【浮生随想录】阶段性技术能力总结
从去年七月份第一次实习开始到现在一年的时间,算下来收获其实很多,无论技术上还是工作上。
但是最近越来越觉得自己现在处于一个难受的瓶颈期。
刚实习的时候,被派到一个长期的项目上,作为实习生每天的工作很简单,拿着扫描器直接扫描验证,就是那时候才积累了一些粗浅的经验。
上半年的时候1月份驻场到三月末,紧接着第一次出差广州,然后回来一周时间四月初继续重庆出差半个多月,然后又回来一周时间,五月份继续去北京,然后返校答辩,毕业后九月份又去了成都。
上半年真的特别充实,每一段时间我都可以接触到新东西,不只局限于技术,更多的是经验。当然,关于技术,不断地项目不断的技术支撑让我现在也算是小有心得。
但是,我发现从下半年开始,我的那种“进化感”越来越弱,到现在几乎感受不到了。
我真的处于一个瓶颈期。
平常工作最多的就是Web渗透,漏洞无非是最常见的那几类。偶尔遇到中间件可以利用,则被告知最多是GetShell,不允许继续深入。所以我的内网渗透经验真的十分匮乏。偶尔也会搭建内网靶场训练,但是靶场毕竟是靶场,是知道它存在漏洞的,要做的无非是找到利用方法,而在实战中需要丰富的经验去判断如何利用。很遗憾,这正是我目前最缺少的。
这一段时间似乎处于一个迷茫期。
下半年由于部门职责调整,渗透的项目越来越少,最近一段时间更是一个都没有。
每天早上坐在工位前都在想,今天要怎么过。
当然知道如果没活的话可以自己学东西,
但是学一段也会累,而且同样是个循环。
前一段时间看了cdxy师傅的博客。
把图片中的KPI换成技术能力就是我现在的状态。
之前一直在写自己的扫描器,用图片来描述就是找到目标,很兴奋。
然后写的过程中确实很煎熬,有时候为了加入一个功能点要查好久的资料,还要改好多次BUG,然后每当实现一个功能的时候,也就是图中的逼近目标,也会很激动,紧接着就是乏味,最后是焦虑。
这是一个难以逃脱的循环。
cdxy师傅说,快乐并非来自目标本身,而是成长的速度。
的确,细想一下,我的焦虑似乎就是出现在自身的成长速度上面。
我已经原地停留了很久。
或许,当我选择渗透作为职业的时候,注定我会有这一天。
接下来的一个问题,到底是什么原因让我自己在原地停滞不前并且满怀焦虑。
细想下来大抵是因为自己对代码不够熟悉,甚至可以说完全不熟悉。
一直没有系统的学过一门语言,对Java、Go都只是停留在入门的阶段,Python的高级用法、多线程仍然还不会。
我特别羡慕那些会代码的渗透,他们对漏洞的成因和利用比我深刻的多。
每天逛技术社区和论坛的时候,看到漏洞分析的文章,我也会点开看,但是无奈的是我真的一点也看不懂,对代码的生疏让我只能选择利用公开的工具,而不是自己去创造。
还可能是自己的项目经验还不足够。
前面提到过,对内网的经验很少。项目中多为Web侧,且不允许进行深度利用,导致技术点很薄弱。
对今年一整年的技术储备,上半年可圈可点,下半年对自己极不满意,可以说下半年几乎没有什么技术突破,导致现在很焦虑。
不知道如何才能化解这份焦虑。
有了问题之后,首要问题是如何解决,有很多idea:
- 学习代码,提高代码审计能力
- 刷SRC,攒排名
- 寻找内网项目
所以下一阶段的目标就是找到一个技术目标,并想法设法实现。
也可以算作2022年的期望。
1 | ————2021.12.16 日晚 |