,最后拿了亚军
当时第二天早上还有课,纯纯舍命配君子了。可惜最后还是棋差一招,和之前realworldctf一样被北邮✌拿了第一,最后混到了心心念念很久的xctf证书
然后印象比较深的就是美亚杯了,去海南线下打的,当时以为好混奖一点,现在想来还是线上好混,最后都和pycc似的了。昨年的时候一直遗憾没去打美亚杯,看了一个大师傅的空间,看到他是个人赛三等奖团体赛一等奖,于是也给自己定下了差不多的目标,没想到最后个人赛二等奖团体赛三等奖,非常抽象。记得当时那个直播间直播榜单的时候我一直在前十,中午出去吃饭的时候还听见外面有老师口头在念叨什么重庆邮电大学,最后个人赛领奖的时候见到了活的套神,虽然他不认识我,他是二等奖第一,我是二等奖倒数第一,反正都是二等奖🤗🤗🤗
暑假的时候有次出去打线下断网的比赛,从队友那里拷资料,发现他资料里一堆里x1r0z打春秋云境的wp,然后自从那次渗透比赛被打爆之后我也开始打春秋云境了,成为了我当时最大的乐趣之一,在北京的时候每次回出租屋的时候都是晚上了,所以我也只有晚上有时间打靶场,因此那段时间的wp都是凌晨更的,虽然现在也是。最后到现在打完了除了一解的那个以外所有有解的靶场,也把每次的wp更到了博客上,对域渗透的水平也勉强到了入门的水平,之前一直想着写一篇域渗透一命通关的,希望大三下这学期能抓紧时间写完。因为打完靶场后积分到前五了,有幸成为了仅有的六位2023年度荣誉大师之一,最后出现在了i春秋的公众号里
虽然看起来我这一年收获满满,春风得意,实则大部分时候都属于自闭状态,次次线下被打爆,能混到成绩主要还是靠队友比较给力。因为各种各样的原因,感觉认识我的人变得多了起来,昨年的时候写年终总结的时候想着为什么我总要一味的去学别人的东西,什么时候才能让别人对着我的博客学习呢,现在也算勉强完成目标了吧。不过我知道自己其实水平很有限,远没别人想的那么强,以我这一年来的观察来看,可能也就是一些比较重视网安的学校的大一新生的一般水平,甚至不一定能进校队。当然这也没什么耻辱的,毕竟很多师傅可能初中高中就比我强了,甚至有的人刚大一就靠挖洞月入十万了,这一年来说实话受挫的时候比略有所得的时候多得多,特别是今年有一次我特别重视的比赛没有拿到成绩,可谓对我打击非常大,但现在想来受到打击也不算坏事,受到打击反而明真心,认清了自我,自己确实也就是一个略微入门的水平,不要自视太高,可能是之前师傅们对我的认可太高了,让我太飘了,以至于迷失了自我。
现在看来可能我只能算是一个网络安全爱好者吧,离真正网络安全工程师的水平还差了太多,太过于追逐一些华而不实的东西,反而基础不牢地动山摇,就像那种数学考试从来只钻研压轴题但是基础题错了一大堆最后反而考试不及格的人一样。既然已经选择了考研,希望我能在研究生阶段提高自己的水平,达到能让自己满意的程度。现在确实很佛系,不像之前一样追逐无形之物,只希望新的一年能帮助更多人。