前言
现在是2025年 1月5日凌晨2.27分
这是自2023年以来,第二次写年报了,感觉自己的阅历与技术较于上次的自己有了很大的提升,这一年生活出现了很多变故,遭受了很多打击,但逆水行舟,强者是要去往上游的,而不是自甘堕落,不能因一时的喜悲而停止前进的脚步,故通过写年报来捋清自己一年的收获与失去,谨防自己不知所以然的碌碌无为一年。
一月
第一次有对象给我过生日,然后就是学校期末周各种复习。
放假以后,先是给团队写了一周的新年贺卡,大概四五十份吧,然后给每一位成员寄了过去,这是此生第一次去邮局寄信,学会了不少东西,然后又拼了好几天对象给的积木生日礼物,手都要拼麻了。
再就是买了个电脑桌,研究了下桌搭,圆了一个小时候的梦想。
二月
年后,又要每天早上六点起来,冒着寒风,在下完雪的路边练科目三了,幸好就练了一周多,科三和科四连考都过了,顺利拿下了驾照。
不过科三每天就练半天,这样可以强迫自己每天早起,因此每次练完回家都是中午12点左右,这样我就利用每天下午的时间入门了Java代码审计,审了七八条CC链,弹出了好多计算器,收获颇多
并且在 奇安信攻防社区 投了代码审计稿子,顺利过审,并拿到了稿费和礼物。
三月
开学了,要卷起来了,自己上学期综合成绩专业第一,成就感满满,感觉只要这学期再拿个第一,国奖就稳了(后面有伏笔)
然后又利用课余时间审完了剩下的CC链,继续发了几篇文章。
在三月末的时候,打了第一届“长城杯”信息安全铁人三项比赛,自己出了俩web,然后GPT出了一个密码,队友全员爆0,因为比赛也看misc、pwn、re的单项分,因为爆0,导致我们没能进天津线下,而排名比我们低很多的,却凭借单项排名进了线下,错失nisp证书。
但过了几个月,竟然收到了初赛 一等奖 的证书,一等奖且没进线下(有点讽刺)
四月
虽然学校在北京附近,但两年了还没去过天安门,于是清明去了趟天安门散散心,看着挺威严的,还去了趟潘家园,淘了点文玩,第二天去玉渊潭赏了下樱花,不得不说风景真不错。
清明节后,发现长城杯因为有很多队伍去不了线下,然后开始候补了,期待了半天,发现就华北赛区没有弃赛的,哎,华北太卷了。
没过几天,打了下帕鲁杯,感觉还挺好玩的,第一次碰到有应急响应的比赛,但没想到这只是开始,以后大部分比赛的线下以及线上都加入了应急响应,逐渐替代了传统的misc,随便玩玩得了个三等奖。
最后又在四月末打了蓝桥杯的网络安全省赛,不让联网,还是三机位,web还是0解题,但不出意外拿了省一
五月
五月开始便是五一假期,前几天越想越感觉自己这学期运气差,去了趟北京雍和宫求了下佛(“我要成为网络安全冠军!”),顺便给随身物品开了个光。
过了几天被通知进了蓝桥杯线下,时间是6.1号,没法过儿童节了,呜呜呜。
然后就是一直背面经,准备护网面试,但面了很多家都因为去年苕皮哥事件被年龄卡的死死的。
六月
月初,坐着学校的大巴车,和算法赛道的一起去了北方工业大学打了半天篮桥杯线下,线下办的挺烂,手机也不收,一堆人用QQ微信也不管。
以为能拿个国一二,结果被无理由ban了,那些用社交工具的人反而没被ban,但得知ban了差不多一半很强的师傅后,心里平衡了很多。
圈钱杯再也不来了!
又到了一年一次的 CISCN信息安全国赛,因为实验室要求要每个方向最强的组成一队,我们队伍初赛排名比去年高了很多。
但这比赛一如即往的py交易很严重,学校不知道哪冒出了一队,黑灯后直接冲到华北赛区第六(远超北邮等学校),再加上我们队被背刺,一个学校只有俩名额,我们队伍竟无缘此次线下。
因此我emo了好几天,感觉跟变了一个人似的,不过还好这次比赛查的严,那一队被ban了,或许我的愿望被雍和宫调剂了吧,虽然我的排名完全足够,但让我绕过霉运,曲折的进了这次线下。
时间来到六月末,期末复习周,来到了天津大学,参见了ciscn线下赛,不出意外,华北赛区是最难且卷的,只有华北赛区到最后还有0解题,羡慕死东北赛区了。
不过经过努力还是拿了线下半决赛三等奖,擦边二等奖,有点遗憾。
顺道看了下天津的世纪钟
从天津回来的第二天便开始考了第一门专业课,时间挺紧张的,还没怎么复习
七月
按照学校惯例,在期末考完后,还会有两周的实训才能回家,这次实训是请的中软的一个培训老师,来带我们写一个Java语言的C/S架构的餐厅点菜系统。
虽然我经过审计CC链对Java的掌握以及很熟练了,但我仍从这次实训学到了标准的项目代码结构,一个项目代码要分层设计,比如控制器层,服务层,数据层,对我开发方面的帮助还是挺大的。
我基于他教的简陋的点菜系统,手搓了一个 B/S 结构的校园二手交易网站,并且也申请了提前答辩,打算有空用这个项目水个软著,挺有成就感的。
在经过两周在机房的实训后,便放暑假回了家
回家后想到开学就大三了,一直都在打比赛,而马上就要就业或者考研了,感觉自己实战上有些欠缺,便开始了没日没夜的挖洞生活,从早上9点起床一直挖到晚上2点多
因为是我挖洞基本是0基础,刚开始基本每天把测绘引擎的免费积分用完,都挖不到洞。
现在还清楚的记得我的第一个通用的cnvd漏洞是一个PMS的sql注入,当时手注绕了两个小时,才带进去系统,可惜是个资产不到5000w的小公司,只有一个cnvd编号,没有原创漏洞证书。
到了7月29日月末,意外挖到了一个中国电信的中危事件漏洞,当时网上说四大运营商的中高危事件漏洞就给证书,高兴了一个星期,没想到还是只给了一个编号
八月
因为一直搞不到 cnvd 的原创漏洞证书,到头弄了一堆没啥用的漏洞编号,感觉自己开始走火入魔了,一天天的很少吃饭,基本每天全时坐电脑前面,好像回到了高三。
因为cnvd对漏洞的收录门槛有点高,自己存了一堆cnvd不收的洞去交到了 补天漏洞响应平台,得到了人生第一个src平台的周边奖励,也算是有点回报了
终于在开学前的一个星期,半夜凌晨三点,挖到了一个资产大于5000w符合颁发cnvd原创漏洞证书的厂商漏洞,本以为个中危,可以获得证书,没想到碰到了个不懂的审核,拖了俩月,没弄明白漏洞,给评了个低危,暑假搞cnvd证书机会泡汤了!
八月末,又迎来了“冀信2024”网络安全廊坊分区赛,这次没有web题,但我依靠re和misc,将队伍排名拉到了第二名,洗刷了去年压线的耻辱。
九月
开学的前几周便开始上压力了,周六日都是比赛,打了 “长城杯”京津冀网络安全竞赛初赛 还有 京津冀大学生信息安全竞赛初赛,还好都进了线下,没有白打。
虽然在cnvd平台没得到证书,只获得了一些漏洞编号,但同时在补天交了很多漏洞,收到了来自补天的中秋礼盒
同时去玩了一下 黄河流域警校的ctf,得了一个二等奖(圆了去年空间立的的flag)
没过几天下学期的成绩也出来了,依旧是专业第一,并且还是全学年第一,按道理说国奖是稳了,但是运气不好,被通知虽然是学年专业第一,但因为下学期体育79,没过80没资格评国奖。
我体育没缺过一节课,却被老师给控分了,经过这件事,我明白了学校对体育方面的成绩把控不严格,需要选到好的体育老师,我身边很多人没怎么去上过课,但仍能期末过80,这代表了 选择>努力,最终只能退而求其次,拿了 国奖励志奖学金。
然后来到了 北京国联股份公司 打了 “长城杯”京津冀网络安全竞赛 全国总决赛。
但竞争激烈,而且不知道队内谁把网线拔了,导致题交慢了,只拿到了优秀奖,不过盖的公章有很多,很有含金量。
又过了一周,二战天津,来到了 京津冀大学生信息安全竞赛的决赛,这次我ak了web,并且依靠 非预期解 拿了很多分,但因为pwn的爆0,和下午的应急响应得分不高,错失一等奖。
这次比赛回来的第二天,又紧接着打了河南省赛“御网杯”,比赛办的很烂,全是卖答案的,我赛题全解出了,只得了三等奖,没什么好说的。
长达一个月的高压比赛结束了,我的心思又回到了搞cnvd证书,因为暑假都是通过黑盒的方式挖洞,听很多大神说白盒审计更好出洞。
果不其然,经过几天审计,我发现很多白盒漏洞都要比CTF里面简单很多,一段时间挖到了好多cnvd证书,并发现cnvd证书可以评校单项奖学金,我一定要狠狠的挖!
十月
国庆长假来了,打了一个月的比赛,决定放松放松,把学校周围还没去过的商城广场都去了一遍。
因为这学期打比赛获得的奖金有点多,而老的拯救者笔记本续航也拉胯了,并且外出比赛携带非常不方便,下定决心买了台内存顶配的Macbook pro,从此便拥有了人生第一个苹果设备。
然后因为对MacOS不太熟悉,装各种环境和工具倒腾了一周。
到了10月末,迎来了两年一度的 网络安全奥运会-网鼎杯 初赛,这次初赛排名全国100多名,没想到竟然进了贵阳线下赛。
然后就是去了趟 应急管理部大数据中心,发现有了工作的人眼里好像都失去了光,变成的社会的“牛马”。
十一月
经历了一天的长途跋涉,我来了到贵阳,这是第一次来南方,发现北方都田地和村庄是分开的,而南方则房屋周围就是自家的田地,没有北方的井井有条,而却显得有错落感,有种被绿地环绕的美感,出门就是自家的田地与水塘,然后开始一天的劳作。
再说回网鼎杯,感觉这座城市对这次比赛挺重视的,大街小巷都是比赛的旗帜与宣传语,CBD大楼还有这次比赛的灯光秀。
这次比赛我们拿了高校组全国50名左右,与上一届相比进步明显,比赛第二天去了贵阳的青云市集、甲秀楼、白宫……还看了黔灵山的马喽。
不过由于水土不服,回到学校就上吐下泻加发烧了好几天。
十二月
又到了期末月,没想到又有一个线下比赛从天而降,幸好是期末考完的第二天开始,我们队被邀请参加了 “冀信2024”总决赛,做了一个多小时的火车就到了唐山。
这次虽然队友有事,就来了两人,但仍取得了相对较好的成绩。
结尾
祝各位新年快乐!愿自己在2025无论是技术还是阅历都能得到进一步提高!
tql师傅 带带挖洞😭😭😭
2025我们都能如愿以偿!