抱歉,您的浏览器无法访问本站

本页面需要浏览器支持(启用)JavaScript


了解详情 >

本来想着春节在写的,看到大家都写了,跟风一下,2333

3-5月 毕设&论文

年后先回公司两周,实习期满3月后回校开始做毕设和写论文,因实习期间做Python代码审计较多,想着能否编写一个静态代码扫描工具提升工作效率甚至挖出多点洞,这个想法其实在去年年末就有了,开题报告也整的这个但是一直没开始,想着实习走人后开始进行。

3月6号,差不到回到学校门口就下起大雨,然后伞在实习那会,刚好放在共享单车,丢了。室友全困在饭堂,笑到我了,期间联系到个师弟前来救助,不过最后还是其中一个室友借助某熟人伞回到宿舍最后接我回去~回到宿舍第一件事就是开启我的台式,然后因为天气潮湿,我用湿布插了机箱,没干,开机显卡烧了....为我955写毕设打下良好的基础....

最开始的一个月主要是研究 bandit 源码,看懂AST咋解析的,规则咋加载和准确(相较直接正则)判断的,插件化和整体框架,后面就开始照猫画虎写了。期间每天晚上(只要不下雨)就去跑半小时步,被室友拉去打打羽毛球,早睡早起,为我后面减肥成功打下坚实的基础!做毕设期间摸摸鱼刷刷 ctfshow,复现复现漏洞,日子过的轻松愉悦简单而充实~

过了接近一个月,才写完核心部分,论文还没开始动开始慌了,看到同个导师的其他同学都给论文老检查,马不停蹄开始加快进度,终于在一周内把边边角角写好,后续开始对比SonarQube,Fortify 这些优秀的代码审计工具,也是为论文数据部分做准备。不得不吐槽下Fortify,扫描几十万行代码,16核+32G竟然扫了差不多24小时… 后面花了1周多时间完成论文大体内容。论文查重率不到1%,导师看我工具对比商业工具和开源工具做审计Python都有不错的优势,于是让我准备一下申请优秀论文和毕设,顿时感觉这两个多月来的付出有些回报,又开始整精简版,英文版,丰富一下论文数据,和完善一波工具代码和强化一下工具的实际应用场景,如集成在DevSecOps下。虽然有一部分原因是因为没啥时候写UI了(评委老师都喜欢花里胡哨的界面),开始把Gitlab、Jenkins和SonarQube搭建起来,模仿企业的流水线并跑通,让工具更具有工程意义最后也拿下了优秀毕业论文和毕设,这里非常感谢我导师,半夜4,5点还发消息告诉我改这改那(:

总体来说,做完这次毕设,收获真的很大,完整看完一个优秀的开源项目,真的学到了很多,以前我觉得我学的Python都是假的。

6月 放飞自我

其实5月初毕设和论文大体搞定,这时也在摸鱼和工作室小伙伴经常参加CTF了,有过大三渗透实习和前面实习在加上这两个多月多了好几套题,这会终于不像大一二那会,啥题都不会做了,参加了第一届广东省大学生网络安全大赛,终于第一次过了CTF初赛,后面决赛AWD,最终拿下省赛总决赛二等奖,师弟也超级给力。也算是完成了自己开始学网安以来,拿一次奖的心愿~

期间也参加了2021第四届中国强网杯,排名前10%,拿了个强网先锋证书。虽然成绩不算特别好,但是自己带飞队友的感觉,真的很爽!第一次在国赛解出这么多题目~ 而且国赛的一个AST题目和我毕设息息相关,哈哈

期间也陆陆续续参加大大小小的CTF,就没试过没解出来题目的,感觉CTF能勤奋刷题,能有方法刷题,也没有那么的难,以前还是刷题太少了,23333

7-9月 入职 & CTF训练营 & 转正

想起期间我实习导师还经常问我有没有面其他厂,生怕我跑路了一样,2333。入职期间,因为有过实习经验,工作也比较顺心应手。入职一开始编制是在创新研究院,但实习期间感觉私有云和托管云也挺有兴趣的,之前组长也有说后续会在我们这边专门整个云安全相关团队,后面找了组长,组长帮忙调了过来。

回到学校这边,想着把学校的CTF搞起来,利用业务时间和工作室几位伙伴一起整了个 CTF暑期打卡计划 (共2个月),希望能把一些东西传承下去吧,怎么说呢师弟师妹们其实积极性也还算好,我这边跟进的也算可以,看每周总结,任务啥的基本不会咕,也很到位,平台也是自费掏钱买的,CTF我相对熟点,带的自我感觉也还算好吧也很用心,也会把展示很多实战案例。后面的渗透 Challenger,带的很好,内容很干货。其实一切都还好,大家也都挺有激情,期间也没有同学退出。从训练营来说,好像也没啥地方有什么差错。就是完成后,我们没有下任务后,也就是现在看来,Web这边后续能够自己持续学习的,持续交流的基本没有,也挺可惜的吧

在回到工作,一方面在同产品线有实习经历了,然后毕设也和公司效能提升,走DevSecOps一致,各种产出也勉强看的过去,导师也推荐我提前转正,后面没想到的就是,大佬们也给我评了优秀转正,感谢各位大佬在我试用期期间带飞。

10-12月 上班dog的业余

国庆回家,最让我惊喜的是,可能这几个月来一直坚持运动和良好作息,某天去朋友家看到秤称了一下,竟然瘦下来了,怪不得个个看到我都说我瘦了,体重直接从 160 到 138 !

9月的时候,其实已经和几位同事大佬组了个小团队,打打CTF的,到11月打了几次成绩也还可以~,比如羊城杯也企业组13名,2021第四届“强网“拟态防御国际精英挑战赛,人生第一次和队友一起AK Web!,6个,我解了3个这样子。

但不知为啥AK后就开始萎靡不振,开始其他方向,(可能老底吃尽了,前面也没啥时间刷题,光着搞传承去了,刷题少了),这时 Challenger 师傅推荐我去挖众测,他手把手带飞我。之前也想过要不要做点什么副业,有另外一份收入。从目前挖了1个多月来看,收入也还算可观吧~ 虽然比起大佬们差远了。

第一个项目运气比较好,交了挺多洞,,就被 西瓜🍉师傅 找上门来了,问我要不要去他团队耍耍。团队也挺多大佬的,平常我主要帮忙打打杂,偶尔听听大佬们分享,我甚至还把我和同事原本组的小团队都给撬过来了(逃

游玩

  • 莲花山公园,校招小分队

  • 白云山,和室友去浪

  • 东门+文和友,和同学去的时候比较晚,很多店面都关门了,23333

  • 沙趴看海,和好基友看日落,吃海鲜

  • 仙湖植物园,和同学去拜佛.jpg

  • 地王大厦69层看深圳夜景,久违面基

  • 欢乐港湾滨海文化公园,和同事去逛逛

  • 吃的倒是挺多的(

照骗放张和好基友去看日落的,原来家里那边的海还挺好看,2333

IMG_0064

目标达成

回顾一些flag,基本没有一个全部拔掉的,都是做着做着,被其他东西搞去了

  • SDL,把实习学的做个总结并做一些拓展,60%
  • 云安全,先把威胁建模学个差不多,然后熟悉一波主流的云基础框架,毕竟工作要用到,30%
  • 二进制,常见漏洞点和利用方式要掌握,感觉熟悉二进制以后审计C/C++会舒服不少,40%
  • 代码审计,把白嫖过来的CTFSHOW入门大部分给刷完,巩固一波基础~ 20%
  • 刷完sqli-lab靶场,30%
  • bypass disable function 所有场景实操,0%

完成了一直以来想完成的心愿,也是今年带给我的一些惊喜吧~

  • CTF Web AK
  • CTF 带飞队友
  • CTF打进决赛并获奖

第一次做Github给不认识的提PR,向Oneforall 修复了2个Bug,也第一次收到了别人的PR,然后自己也整了个wx机器人玩玩啥的,还挺不错

感谢今年各位带飞,今年达成的心愿,获的的奖,得到的成长,得到的开心,感觉一个人真心啥都干不好.jpg

展望

又到了立 flag 环节

  • 考 PTS
  • 考 CISP
  • 读完 frp 源码,巩固Go,并针对红队使用场景做一些优化
  • sqlilab靶场(这次一定

评论