现在是 2024 年 12 月 31 日的中午 12 点 15 分,我正在从重庆西开往南宁北的 G3581 次列车上。还有大概 12 个小时的时间,2024 年就要成为过去时了,这一年里,对我而言发生了不少值得回忆的事情,但有的事情已经距离太远,记忆并不那么清晰了,这里就用流水账的方式做个简单的总结吧。

说走就走

今年 3 月底,心血来潮的我买下一张机票,只拿了一个电脑包就踏上了飞往成都的飞机。

思想的转变

在成都,我第一次体会到了什么叫”天外有天,人外有人“。当平时只能在各大 SRC 平台上看见的名字,站在台上对过往经历侃侃而谈的时候,我才真正意识到自己的差距所在。

我想也是从这次成都之行之后,改变了我的人生观,或者说很大地影响了我后来的学习方向。刚开始由 CTF 转向 SRC 的时候,我可能和绝大多数人一样,热衷于从社区里获取很多很多 1Day/nDay ,然后从测绘引擎上批量拉取匹配的资产,无脑地扫描、利用,如果运气好,得到了结果,就有模有样地写一份漏洞报告提交,平台通过之后就能沾沾自喜好久。

但从成都回来后,我愈发觉得这样的“纯体力劳动”是随便从动物园拉来一只猴子,经过反复的训练,形成肌肉记忆之后也能完成的任务,并不能给我带来任何实质性的提升(这一点在我后来的面试中得到了非常明显的体现,面试官直言不讳,说脚本小子什么基础也不需要会,给他一个脚本他也能挖洞,他们并不需要这样的人)。

偶然的机会

5 月的时候,因为一位学长的时间冲突,我得到了作为替补队员参加第一届长城杯总决赛的机会,来到了福州。这次福州之行,我初次接触到了 AWDP 赛制,再一次受到强烈的震撼,愈发觉得自己缺少的知识太多太多。

经过两次大的震撼之后,我痛定思痛,调整了自己的学习方向。很显然脚本小子不是我想成为的人,所以我开始试着去钻研漏洞的成因和防御、修复方式,一段时间下来,的确有不少收获和心得,这些在我后来的面试过程中也成为了和面试官的谈资。

意外的惊喜

4 月份的时候,我已经在 edu src 提交了很多我们学校的风险漏洞,但因为我们学校并没有在平台上发放漏洞报送证书,我又非常想要一张,所以抱着试一试的态度,我在学校的校长信箱上留了这么一封邮件:

几日后收到了回复,但是我当时没有看到(网络中心其实给我打过电话,但是我一直以为是诈骗就没有接)后来看到回复之后,我才回拨回去。电话里老师简单询问了一下我的挖洞经历,了解了我的诉求,说没有问题,有时间直接去拿就好。然后又询问我是否有意愿到网络中心去加入他们的工作,每个月还有点小钱领领。我想着还有这好事,没多想就答应了。

答应之后就算是被招安了,所以在内网我就更肆无忌惮,一顿操作下来,打到了不少好玩的漏洞,差点霸屏了hhh:

纪念一下全网唯一的漏洞报送证书吧:

又到成都

7 月下旬,我们代表学校来到成都,参加国赛的总决赛,最终拿到国二,还是比较满意了。

这次来成都,时间宽裕了些,正好酒店也比较近,我就抽空到高中时几乎天天打交道的成都七中林荫校区打了个卡。高中时我们班是和成都七中合作的「直播班」,简单说就是除了人不在成都,其余所有都和成都七中同步,所以这次来也是很有感触。

站在七中的门口,脑海里全是高中三年的点点滴滴,感慨时光易逝啊~

第一次为自己做主

今年上半年,我大三下学期,面临着「考研」和「就业」的选择。一直以来,我都不认为我是一个愿意做学术科研的人,对于枯燥乏味的学术生活,我实在是提不起一点兴趣,但家人、老师、同学似乎都认为只有考研才会有更好的出路,或者被称为“更多的选择”。

考虑了很久,我还是决定为自己的人生做出第一个选择,毕竟在过去的二十年里,我的许多个重要的十字路口,都听从了家人和老师的建议,那么这一次,我想为自己而活。我放弃了考研这条路,转身投入了我更热衷的实战技术中去。或许考研对大多数人来说是一条更好的路,但我想应该明白的是,大多数人选择考研,是因为本科阶段的“缺陷”教育,并没有让他们拥有足够获得一份工作的能力,甚至很多人都不知道自己为什么要考研,而仅仅是将它作为延缓就业的方式罢了。

直到现在我也没有后悔当时的决定,因为这条路是我自己选的,也是我真正喜欢的(至少我觉得我有能力获得一份不错的工作,不需要依靠考研来延缓就业)。

吃吃喝喝的几个月

国赛结束之后,我又马不停蹄地回到合肥,到了当地的一家安全公司开始了实习生涯。

几个月的实习里,我除了给公司的平台写 Poc 和 Exp ,偶尔给系统的某个模块添砖加瓦之外,大部分时间都在学习安全技术,很感谢老板的支持,没有把我当牛马,反而给了我很多自由发挥的空间。也得益于公司的平台,我有机会接触到一些涉密的项目并参与其中,收获了很多宝贵的经历。

纪念一下这些瞬间。

我在公司的工位:

住了四个多月的小房间(拍摄于临走前一晚):

公司楼下吃了无数次的快餐店(因为便宜,而且还快):

坎坷的求职经历

我的秋招开始的很晚,所以错过了很多好的机会。我想坚持在安全这条路上,又不想只做一名安服,所以我投的岗位大多都是甲方的安全部门。

非常难评的是,某省的 GA 厅对我的简历比较感兴趣,在老师的推荐下电话联系我,刚开始聊的还算不错,只要国考能过线就基本能定岗了,但后来又因为我的身高不足,把我给刷了…… 直到现在提起还是非常难受,痛失国家队。

后来又投了 shopee 的安全岗,一面、二面、HR 面的流程推进都很快,自我感觉和最后的 HR 面反馈也都不错,但一直处在泡池子的状态,也没有听说有人开到了这个岗位,前几天才在牛客上看到另一个人同岗的面经,也不知道最后能不能开到我,已经等了一个多月了,心态倒是比较平静了,随缘就好~

年末旅行

等到实习结束,已经是十二月底,马上就要结束 2024 年了,想着趁现在旅游的人并不多,就出去走走吧,思来想去,买了张半夜的机票,直飞重庆(确实便宜,单程只要两百多块钱),落地的时候已经是凌晨一点多了:

在重庆的两天,逛了逛比较出名的几个景点,实在感叹这个导航都不好使的 5D 城市,永远都不知道自己在几楼,可能是 1 楼,也可能是 22 楼。

展望新年

因为高铁上的座椅实在不舒服,加上换乘、回家做饭,断断续续地写到现在,已经是晚上 8 点 37 了,距离 2024 今年结束不到 4 个小时。

关于新的一年,我希望自己能做到:

  1. 保持一个健康的身体;
  2. 专注于自己热爱的事业;
  3. 由传统 Web 安全转向云安全;
  4. 多学习新鲜的知识和技术;
  5. 深入研究一至两门技术;
  6. 多看看非技术类的书;
  7. ……