普通红队的22年总结

admin 2023年1月1日14:03:15安全闲碎评论10 views2380字阅读7分56秒阅读模式

红队是我的第一个正式工作,现在入职也有半年多了,趁2022的尾巴写个感想存个档。前阵子看了倾旋师傅的《我的三年红队生涯总结》,还有一个不认识的喵呜师傅《自知之明(三) - 2022上半年总结》,感慨倾旋师傅对技术追求的纯粹,喵呜师傅工作和生活的平衡。正好前几天引我入门的师傅问起半年能力提升,就顺便记录一下这半年的变化,也为2022年存个档。倾旋说红队群体多数不善言辞,我来当少数的话痨。

关于我的迷茫和坚定

我的迷茫由来已久,这是我远离人群的时候主旋律。在我的初高中时代,经常偷玩游戏,体验过短暂欢乐之后席卷而来的空虚空洞。在大学约束变少了之后,自己反而觉得无所适从。大学的时候,我很羡慕周围的人。我羡慕每天早上在图书馆门口等着开门的人,羡慕每天晚上在球场打球的人,羡慕隔壁寝室每天弹吉他的同学,羡慕可以寝室从早到晚玩游戏的室友,甚至羡慕路上因为上课要迟到而快步走向教室的人。他们好像都知道自己要做什么,知道哪里值得停留,只有我茫然不知所往。于是哪里人多就往哪里挤,就这样莫名其妙已经研究生毕业半年多了。刚走上安全这个方向的时候,为了防止自己摇摆不定,就申请了这个公众号记录学到的技术和自己的成长。这个公众号的初衷就是见证自己的成长,也见证各位的成长。

我的学长和同学们凭借学历上的优势多数毕业进入了甲方,像我一样选择乙方的少之又少。唯一一个同在乙方安全实习的同学,今年也从鹅厂毕业去了甲方安全。好在本以为的孤独迷茫并没有出现,红队路上认识大佬,都像是安全路上一个个成功案例,道路逐渐清晰,未来逐渐可期。认识他们之后,我一直觉得红队仍然是个少有学历限制,技术为王的好时代。身边很多技术大佬并没有很高的学历,不妨碍他们风生水起,而我们部门招人的学历标准也只是近期才提高到本科,技术高可降低标准。随着17年实施《网络安全法》,21年出台《数据安全法》,网络安全越来越成为企业刚需,很多高校慢慢开始有了网络安全这个专业,未来乙方安全可能慢慢也会像程序员一样技术和学历一起卷,不妨碍现在是个很好的时代。

普通红队的22年总结

今年有幸参加大学学院的一次夏令营分享,分享自己的网络安全之路。分享的过程也是给当时的自己存个档,如果能让学弟学妹们未来少一点迷茫,就是意外之喜了。

普通红队的22年总结

关于我的成长

我进入红队是一个巧合,当时实习所在公司的前同事跟我说有一场安全讲座,在讲座认识了我入职前就离职的实验室前前同事。这个跟我同岁的师傅把我内推到了现在的部门,没有他和头头最初的信任,可能也不会有现在的公众号,2022年非常感谢他们。23年努力让自己也有独当一面的能力。

普通红队的22年总结

另外也许是行业现状,乙方安全这群人学习态度都非常端正。在围城墙外的时候想增加实战经验,未经授权的渗透是违法的,只学理论知识会陷入一个怪圈,自己搭建靶场耗时又总感觉不够真实。纸上得来终觉浅,绝知此事要躬行。项目实战遇到的就像一个真实搭建好的大型靶场,对于刚进圈子的人来说机会难得。最近一次红队项目,nopac漏洞魔幻开局第一天就穿了域控。后面的这几天,都把他当成一个练习靶场对各种工具和漏洞进行实战尝试,确实比游戏带来的快乐充实的多。当然如果进展不顺利,又是两说,一次在客户现场坐牢,进度被时间追着跑。打到凌晨三点半睡在客户会议室里的行军床上,八点半自觉起来接着打。为了防止下一次红队坐牢,为了有一天可以内网畅游,后来对于一些没有接触到的新内容学的很认真。

普通红队的22年总结

关于二八定律,在任何一组东西中,最重要的部分其实只占约20%这一小部分,其余的大部分,约80%,虽然所占比例大,但是却并不重要。在一次项目的甲方面试中被pass掉以后,我也开始反思半年红队我的核心竞争力在哪,没有考证和奖项也没有感谢信。前半阶段一直在关注RCE漏洞,但是说实话很多RCE都有利用工具,最后总结总是“有手就行”,真要说竞争力也就是对漏洞敏感度和利用熟练度的问题,以及后续利用步骤。后边段时间学习重心从RCE漏洞慢慢往内网靠。另一方面也是针对这次失误的,我感觉自己的面试经验不行,面试题还是应该看的,实战可能遇到的有空就复现一下,遇到概率比较小的,了解原理也方便扯皮。

二八法则另外一种说法是,学一样东西80%入门的内容不难,只需要20%的时间,剩下的知识需要80%的努力才能到达精通的水平。刚打红队时候遇到的磕磕绊绊比较多,当时学习的积极性最高,成长也是最快的。比如某个之前没有利用过的RCE,会去学习利用方式,收集利用工具,没来得及尝试也会事后搭个靶场。同样的资产,其他师傅打点成功了,我没有发现漏洞,会去反思是扫描的问题,目录字典的问题,还是漏洞收集的问题。最近接受知识都比较被动,一般是自己实战遇到问题,发现的不足才会积极去学,美其名曰“怕技能树点偏”。现在看起来,平时还需要主动花时间去学习。

关于这个公众号

现在发的RCE漏洞都是很入门的知识,怕贻笑大方,所以并没有公开发在朋友圈,可见的多数都是圈外的朋友,非常感谢关注的好友。

普通红队的22年总结

目前仍然是一个很小众的公众号,关注人数240个,偶尔有人转发阅读,都感觉是很有成就感的事,非常感谢各位的支持。未来重点会偏向内网,和大家共同成长。

普通红队的22年总结

有时候公众号也会遇到比较有意思的事情,回复shiro拿工具。

普通红队的22年总结

今年差点也有广告了。

普通红队的22年总结

目前最火还是一篇跟技术无关的文章。

2022年5月15日。吐槽归吐槽,还是希望这个城市快点好起来,善良的人也被善良对待。

云下避雨,公众号:云下信安沪漂疫情日记

普通红队的22年总结

23年的打算

考一两个证,与其千鸟在林,不如一鸟在手。

多出去旅游。佐野洋子说,“无论多么不行的时刻,人都是可以靠小小的喜悦活下去。生活的诀窍,一定在于发现很多小小的喜悦。”

努力找个对象。今年去了杭州法喜寺,听说那里找对象特别准。如果23年找不到对象,我就在上海败坏法喜寺名声。算命的说,明年是个好年。明年一定是个好年。

普通红队的22年总结

原文始发于微信公众号(云下信安):普通红队的22年总结

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月1日14:03:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  普通红队的22年总结 https://cn-sec.com/archives/1491854.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: