【T00ls十年有我】砥砺前行
2008年我注册的t00ls,2018年我还在这,不知不觉已经经历了十年!这十年里见证了牛人们从线上到线下,从虚拟到现实的过程。我从他们的经历和发表的文章中学到了很多学习知识的思路以及技术技巧。而十年中通过t00ls论坛认识了很多小伙伴,给了我很多的帮助。在此向t00ls致敬!
致敬
2008年我注册的t00ls,2018年我还在这,不知不觉已经经历了十年!这十年里见证了牛人们从线上到线下,从虚拟到现实的过程。我从他们的经历和发表的文章中学到了很多学习知识的思路以及技术技巧。
而十年中通过t00ls论坛认识了很多小伙伴,给了我很多的帮助。在此向t00ls致敬!
启蒙
我最早的启蒙老师是电脑爱好者、电脑报、黑客手册、黑客X档案、黑客防线。那时候最常常逛的线上论坛:灰色轨迹(倒闭)、0x557(借的ID)(倒闭)、火狐(倒闭)、网络精英联盟 (倒闭)、绿色兵团、邪恶八进制、暗组、t00ls、
最早的时候沉溺于单机游戏极品飞车3,看电脑报、电脑爱好者原本只是为了避开家人的管控,自己解锁电脑玩游戏。
再后来迷恋传奇游戏。直到自己的号被窃取后,买了第一本黑客手册2005合订本。靠着收集信息申诉了几个8位数的QQ。于是走上了学习信息安全技术的道路。本来只想倒腾回自己的号,结果没想到越走越远。从工具小子、局域网嗅探、渗透测试、逆向恶意代码、操作系统、取证分析、脚本开发一路咬牙坚持学了下来。
看到坛友们的十年感慨,我也放一些当年的图片。保存得并不多,那时候我才16岁,中二的年纪做中二的事。
图1:购买过的书籍你们放.txt,我放shell,告知管理员的那种安全测试。
年轻的时候满脑子各种套路,却从没想过要拿大企业的SHELL找工作。
图2:工具小子-绿色兵团、QVOD、黑客XXX 图3:GetShell-某校服务器 图4:渗透测试-教学科室 图XX坎坷
学习是很孤独的,只能靠自己,小县城物质匮乏,人文素养差异过大。我身边一直没有什么人可以交流,至于学什么,怎么学都是从QQ群与t00ls论坛技术交流板块中找到问题关键字,再买相关书籍学习。
专业不对口,自我生长,上大学后,一直想学的C++,所以高考志愿专业报了软件技术。但那所学校因为前一届学长毕业后很多人找不到工作,到我这届变成了教Java和asp.net两个方向。以致于后来的C++也是工作期间学习的,那段时间从t00ls里程序源码板块收集了很多源码然后拆解知识点。定计划、写基础程序,认认真真敲了几个月代码。
先上车再换座,在校时间总是短暂的,我毕业那年本来想找C#的工作沉淀两年再转行安全开发。可三线城市C#开发的需求是远远小于PHP、Java的。毕竟小城市找到个合适的岗位太难。渗透和开发中选择其一,我无奈只好进某些搞GW的公司,那时实习待遇才1K多学历问题转正4K5。即使10年过去了,【5-7万】仍是那个城市某招聘网正式员工的待遇。当初如果不是没有选择,也不会去拿爱国情怀当饭吃,做这么些不受社会承认的保密性质工作 。但那段时间里在技术收获上内网渗透,HASH值获取的思路从t00ls技术交流版块的问题交流答复里倒是学习了很多细碎知识点,HaHaHa~!
遗憾的是,我确实不喜欢待在这保密那保密的环境中,直到现在任何人说是保密的材料,我都不想去看,去翻。
技术再牛不是钱,懂业务满足市场需求才能挣到钱,因为薪水太低,拿到毕业证书后我就换了公司,DJBH是我当时接触得第二项业务,包括一些同行都觉得DJBH就是在走过场,忽悠成分很高。熟读等级保护的安全标准和参加各类举办的培训后,意识到等保其实考虑到了绝大多数的安全点,但当中矛盾点又很明显。 (注:这几年已经改善不少。)
- 监管部门调控服务价格,技术做得好的公司,竞争对手能以更低的价格把合同签走。
- 客户仅是为了满足单位规定,主动要求将工作形式化。买一堆产品,堆砌出固若金汤的表象。不乐意配合工作的技术人员比比皆是。
- 对基本要求的技术实施理解不同,实施人员对安全防御方面主观判断较高。为了说服客户验收,不结合业务需求,只对DJBH标准文件里的条款反反复复扣字眼。
头顶着公司KPI的项目金额考核,手上忙着跑项目。一份文档要改三、四遍再给客户,忙得时候几个月都在忙。感觉不出来,自己能做的东西新人有什么理由学不会。
江湖险恶,不行就撤,那时Wooyun刚刚成立,给我一种感觉,注重网络安全的时代终于即将到来。自己也开始刷SRC、Wooyun,打算用排名找到一份更好的工作。Wooyun社区里也充满大佬们分享的渗透技巧、思路。我从漏洞公开库中学会了很多姿势!
那时起,我就暗中储备资金计划一定要到更大的城市发展,去北上广深杭见识各种大牛学习的气氛和市场需求。我意识到进步快不快,身边的人、所处的环境都是非常重要的。说实在的,有时候自己学习研究好久,不如跟卓越的人一起共事几天,产品也是,苦思冥想的用户体验,不如亲自实践一下市场上的同类产品。
直到我听说Wooyun关闭、某些人被抓的消息后。脑子里一片空白。可能很多大牛身边都有环境、氛围交流,所以感觉不出Wooyun存在的意义,对于三线城市孤独的求知者来说,好的论坛和成功例子无疑是一份坚持下去的信心和希望。那些天的晚上我在外面散了很久的步。反复翻着Rices在t00ls里的吐槽帖子:《吐槽下现在的各种白帽子, 各种X客, 各种安全X程师》https://www.t00ls.com/articles-23449.html
细细回想着这些年经历过的人、事。让我第一次萌生了放弃这个行业的念头!某些渗透大佬总是拿个HTTP发包器视若珍宝,翻着别人技术博客,连编程语言的官方手册都没有看过,就号称"自学成材",缺乏对知识的敬畏。某些价格虚高,实际不具备对等价值的服务、产品放到市场中,号称"最好、最优质、最强"。然后售后服务人员去费心思向客户解释。
我认真想过,白帽子只是一个身份,就算技术再高也只是傀儡。我有情怀,可我不能没有金钱。不会免费、义务地成天解答各种问题。我追逐金钱,却不是毫无底线。
毕竟安全从业人员的工作是在悬崖边上的,一不小心就沦为某些部门眼中已经犯罪的人。有两部电影确实给了我很深刻的印象。
- 《窃听风云1》:讲述了三名警察在利益诱惑下进行窃听交易并销毁证据。
- 《我不是药神》:我们永远不知道,明天和意外,哪个先来。为了可以更好地度过明天,我必须要赚钱;为了更好地应对可能出现的意外,我必须未雨绸缪,提前储备好钱,因为世界上只有一种病,穷病。
对不起,生活很难的。即使小时候梦想很伟大,十年后却没有时间活成曾经幻想的模样。安全行业,太苦了。挣着白菜钱,操着中南海的心。
十年中我从渗透测试转到恶意代码分析。如果有更好的机会,或许我未来还会转行。 学汇编和C++,起码不会过时太快,即使它们很难。
评论29次
大佬你好,看完你的文章,我现在在纠结是去逆向培训还是去渗透测试上班好,不知道能不能私聊。
我也很早的接触了这些,关于楼主的你的启蒙这段,我们很相似的。 我也还收藏了很多黑手和黑仿的书,光盘啥的,想想早年的时候,觉得好心酸。 看见这么多人写这些,我懒得写,文字功底不好。早些年很穷,在网吧学技术的日子,现在想想真的很感叹。
安全行业,太苦了。挣着白菜钱,操着中南海的心。
时代在进步,学xi的脚步永不停止。找准自己喜欢的方向前进.. 我也是点叉了技能树,想搞winfrom入学后变成了web,现在干开发
恶意代码分析往下走的路有点窄吧 引擎开发?大数据?
感悟很深刻,值得我们深思。圈子比较乱,还是孤身练剑的好。追求技术的本身,才是最大的乐趣。
这是以前dz的0day吗?
大佬的文采很好,一字一字的读过来了。。。
看大佬的书 和工具 就能看出 现在的知识有多丰富了