网安新旅程
将近四个月没发博客了,今天交代一下最近发生的事情和规划。
TryHackMyOffsecBox QQ交流 君羊:751273347
近期的事情
6月开始我进入htb学院学习CPTS,7月左右我完成了95%左右的内容。7-8月份我基本都在做C#相关的开发,所以那两个月没发博客。
9月入学,当时正好THM出了新路径《SOC》,然后有活动就过去学了一下SOC。然后就是刚开学的一大堆琐碎事和环境观察。刚开学一周我就去对学校某个站点进行漏洞挖掘,有了点成果之后就上报了,信息中心老师也诚邀我加入安全团队和安全相关勤工助学的岗位,结果相对还算满意。
9-10月,我时不时对学校内部重要的、敏感资产进行信息收集和漏洞挖掘,当然这些全部信息已做好保密工作,截止至今危害大大小小全部应该有30余个漏洞掌握在手上(部分已上报信息中心相关团队处理),也就随便看两眼,没有死折腾,所以漏洞类型基本都是一些比较常见的漏洞。此外我也逐渐开始参与漏洞修复验证之类的工作。
文章的后面我会再讲做这些有什么意义和价值。
还有其他一些不值一提的琐碎事,比如上电视了、还有开发课的老师让我去讲课啥的一堆琐碎事。
近期的规划
10月国庆后,我针对现环境制定了《大师计划》,目的是能够在现所处环境、现仅有资源下尽力学习网安,就像计划名一样,期望成为‘大师’。
在融合以往学习经验以及吸收大佬们的心得和建议后,就有了这一份简单的大师计划
首先就是以面向HackTheBox、TryHackMe、OffSec等知名平台学习安全知识和日常打靶。其次就是把.NET C#水平提一下,设计模式学一学,满足开发需求同时能够辅助网安方面,然后计网就不用讲了。其次就是CTF,我们现在走的方向不是CTF,但还是有必要多接触一下。另外就是英语。
这些计划实现的基础条件除了坚持的付出之外,还有一个最重要的条件,那就是时间,如果我们没有大量时间,那么这一切都将白费,所以在计划当中,我几乎忽视了学校课程,仅仅确保学习课程及格,尽可能的将时间腾出来
另一个点,则是文章上面和大师计划提到的,从目前来看,学校信息中心对我的印象非常好,并且在网络安全处置方面我觉得令我比较满意,在我提出针对学校做渗透、红队行动的时候也有支持的意思。
所以这里的关键点就是,学校环境可以让我发挥,而这个环境最大的特点就是‘真实’、‘国内风格’,我完全可以借助‘整个学校网络环境’来使其成为我的真实项目经验,并且尝试将在htb、thm等方式学习的知识、技巧输出于此。
这还有个好处就是这是长期的,这意味着只要我想,我可以一直做到毕业。同时,我也会受到法律约束,一旦我做错了一些事情,那么我也将会承担法律责任,但也因此显得更加真实。
最近的事情
10月底-11月,我已经开始执行大师计划,率先在htb打靶,慢慢融入htb知识体系,从退役打到活动,从easy打到hard,然后prolab、htb学院深入知识等等,各种boss在等着我攻克。
我也知道除了thm外,未来我很多时间都会花在htb上学习和练习。
结尾
其实会发现,基础尤为重要,而我的网安基础则来自thm,在thm学了半年,收获无疑是非常大的,这一点不用质疑。这也让我thm打到了中国区排行榜准前二,虽然现在在暂时性thm停课了,排名有点掉了。
还是那句话:THM领进门,HTB、进阶看个人
最后一句话:现在,一分耕耘不一定再会有一分收获,但我愿意付出千倍数万倍来尝试换取一分收获。