【T00ls十年有我】一个非主流菜鸡的安全之路

2018-07-09 22:22:08 19 6711

不忘初心,方得始终,我将继续前行。T00ls前十年没有吾,吾或存于T00ls未来十年。


首先,我为什么会来到t00ls?
早就听说这里全是大牛,姿势又多,想进来学习各种姿势。。。


我加入t00ls多久了?
算上今天第38天了。


我多大了?
21啦~~~

接着说下我坎坷的安全之路(求职之路):

首先说下我申请的第一QQ是我初中同学帮我在网吧申请的(MMP还收了我2块钱)

初中的时候,偶然间听到同班的同学说出了“刷钻”这个概念,当时觉得非常好奇,就去各种百度,Google(那时候谷歌还没被qiang),最后终于弄懂了这是怎么一回事:利用移动业务短信网管和SP服务商的短信延迟漏洞进行利用,意思就是我用手机开通一个腾讯业务,二次确认订购的同时取消,取消短信先发送一秒,订购后一秒,这样就造成了时间差,移动这边取消了,但是SP服务商那边是开通着。


学会了"刷钻"之后,我就和那名同学每周不吃饭都要去买一张移动SIM卡进行刷钻测试(那时候会有刷钻失败拉黑移动卡的说法,意思就是一张移动SIM卡只有二次订购的机会,多次订购就会被拉黑),那时候简直疯狂,上网搜索各种教程测试,后来我在一个叫:斯凯网的论坛学会了大量刷钻技术,而且刷上了很稳定。当时我和那名同学免费帮同班玩QQ的同学点亮了全部能开的业务(那时候被人崇拜的感觉真好)


告别了初中生活后,来到高中,业余时间继续着我的"刷钻生活",但是我又学习到了一门新的技术(装bi技术)-免流,其实就是利用第三方代理程序,然后把移动运营商免流Host代理上从而达到流量不扣的效果,不得不说,这个漏洞至今还有,不过利用方式更加的高级(我现在还用着电信免流),不知道谁为了Rank提交到了乌云,哈哈,具体见下。
http://wooyun.webbaozi.com/bug_detail.php?wybug_id=wooyun-2015-0165733


然而在高二的时候,偶然间,我在搜索”刷钻技术教程“的时候,一则新闻掠过我的眼前-中美黑客大战,我点了进去,被这种方式的爱国方式深深的震撼(其实就是感觉把国旗挂在别国网站上的黑页很炫酷),当时感觉自己一腔热血,心里想以后一定要成为他们那样的人!


接着搜索如何成为一名红客或者说黑客,当时我把各种像什么SQL注入,XSS,文件上传等等的概念都百度了一遍,而且达到了算了解的程度,无奈,当时只有一部老人机~~~~那时候还没有安卓......
百度其实给了很多建议,但是我觉得最重要的一点就是我得先弄到一台电脑,无奈,我将想买一台电脑这个想法告诉父母后,不仅把我手机收了,还叫我不要搞其他的,安心学习。。。。(你们不知道我当时无奈的心情)





迫某些原因,我对各种漏洞只停留在概念上的了解~~~~~~


接着来到了高考结束,由于高中那时候抱着只学数学就行的态度(当时班上同学都感觉这个老师教的不行,只有我认为那个老师讲的很有风趣),导致了我高考的失利,但是高考后我数学单科是我们班的第一名,或许我唯一值得庆幸的只有这一点了把~~


到了选专业选学校的时候了,当时肯定第一想的是做网络信息安全,第二想选的是警察,选这二个是因为我看了那个中美黑客大战新闻的原因。

但是命运似乎又跟我开了玩笑,由于当年我们那一届是最后一届用四川卷,导致分收的特别高。。。结果二个学校都没有录取我。
接着我选择了复读,但是迫于复读压力,我又选择了补录,最后补录进了某学校学了WEB开发。


进入大学,既来之,则安之,我选择了暂时放弃了我的黑客梦,专心学习Java开发,但是我还是随时关注网络安全和各种最新漏洞等等,但是还是没有去实践。
通过大学学习后,我渐渐的发现我也越来越喜欢写代码和开发了,哈哈。大二的时候代表学校去参加了四川省的某安卓开发大赛(失败而归~555),并且在大二的时候,加入了Lion创建的高校技术分享群,群里每天晚上都会有人分享技术(讲课),我还清楚的记得我当时讲的是三大运营商流量计费漏洞,Lion还参与讨论了,当时真的非常开心,不过最后因为那次比赛的失利,精神状态有些低迷,一直也没参与讨论了,最后就被请出群啦~~~


最后我要说的是,我是怎么继续不忘初心,方得始终的。
昨年2017年12月我开始投简历找JAVAWEB开发工作,不过年底很多公司不招实习生(招你进来又要多发年终奖),最后我现在的公司看到了我的开发简历,并且打电话叫我过去面试,我一看这是一家安全公司和我当初想学习得安全相关,当时也急着找工作也没多想就准备说去(其实他们招的是安全运营,就是看下监控平台之类的),我面试过了,还记得当时面试官拿着我得开发简历看了看,问了我有没有渗透经验~渗透过哪些网站之类的,我说我停留在脚本小子阶段,对安全的理解只存在于概念上。但是我跟面试官说过,我想做渗透测试(其实他们就想招一个安全运营而已)。


但是不知道怎么的,我面试居然过了,不过岗位不是渗透测试,而是安全运营。。。。(或许冥冥之中自有安排把)
到了公司看了一周的文档后,公司安排我出差到广西,人生第一次坐飞机,第一次出差,我得第一次就这么没有了。
但是到了后,我发现我所做得这些事情并不是我想做得渗透,一个月后服务部得几位渗透测试大佬过来广西测试系统,当时我也在广西,我就和他们聊了下,我说可不可以转部门跟你们来做测试,他们说可以得。。接着我就发邮件给人事和各个相关部门负责人发了邮件,然后我就被叫回去二次面试啦。


二次面试也过了(水过去啦,哈哈)。接着我进入了服务部做了渗透测试,从2018年2月至今,都在实习渗透测试,在这期间结合以前得理论基础加上实战,我很快得适应了我目前得工作。接着我通过提交漏洞,获得了t00ls邀请码,这这段时间在t00ls也学习到了一些姿势,目前得话,算入门把,哈哈。
目前除了看各种技术文章外也在开始活跃各大SRC平台,增加自己得逻辑漏洞经验,另外开发我也不会落下,也将继续学习开发相关知识。


但是最近我黑了圈内某黑阔得网站,当时以为是很小的网站,一时兴起留下了ID和非主流黑页(第一次挂黑页....),然后到处找我,最后他加入了我所在的一个群,我们也交流过了,在这里还是说下对不起~~~以后不会了。。。


最后:
不忘初心,方得始终,我将继续前行。
T00ls前十年没有吾,吾或存于T00ls未来十年。

关于作者

ximcx010139篇文章318篇回复

评论19次

要评论?请先  登录  或  注册