这几天总算是搞定了双mac 更新hexo的玩法,这个博客小站也会慢慢活过来,在此开坑—-
在阿里-停更的两年
0x00 近况
翻了翻博客,上一次更新还是在华为实习的时候,写codeql找JNDI原生利用链的文章。两年过去,当时二十岁的人现在已经二十三了(春风若有怜花意 可否许我再少年?作为部门里至今还是最年轻的员工说这句话有点不好意思哈哈哈哈哈)
两年过去了,现在的我和快乐学生时代相比,几乎就是如电影老情节一般那样,一转场便是浑身的社畜味道。我将在CTF比赛中用的最后一个id,m1yuu,带进了阿里巴巴,成为我每天下午被老板和同事叫去楼下点一根摸鱼时叫的花名。倒不像我字里行间描述的那样悲伤操蛋,这一年半的职场带给我的可能更多的是web安全技术的磨练,对于业内顶尖技术的追求心,这几点还是得感谢我的师兄和老板,不管是在定目标还是在PUA我时都不忘强调的一句 “年轻人别为了业务没了心气”。
阿里的防御体系确实是比较顶尖的,比如说我想绕过我们的RASP(实际上我有一部分工作是需要投入在这方面的),我去用已公开的,可能是互联网某个犄角旮旯里找到的某低调大佬的绕过trick,在我们的RASP上都无法生效。想要绕过只能自己去找一些新的思路,疯狂拓展自己的知识面。今年hvv持续了两个月,我在此期间终于将之前大三立的flag–读完《深入理解jvm虚拟机》这本书,然后反手就找到了一个bypass的方法,那天值班,彻夜未眠,早上八点写完文档扔给老板和师兄回去睡觉,可能是我这两年最安稳的一觉。
停更两年
倒不是因为我懒,虽然我确实是个懒狗)。停更的原因主要是平时工作太忙了,已经习惯了在公司的机器上去做研究学习和写文档,基于阿里巴巴安全部红线,公司电脑上文章和代码不能公开到外部;而且回到家后很难有力气去再掏出来我现在正在用的这台2020 m1 macbook air,做点什么或者写点什么。
最近承蒙公司厚爱,多了些需要承担的任务,需要去深入学习一些主机安全相关的知识。对于我来说,当时因为按按F12就能拿flag而入门的web安全,导致的五年来的安全领域偏科,最终还是成为了回旋镖转了一圈三角杀勾到了我的衣角。
计算机网络会吗,操作系统基础会吗,逆向,C2这些了解吗?刚入职的时候望着组里这些做了十年安全的老法师,当时就在想,在这个行业长久,全栈才是最终的归宿。最近越工作越觉得自己技术上的窟窿越来越大,尤其是AI盛行的时代,似乎技术人从上到下都在浮躁着,寻思着用AI去弥补人身上的缺点。在对于AI这件事上,我仍然是个右派。一方面我从事着防御的工作,AI在安全侧的应用对于检测、舆情处理、代码修复这方面可能有着不错的效果,但是防御一旦下错策略,便是事故。另一方面,国内的AI土壤还是以LLM为基础去做各种应用层的实现,有些人解决不了的安全问题,本身就无从参考,当训练输入不存在时,AI的效果也可想而知。
虽然从19年第一次接触CTF到现在我已经做了五年的网络安全了,也有过CVE,大厂致谢,各种项目加持,各种资源的倾斜,但与网安的前辈们,这些老法师相比仍是一个进度缓慢的菜鸟。我不希望因为技术的未知变更而停止自己对基础的学习。这也是重启这个博客的理由,尽管后面不能更新业务相关的攻防技术,但我希望自己可以以一个初学者,入门者,学徒,菜鸟的视角,在这个博客里更新自己对之前欠下的计算机基础,网络安全别的领域技术的学习记录。
也许是逆向,也许是计算机基础,也许是各种Linux层hook。既然是网络安全能力团队,就得保持不断的学习。正如葬送的芙莉莲中所述:魔法的世界是想象的世界,在经历了S1无数繁忙业务中仍然挂上了研究相关的OKR并且有产出后,我对于安全研究的态度也是如此:网络安全的世界是想象的世界。当我知识储备不够的时候,自然想象不出什么惊为天人的bypass手法或者是奇技淫巧般的gadget构建。
换个id,将m1yuu留在web安全的世界中继续发光发热吧。白袍,一个主机安全,逆向,pwn的初学者,入门者,菜鸟,将会是这个博客小站后面的主旋律(好中二哈哈哈哈)。
无才何事年年苦,自笑今非故我初
为了翻新博客也是请了CAA的AprilShimmer老师来帮忙做插画和新的头像,just wait for it。
