专访民间传奇黑客Rices：没有思维的东西可以很安全, 有思维的人是不可预知的【T00ls人物专访第二期】

Rices大家都知道，Rices的故事你不一定知道。Rices装逼的故事你知道，Rices的0day你一定不知道。本期采访的人物是Rices：小编负责将人物完整的以第三方叙述出来，不作人物评价。本系列人物采访中的任何观点、立场均是采访作者与采访人物所持，不代表T00LS。



【1】自己的故事：

     鄙人文盲一个, 初中辍学, 而后炒过菜, 端过盘子, 搬过砖,。也在街上发过招嫖卡片，然后带着客人到指定地点, 就这样做成一单就能赚20块钱。后来越做越大，我发动了我的同学一起发。在08年的时候因为发这种卡片被强制教育了2个月, 政府看我可怜把我安排在当地的派出所扫地。那时候每个月给我800块钱, 和警察叔叔们一起吃喝玩乐, 每天看他们接案出案并且不被理解。所以我励志要做一名为人民服务的人民警察, 后来才知道自己太天真了...

     这段经历一直影响着我到现在, 既然做不了警察那也要做一个对社会有用的人。我家三代贫农, 我是家里的独苗, 小时候一直梦想着可以过城里人的生活, 可如今却还是怀念那清闲自在的农村日子, 与世无争无忧无虑。如今一家老少亲戚朋友全部都指望着我养活, 国家的未来也要指望着我们这一代, 扛在肩上的担子越来越重, 我的压力很大。

    从此以后我便醒悟过来, 我的传奇人生本不该如此平淡。

    04年(小学)接触的电脑, 过了一年就和计算机老师打架, 因为偷了教室里的键盘去卖钱, 后来差点被学校开除, 也因为这件事情和老师成为了好朋友, 那时候他有事没事就在我面前炫耀他怎么盗qq的。还说我的qq号他想盗就能盗, 我经常看他登录一个叫做"黑客基地"的网站, 于是我也去那个网站上学习。后来才发现是如此简单, 于是我开始在学校的电脑全部种上这个qq盗号的木马, 然后改我喜欢的女同学的密码。后来威胁她成为了我的女朋友, 经常拉她到角落里玩。

    08年因为玩一个游戏接触到了外挂, 那时候有了点基础, 就开始学习起写外挂来, 也算是从这个时候开始入行了吧。期间认识了很多朋友, 二进宫是因为和一个朋友做了个刷QB的软件来骗钱, 前前后后可能骗了几万块钱吧。后来有一次老爸开车带我去玩半路被警察叔叔拦了, 出来后继续吃老本, 那时候DNF火起来了, 就写DNF的外挂赚钱。那时候认识了我最重要的一个朋友, 称呼他为C吧, 也是他带我入的行, 也是他怂恿我一起写外挂赚钱, 然后就是三进宫了......因为当时未成年, 所以都是教育一下把钱上交了就完事了, 每当想起当年那些日子的快乐和刺激就很开心。

    人长大了就慢慢的变了, 再也找不到当初那种成就的喜悦了。

    后来我慢慢的发现朋友C不怎么理我了, 我很伤心, 原来他开始玩免杀了, 觉得写外挂很没出息。终于在一次吵架中C把我拉黑了, 也是那次开始我和C开始较起劲来了, 我是一个不服输的性格。我觉得别人能做到的，我也可以做到, 就这样每次我赶上他脚步的时候就加回QQ, 可他总是比我快一步, 每次会了新东西就又把我拉黑了。

    就这样慢慢的, 他开始玩web了。为了追逐他的步伐, 我也踏进这个圈子了, 也在那时候知道了T00ls。

    我对C说我那个T00ls怎么注册不了啊, 什么站啊。记得那时候C对我说了一句话:＂你这菜比进来不了的, 这里都是大牛```````＂后来我才知道, T00ls是一个大牛云集的地方, 也知道了要得到邀请码必须要提交原创文章, 可那时候我根本不懂渗透技术。于是:"我学着网上很牛逼的文章来胡编了一个社工的文章, 当时那些逗比管理们竟然给我通过了。"

    虽然写过程序, 弄过免杀, 搞过外挂, 也玩过破解, 但web渗透方面真正是11年才通过T00ls接触到。因为我是一个非常喜欢怀旧的人, 也是很重情谊的人, 所以到现在为止依然一直坚守T00ls。尽管现在那么多的平台，尽管土司几开几关, 管理换了又换。可还是只有在土司, 才能找回那一丝丝的亲切感. 那里有我的当初的梦, 也有我的故事。

    我以前是一个很记仇的人, 记得当年在一个论坛因为和版主不和, 而版主和管理员是基友。所以管理员就发动了整个论坛的版主来骂我, 把我赶出了论坛, 那件事情是我遇到的最挫败的事情, 尽管过了3年, 我还是把他的网站格了。格式化之前自己打包备份了一份, 域名也给他转走了, 最后干脆自己搭建起来, 然后把当年骂我那些版主的号全给封了。论牛掰的事儿, 我自己心里最牛掰的事就是这个了哈哈。（小编提问：你做过的最牛逼的事情是什么？Rices如实答。）

    网名Rices是我最爱之人的简称. 可如今她已经不在, 我会永远记得她的。

    学习的论坛只呆过T00ls, 在组织的日子是成长最快的, 那时候大家都有一颗装逼的心, 最高的记录是一天之内改了当时国内10个黑客网站的首页, 想起来就很开心, 能渗透的就渗透, 不行的就社工域名, 再不行就打电话给域名商骗。哈哈。为了改首页装逼是使尽了浑身解数啊。

    第一台服务器是拿的学校的, 最难拿的是女神的电脑。（小编注:有多少黑客拿下的第一台服务器是自己学校的？）

    后来自己建立了4FuckerTeam, 还记得的人应该不多了, 不过现在已经是第5个年头了, 朋友们转行的转行，上班的上班。但是一聊起来, 还是有聊不完的话题, 这也许就是我们的青春, 组织就是我们彼此的家。烦心了可以来倾诉，高兴了可以来装逼。

    还是要感谢一下这些朋友们, 不管如今我们关系如何, 现状如何, 都希望大家能够健康幸福快乐, 维系不了的缘分那就让大家相忘于江湖吧。进去的兄弟, 4FuckerTeam所有人都在等着你们。

    学习技术时，现在觉得实战胜于一切, 我是比较反感书本那套的。思路和想法最重要, 不谈0day的话技术也好, 手法也罢, 现在国内有很多成熟的平台给大家学习, 所以我觉得最重要的还是思路。有了思路才会有各式各样的手法, 才会有更多的运气, 任何思路和想法都是需要无数次的实战来产生的。还有一个就是坚定的信念, 当你想渗透一个目标时, 你一个月搞不下, 一年搞不下, 我相信再不济你花两年总是能突破的。

    web程序的话以前会比较喜欢挖一些, 因为以前喜欢搞comsenz的程序, 所以旗下的挖的比较多。要问我有多少我只能说现在comsenz旗下程序的都能秒(装逼的)。phpwind也有一些, 国外的一般就是smf phpbb phpmyadmin (装逼的)。不过大多乌云和其他平台都公开了应该, 也没怎么仔细看。还有的就是一些设备的0day了, 很多安全公司的设备都比较多的溢出。现在倒是觉得0day其实没有那么重要的, 如今用开源程序的感觉不怎么多了, 国内的互联网企业安全意识也在提高。大部分都是直接弃用Discuz等开源程序转而自己开发, 反正现在程序员廉价, 所以感觉重要的还是实战经验。（你有多少0day？Rices如实答）

【2】履历与现状

1.你的性格是什么样的？

    喜欢结交各种基友(不以利益为前提), 神烦那些太过于看重名利的人, 神烦那些不会装逼的人, 神烦那些自视清高的人。

2.现实中的你与网络中的你一样吗？

    现实中比较稳重一些, 和网络的区别无非就是网上敢骂敢喷, 现实中可是会被打的。

3.你的黑客价值观是什么？

    做黑客前先要学会做人，千万不要看不起任何人，今天你看不起别人，没准以后别人就能超越你。我最恨的就是那些自视清高的人，这是我的人生箴言。还有看准的事情一定要去做，尽管可能一败涂地，人的一生本该如此，没有的经历的人生算什么呢。

4.现在的状况是什么样的？未来的打算是什么样的？

    现在从事服装行业, 主要是做实体, 所以近些年上网时间不是那么多, 还是和我以前在T00ls说的一样, 这方面只是我的爱好。而且这是一个非白即黑行业, 若要踏入此行我必定会走上黑产的路, 个人性格使然, 所以还是当个爱好吧。也希望在圈里的黑客们能够保持本心, 不要被利益蒙蔽了自己, 不管黑帽子也好白帽子也罢, 本是同根生, 相煎何太急呢?

5.仅靠一个SQL注入点如何快速安全的脱裤？

    12年就想这样脱某浪的7000w, 当时十多台服务器一起跑, 跑了3天也不过一百万数据。感觉用注入点就脱全库还是有点不现实, 不过按照现在的情况来说的话, 可以组一个强力的云端，多线程脱。现在再遇到那个7000w我想我可以在一个月内脱完。

6.你觉得你是系统黑客呢？还是脚本小子？

    我不是黑客, 我是神。你对内核有了解吗？学过一些, 了解不深, 自己写过驱动。

7.163网易邮箱泄露事件你怎么看？

    双击查看

【3】对当前网络、信息安全的看法

1.网络安全事故频发，你如何看？

    出事故的毕竟还是在少数, 真正危险的是那些还"没有"出现事故的, 就国内这些企业而言, 近些年就没有一片干净之地，基本上都是马场,而核心的数据是否泄漏，这个谁也不敢去保证。就像网易一样, 今天一个保证, 隔天就被打脸。而且在今后的5年或更长时间内, 这种安全事故还是会频繁发生, 遗留下来的老东西会慢慢的浮出水面。

2.国内外的企业应该怎么样避免这些事件的再次发生？

    太多的企业都是在发生安全事故之后才开始重视安全, 而没有看重安全的本质, 基本上是衣服有一个洞补一个洞。最后越补越烂, 没有从根本上解决问题, 包括部署各种各样的安全设备一样亡羊补牢。还是没有从老旧的思想里转变过来，现在前端后端程序性的东西越来越安全了, 还是屡屡被攻破。我觉得还是忽视掉了人本身 "在安全中重要的一环"。

    没有思维的东西可以很安全, 有思维的人是不可预知的。

    只有当大家从思想意识上把安全当回事了, 这样才会有真正的安全。建议企业都对一些技术员工多做一些系统的安全培训, 而不是光建立各种安全部门, 万里长城不是一朝一夕就能建成的, 只有不屑的努力, 才能成功, 才能坚不可摧。

3.对黑产和白帽子的看法，你的倾向和选择，为什么一些人选择了黑产？

    作为圈里的闲人来说, 是很反感白帽子的。以前也用过很激烈的语言骂过, 白帽子和黑帽子本质上也没有什么对与错之分。如果说只有白帽子是这个行业的指路灯, 可还有那么多政府名义培养的黑客呢，白还是黑完全看你为自己而活，还是为国家而活，或是为了信仰而活。

4.有人说黑客圈技术环境变了，在你看来之前的环境是怎么样的，现在的环境是怎么样的？

    和朋友之间都要互相防范互相利用的时候, 就说明这个圈子已经是利益至上了。依稀记得以前, 大家畅所欲言, 说错了没关系, 没人会笑话你, 因为大家都实力相当。当年那种江湖情谊现在早就没有了。转眼在看看如今的圈子, 两极分化严重, 戾气太重。前几日有个朋友对我说了一句话让我感触很深: "现在圈里连一个可以真心聊天的朋友都没有了, 不是为名, 就是为利, 以前人少, 大家交流起来都没别的心思。"这句话充分反映出了现在圈子的现状, 人人都看重名利, 那种坦诚相待的交流已经没有了。以前要认识一个大牛很容易, 志同道合就可以很聊得来。现在大家都有了层次之分了, 大牛的孤傲成了一种常态，讨论问题都变了味，不是为了问题而论，倒像是为了面子而争。也许这就是一个行业发展必经的过程吧。

5.健康的技术环境应该是怎么样的？

    应该有一个成熟的生态链来支撑黑客的发展，现在已经有了众测，漏洞盒子等平台，可还是不够。只有当黑客能真正的把自己的技术转换为生产力的时候才算是一个完整健康的环境。至少在我看来, 现在的黑客们不是做黑产就是在公司苦逼的干。黑产虽然可以说是实现了技术转换为生产力的目标, 可毕竟还是与大多国家法律所不相符。

6.黑客需要一个什么样的环境？国家，企业，社会，媒体，个人应该怎么做？

    媒体不能过重的妖魔化黑客，社会也应该对黑客有更多的包容力，国家应该重视起这块行业。以后是信息化大数据的时代，黑客就是一把利剑，全看怎么用了。

【4】对将要踏入信息安全行业的新朋友们提一些建议

1.有的朋友放弃学业专心学习技术你怎么看？你的学历是什么？

    没学历，小学毕业证都没有，所以能深刻体会到那些艰辛和无可奈何。所以还是希望大家不要放弃学业。有这个爱好的童鞋们完全可以一边维持学业一边学习技术，因为现在是你人生中最无忧无虑的时光了。

2.有人认为信息安全行业对学历的要求并不高，你怎么看？

    黑客非凡人所能及，没读多少书又能精于此行的更不是凡人哈哈，而且现在很多企业在这个行业并不是很看重学历，这是好事。

3.新手朋友应该注意那些问题才能更好更快的成为职场达人呢？

    如果我进入职场那个公司必定免不了一场血雨腥风，所以无法给大家建议。

4.想成为信息安全行业的技术大咖，现在应该怎么做？应该注意那些问题？

    在行业没有成熟前，进入了就是苦逼命，希望大家勿忘本心，否则只会停滞不前。勿忘本心，既然要做，那就要坚持，更不要去一味的膜拜谁，这是大忌，真正要做的是超越谁，只有这样你才能真正的成长。上天对所有人都是平等的，相信自己，别人可以的，你通过努力依然可以。

【5】朋友眼中的Rices

    Cond0r：Rices是个特喜欢开玩笑的人，毫不客气的说就是喜欢装逼和吹牛逼，但是在真正遇到困难的时候他毫不犹豫的会伸出他的手，在我看来Rices是个值得深交的人，就是这性格一般人受不鸟...

    y35u：Rices这个人自负，但是有实力，在90后中实力我最佩服他，平时他吹牛只是在隐藏他的本领而已。

    假说：弗里蒂克·布朗写了这样的一篇科幻小说:“最后一个地球人坐在家里， 突然想起了敲门声。”我在想，吹牛与装逼是不是也属于科幻的范畴呢？不要以自己的认识来认识Rices。自古怪才都是不被所有人理解的。有个性，有技术。

    oldjun：Rices拿下的站，不能用斗量来计算；Rices拖出的库，无法用亿级来衡量。