从“刷钻小子”到“审计攻城狮”的平凡之路
2022-5-20 18:0:34 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

文章来源|MS08067 安全实验室

本文作者:define

我和我的网安故事

回想起安全这条路,真是跌宕起伏。而在14-15年的时候,也就是我这安全之路开始的时候。

在14-15年的时候,比较火的就是刷zuan,盗hao这些东西。本人也是从网上接触到了这些东西,在接触有一段时间之后,于是乎想着自己能不能搭建一套网站来玩。在好奇心的驱使下,想找一个师傅来带带,不出意外花了100大洋被网上一个”所谓的大神”骗了...于是不甘心的我,开始自己琢磨。终于搭建出了一个属于自己的网站...其实就是在网上找了套源码,扔到了”免费的”虚拟空间中。当时非常的开心,但是该网站运营不久后,发现”死”了?

顿时就心凉凉,后来经过群里一些”大神”的讲解,说是被cc攻击了!那时候很流行这玩意..

通过我从网上查资料,终于对cc这玩意有了个大概的了解。但是网站断断续续的被打该怎么解决呢?

这就遇到了一个运营商,具体我也忘了叫什么名字了。是一个自助建站的,花几块钱就可以在他服务器上搭建一个博客网站,而他服务器防御力贼刚...再也不用担心被打了。在继续运营该网站的时候,接触到了易语言,但是吧,不知道学习方法。所以只能照着网上易语言的大神们的源码,一顿瞎改。比如点击按钮 创建个文件,删除东西这种乱七八糟的东西。当时非常的有成就感....

可惜好景不长,我与网站运营商因为一些事情的分歧闹掰了,具体因为啥也忘了。之后我的博客网站也迁移到其他运营商中了。在一天中午,我博客网站首页,就很突然的被替换成了 “黑页”。我直接就人傻了。这是怎么做到的?只见原运营商,在他QQ群在大肆炫耀,并发了一张截图。当时就如下图这么个情况(ps:这是本人从网上找的黑页图~),然后在搜索栏第二个发现了他搜索的标题是:php大马方面的东西。当时我就觉得,php大马是个什么东西?咋这么叼,直接把我博客黑了...

也就是在此时,我开始学安全了。接触到的第一个工具就是明小子,相信很多师傅都用过,哈哈哈,太经典了。当时拿到明小子,看着凌乱的界面。不知道如何用。就这样没有了后续。

后来没两天,我接触了个更高级的工具,sqlmap,看着黑框框,命令行。这不由得拉起了我的好奇心。人坐电脑前,打开这个工具,这不妥妥电影中的黑客吗?哈哈哈哈,这就是当时自己的想法,感觉这也太酷了吧~

于是照着网上的文章,开始学习sqlmap这款工具,在这期间天天用sqlmap干dvwa。在这期间,也懵懵懂懂的了解了数据库这些东西。当时遇到问题,也在群里问。然后....就开始混娱乐圈了。在娱乐圈认识了很多和我年纪相仿的学生。其实目的都是为了装X,但是我对web安全的兴趣还是只增不减的。这就开始了我的”拜师”之路。毫无疑问,在我省吃俭用攒下几百块之后,又被这些网上的大神骗了...有的是付款直接拉黑,有的是扔你套乱七八糟的教程,让你自己看。我nm....

被骗之后的我,再也不相信拜师了。自己开始学,接触的第一门语言是php,当时依稀记得买了本php的书,然后配套着网上找的php视频来看。当时变量  流程控制  函数这些基础语法,就让我花费了很多时间。感觉好难啊,但庆幸的是,我坚持了下来。每天放学到家,都是来看php。在看完php基础之后,我参加了第一个”培训”,这个培训叫什么名字就不说了。当时收费小1k。是某安全团队做的(ps:现在这个团队已经没了)。然后讲师来讲课,毫无疑问....这次没有跑路,而是一直讲靶场...我nm。这个讲师目前我就不说是谁了。

之后又是一段自学之路。突然某天,看到了某平台的线上web安全基础培训。当时感觉像这种正规平台,总不可能被割了吧。于是报名了。学了一段时间之后,也是将所有的课程学完了。其实感觉这家平台很良心的。在这期间,把一些基础的漏洞原理都学懂了。期间老师比较负责,学完一节课,就催促着交作业。这不是广告...这是发自内心的感谢该平台带我踏入了安全大门。

之后就一直停留在了这个水平...只能说自己自学能力太差了。后来在17-18年的时候,碰到了第三个”培训”。这个培训,课程讲师都按时讲完了,但可能是自己懒的原因,也有可能是该讲师普通话和授课方式听着是属实难受...就没有看完。

后来就自己慢慢接触到了src这些东西。然后没日没夜的挖再提交。依稀记得当时第一个厂商给了我500大洋。让我开心了好久。

但是技术嘛,还是得提升的,这个时候MS08067团队的第一本书出版了,就是web安全这本。这也是我看的第一本书。让我对之前零零散散的技术体系,有了完善。当时还记得,带着这本书去学校。白天上课时偷着看。哈哈哈哈,也是从这本书中学到了一些没接触过的漏洞。感谢师傅们出的这本书~

就这样平平淡淡的过了许久,我被报名参加了第一个ctf比赛(中职),当时是提前去那个学校学习两天,在进行比赛。

在这里我认识了好多大佬。感觉他们太强了。在这次比赛中。凭运气拿了第二。因为中职还是有很多人没接触过安全的....

后来我也渐渐退了娱乐圈,开始静下心学东西。现在来看娱乐圈的那些所谓的大佬,无疑就是个笑话。

在静下心学东西的这段时间,学了很多。会玩Linux了,还会写Python爬虫了。然后web安全方面的技术,又学到了很多东西。Php代码审计也多多少少能拿得出手了。渐渐的,本人已经不能满足现状了。打算转行?于是乎就转行开始学Windows逆向了。

但是这次学习,我找到了正确的学习路线,不再像之前一样了。首先学C/C++基础语法。当时学C/C++基础语法。像指针这些东西,以及C++中的一些面向对象思想。和后面的数据结构与算法的学习,就花费了我好几个月的时间。但是我并没有因此气馁。后续又学了学MFC,以及一些windows api的使用。然后开发出了第一个文件管理和进程管理的工具。虽然比较low....之后高三又学习了汇编 PE文件,以及一些开发的东西。

有了开发的基本功,就开始玩逆向了,最开始跟着网上师傅们的视频。先逆C/C++的语法,比如if while for这些,以及函数的调用,是如何影响堆栈方面。

有了这些基础做铺垫之后,就开始对网上的一些CrackMe进行逆向。CrackMe就是别人写的小程序,让大家求逆...类似于靶场似的东西。

在逆了一段时间之后,我选择了一个深入发展的方向,就是二进制漏洞挖掘方面。于是就开始啃 0day安全,漏洞战争这些书。顿时间视野就开阔了,相比于web不同,二进制安全更具有挑战性和难度。以下是本人读书笔记。

相对于二进制安全来说,感觉自己能学下去的原因就是,环境问题吧。期间接触很多二进制安全的师傅们,都是很平易近人。在做web安全的时候,有很少一部分人,都很爱装清高,感觉自己学了点东西。就很了不起。殊不知小丑就是他自己....

在进入大学之后,也是参加了很多场CTF,无疑被大佬们吊着打。本人也无奈...因为本身接触CTF这方面的东西就很少。不过比较有意思的还是在校期间,帮助学校内网平台挖了很多漏洞。也因此感觉到了自豪感,感觉通过自己学习的东西来帮助别人,还是非常有成就感的。这应该算是我自己本人的第一个完整有流程的项目吧。

此后,本人也跳进了JAVA安全的”大坑”中。因为有了前面C/C++的代码功底,所以像一些代码逻辑方面学着就毫无压力。哈哈哈,不要说我飘~

在自己整合写了一两个小项目之后,碰巧MS08067团队出了JAVA代码审计这本书,于是卷就完了。通过这本书,也就第一次踏入了JAVA安全的大门。

之后就开始各种投稿。都是JAVA安全方面的东西。也收获了不少稿费,感觉这也是对自己学习的一个证明吧。

最后的话,就说说自己的近期吧,近期还是一直做JAVA安全相关的。也成功收获到了自己心仪的offer。给大家的建议就是,拒绝浮躁,踏实做事~。

END

扫描下方二维码加入星球学习

加入后邀请你进入内部微信群,内部群永久有效!

 

来和8000+位同学一起加入星球学习吧!


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247499608&idx=1&sn=33567ccd5742534829f422cc3a782646&chksm=fc3c4659cb4bcf4f112b97abbf5bc81a367450a0a2dcf4bd898a8abeb76ea82aeb54e88b56aa#rd
如有侵权请联系:admin#unsafe.sh