**沪漂三年**

Posted 2023-03-29 afei00123

    月亮啊月亮，你能照见南边也能照见北边，照见她你就跟她说一声，就说我想她了。你很优秀，我也要更加努力呀！愿得你心，白首不离。​

1.感慨

    不知不觉来到上海这座大都市“打工”已经三年了。记得三年前离开日照时下着朦胧细雨，坐上南下的火车。只身一人来到上海实习。现在回想起来，应该去北京的，当时在Boos上约了三个面试，所以就来了上海，当时实习还没接触网安行业。找的Linux服务器运维的活，拿着5K的工资，干了8个月，我现在想想都佩服我自己，是怎么熬过来的。不得不说，上海的(小)公司真多，现在想想，当时就应该找网络安全行业的实习，哪怕是最基础的安服也好。

这里应该来一首《南下》

塞北山巅飞雪纯白的她

会不会眷恋江南的花

候鸟衔风沙琴声中旋回檐下

夕阳的醇香正透枝丫

我去向江南那软语里的家

她愿来煮一壶茶吗

春风会吹绿冰封的海角天涯

琴弦流淌着岁月喑哑

想带着你南下

感受四季的变化

看着窗前的花

静静发芽

长成了牵挂

远离世俗的嘈杂

走过春秋又一夏

微笑都变成最美丽的情话

我穿越千山跋涉万水寻她

带着一朵温柔的花

风声中传来思念从远方的家

耳语着她的如诗如画

---

2.谈谈工作

不安于现状，才有努力的动力。

    我很符合上面这句话，跳槽—是自身能力和现状得出来的结果，当然这是针对小公司啊。对于大公司，人家有健全的晋升制度的话员工可能不会有跳槽的想法。说白了，咱们都是来打工的，说的好听点是有一份朝九晚六的工作，其实都是为老板(资本)打工。在企业管理学中有这样一句话：在必要劳动时间不变的条件下，通过绝对延长工作日，从而绝对延长剩余劳动时间来生产出来的剩余价值，是绝对剩余价值(是资本对打工人压榨出来的)。学了企业管理学，好像明白了专科和本科|研究生|硕士|博士的区别。专科出来，你是给人打工的(除了那些极少数创业成功的)，做的工作相对于底层；本科出来，虽然你可能也是打工的，但是你的晋升通道很宽。也就是现在为什么有那么多专科生，或者中专生都想升本科和专科，不管是通过网络教育(函授)或者自考等形式提升学历。包括我自己，目前也是专科学历。

    只能这么说，在中国这个体制下，学历真的很重要​。这句话送给还在校园读书的你们(有我的朋友，也有我的亲人)​。如果你还在校园，请珍惜你这个学生身份，从现在开始—努力​！为了能考上心目中理想的大学而努力​；为了专升本考上你心中的本科而努力​；为了能有一份体面的工作而努力​；为了你向往的生活而努力​；为了她而努力​。你努力的样子，真的很美​。

第一份工作—安全服务工程师

    先来给大家说一下网络运维渗透这个公众号的由来吧。大学学的计算机网络技术，当时我记得数了数，专业课程将近20门；实习做的Linux服务器运维，本来应该就可以找安全相关的工作的，是我自己不自信了，以至于实习8个月埋头把Linux学的这么深；毕业转安全行业，因为是半路出家，只能小公司“打怪”积累经验了。

    做的杂，但却是学到了很多。我简单讲讲都做过啥吧，当时我们公司没有自己的产品，做的代理商，所以安全服务过程中接触了各大产商的产品，当时还没有渗透的意识，现在想想，当时好多产品在手里，错过了好好搞搞他们的机会；还有等保，工资不高，把我当项目经理使，但谁让你没有经验呢，谁让你不会呢，谁让你大学光顾着玩呢，好吧，承认，这是我自找的。做过某个学校几个系统的等保，那段时间几乎天往网安所和学校跑，在学校看着学生们的笑脸，我明白我早已经不是学生了。只能不断学习改变现状；还有接触了护网，也是在某个学校当“保安”，看监控，2020年的国护吧，那段时间爆出来的漏洞我就尝试自己写成脚本，支持单个和批量目标URL验证。当时还没有选中一个好的框架。就酱汁了。

第二份工作—渗透测试工程师

    第二份工作跳槽成为渗透测试工程师，跳槽吗，工资肯定涨了点对吧，不然谁跳啊。在那里我算是真正接触渗透了，其实在上一家公司也接触的，更多是扫描器，说白了就是工具小子。来到这之后就基本纯手工了，看Burpsuite的数据包，手工+工具检测，有时还是会用的，比如xray的被动扫描。当时还没有接触SRC。但是，我在这是驻场的，相当于甲方驻场了，每天通过邮件接收上线系统功能的渗透测试，你也知道，有时那边的开发还故临近下班发过来。还有就是客户每月要做汇报，然后还要做一下统计一下每月的漏洞，做成图文并茂的PPT。大学没学的PPT、Excel技能全在这儿补上了。带了6个月，把学到的东西全给学到了之后就赶紧溜了。裸辞，离谱吧，现在回想起来确实有点任性，以至于我自己单独交了一个月社保。那一个月一方面在找工作，一方面在挖百度SRC。

第三份工作—渗透测试工程师

    第三份工作也是渗透测试工程师，在这里接触了更多的护网，红队蓝队的角色变换着，其实吧，红队，也就那样吧，没有团队协作，只能靠自己的话，确实也就那样，常规套路去得分。关于红蓝对抗我在《2022HVV行动碎碎念》中早已有总结。就说这么多吧，未来，我来 ...

... 未来还有更多

---

3.谈谈SRC漏洞挖掘

    曾经一段时间，我也迷上了挖SRC，毕竟能赚点外快，补贴补贴家用，对吧😜。挖过58SRC、百度SRC、漏洞盒子、补天、阿里SRC、以及现在的天融信SRC、360BugCloud。只能说，挖洞随缘吧，都是一些垃圾洞。还得是代码审计，挖0 day才好玩。一开始觉得CNVD证书好难，现在觉得好简单。对了，还去过hackone，真心菜，挖不动，荣誉值都成负数了。唉，还是先搞国内的吧。

CNVD证书：

百度SRC：

天融信SRC排行：

  现在更多是通过黑盒到白盒的漏洞挖掘，其实也不是完全的白盒，只能算灰盒吧。

---

4.未来规划

现在以及未来考证规划（考证狂魔）：

目前正在自考本中；拿下网络安全管理员三级；拿下全国计算机等级考试信息安全三级；拿下全国计算机等级考试信息安全四级；以及未来的OSCP、CISP-PTE

现在以及未来发展规划：

目前还是渗透测试工程师。技能：python脚本小子、golang脚本小子自学代码审计中：php、python、java入门物联网：IOT设备漏洞挖掘

---

5.给入门安全从业者的建议

    网络安全的门槛真的很低，只要你是计算机相关专业，通过自学，一般都能找到工作；即使不是计算机相关专业，只要你有兴趣，肯埋头研究，大厂实验室都能进。

    记住，需要写笔记，熟话说：好记性不如烂笔头。特别是干我们这一行，相对来说较杂，而且技术更新迭代快。写笔记、Blog或者公众号都是很好的方式。我喜欢写笔记，一直用的有道云笔记写文章，找工作那会儿，为了能给Boos增加好印象，是不是得有个Blog啊，我懒得搭，也不想维护，于是选择了CSDN写Blog，其实就是我的笔记直接粘贴上去的，那会儿，CSDN还是开源的。后来搞了收费专栏，一开始比例是4:6，作者拿4成，平台抽6成。于是我也开通了，毕竟能有点收入，现在是9:1。我的专栏都是工作中学习总计的技术知识，也反映了我的工作历程。之前搞Linux，发了很多Linux的技术文章；现在搞网络安全，专心写网络安全的技术文章。

如果有入门网安的小伙伴，可以去看看哦。

最后送大家一首歌吧《半山腰》​

不过是上山的人 怎么嘲笑下山的神
这世界最不缺的就是天分

不过是滚滚红尘 不过是雁过无痕
我要走的路其实不必多问

曾经我孤陋寡闻 曾经我太过天真
现在都成为我前进的资本

跟着我大喝一声 定乾坤
跃至山顶破山门

不过是 半山腰 怎敢与 天争高
这天下 英雄 有多少

眼一闭 心狂跳 我一跃 万丈高
激起千层 林中鸟

我爬到 半山腰 有一座山神庙
弟子我 虚心来讨教

修仙的 路遥遥 想得道还很早
到山顶 再一览众山小

半山腰 天争高
英雄 有多少

心狂跳 万丈高
千层 林中鸟

---

华为HG532系列路由器命令注入漏洞复现 CVE-2017-17215 

漏洞复现：fastjson远程代码执行漏洞—CNVD-2017-02833

SRC漏洞挖掘与ReadTeam快速打点利器

沪漂程序媛妹子的一天...

Hey guys，这里是程序员cxuan，欢迎您收看我最新一期的文章。今天给大家带来的是上海女程序媛的一天。
原文链接：沪漂程序媛妹子的一天…

搬砖⽇记

基于客套是中国⼈的交流⽅式，所以，我也先寒暄⼀下：很幸运能被 cxuan 博主邀请来写⼀个程序媛猿的搬砖⽇记。

作为⼀枚缺乏浪漫细胞但富有吃货属性的⼯科⼥，我的⽇记，那肯定离不开吃，即使是时间划分，那也得按⼀⽇三餐来（其实是四餐，但是也不知道是身体细胞⽼龄化了还是咋的，以前狂吃不⻓到现在 喝⽔都胖，头⼤~，也不知道评论区能不能给我推荐推荐减肥⽅法。）

早饭

赖床好像是年轻⼈的专有属性，我这个⽼年⼈不配拥有（其实就是从记事起，就⼏乎没有超过七点还没起床的幸福时光，可怕的习惯咩~~~）。因为打⼩⼉养成的不赖床的习惯，我的早晨不需要闹铃， ⽣物钟永远在五点半到六点半之间。

0. 跟⼿机say hi（五分钟） ，清晨醒来的第⼀件事就是问候⼀声天猫精灵“早上好”，然后进⾏线性执⾏的“睁眼”

三部曲：

a. 闭着眼睛摸锁着床头柜上的⼿机（⼀夜不⻅，想我了没~）

b. 打开微博，看热搜榜，没兴趣的跳过，有兴趣的点开看下内容。

c. 打开微信理财通，关注下我的基⾦跌了没（扁瘪的钱包，让我不得不⼼疼每⼀次的基⾦下跌， 即使只是两块钱~~~）

2. 早饭还是要吃的（15分钟） ，因为不喜欢睡眼惺忪的⼲任何事，这样会让我记忆⼒没那么清楚明晰，所以刷完⼿机，我就会进⾏早饭“⼗五分钟”，um，并发执⾏才能节约时间啊！

⼥汉⼦的护肤加化妆，确实只需要五分钟，不要怼我，怼就是我糙。曾经的独居时光最快乐的就是 这⼗五分钟了，不⾃律的时候早晨吃包⽕鸡⾯，其实也还是差不多这么⻓时间。

其实在没有腰伤的时候，我会在刷⽛洗脸之前先上跑步机快⾛三公⾥。这个时候我会打开听频，我听的课程种类不限于什么语⾔，什么技术，基本是突然想起来⼀个什么技术点不是很懂的就打开相关的课程找到那⼀个章节，要是没有那就打开公开课，拓展知识⾯总⽐啥也不⼲好吧。

3. 没事⼲那就看点书吧

我⼀般会在早上⼋点出⻔来避免上班⾼峰期挤不进地铁的尴尬时间，主要是性⼦急，不喜欢搁那慢慢等。所以在吃完早饭到出⻔前的这段时间，我在⼲嘛呢？ 问我，我就装，装⾼冷，装⾼⼤上：看书。当然，我可没那么好学，我看的书的不⼀定是程序员的技术书籍，有可能是教育类的（没结婚没孩⼦， 别怀疑，就是好学，略）、⼼理类的，⼜或者悬疑类的⼩说。（如有需要，我可以列⼀列我的书单。）

说到这，我就想说说：年纪⼤了，兴趣真的会变。⼩学三年级的时候，因为舅妈爱看琼瑶阿姨，所以家⾥总是很多菜市场⼆⼿书摊⼀元就可以置换回来的书。那个时候的我，字都认不全，就开始看。三年级升四年级的暑假搬家，房东在⾐柜上⾯留下了四五本厚厚的⾦庸先⽣和古⻰先⽣的书，爸妈⼀直都没发现。结果，我这个⽪猴爬桌⼦翻窗⼦的，跟弟弟们上演什么⼤闹美猴王，哦，对了，那个时候的动画⽚好像还有铁甲⼩宝呢。就在⽆意之间发现了那⼀⼤袋⼦的书，我就开始⼀字认半边的看完了这些书，记得最厚的⼀本就是《寻秦记》，所以后来湖南卫视播放的电视剧版，我是真没看。

我爱买书，⼼情⼀不好就想买买买，⼀开始是什么都买，⼩玩意⼉，⾐服啊，百年不⽤的彩妆系列啊，等等等。后来，也不知道从哪天开始就⻓⼤了，我就硬逼着⾃⼰，想花钱那就买书吧，所以我的家⾥什么都缺就是不缺书，当然，也不缺崭新的还没看过的书。所以啊，最近⽴了个flag：书也别买了，家⾥的看完都要好⼏年。。。

哎呀，跑远了，扯回来。哎，话痨⼀旦打开话匣⼦，就收不住。

4. 通勤路上⼲点啥？

⾃从搬回家，通勤单程就需要四⼗分钟。即使我计算好了时间出⻔，也难逃魔都的⾼峰期⼈流量。在被挤成⾁饼的地铁⾥，我要是能看进去个啥，那才是真的装，甚⾄我连举起⼿机都可能会⽐较困难。

上班路上：我选择：蓝⽛⽿机+⽹易云（你熟悉的⽹抑云）。这⾥讲个笑话就是：曾经给⾃⼰⽴练习听⼒的 flag，把歌单全部换成英⽂的。然后，⼀周后，flag 倒了，理由借⼝是地铁太吵，我不能静⼼。早上的通勤时间我⼏乎随性，⼈少可以刷微博，⼈多就只能听⾳乐，但是有⼀件事是必须做的：为今天⽴⼀个除⼯作之外的⽬标，可以是算法打卡，也可以是哪个知识点深挖。⽐如我今天给⾃⼰⽴的就是“还债”：给 cxuan ⼀篇⽇记博⽂。

cxuan 偷偷在角落里笑了好久。

程序员加班也⾏的魔都通勤就可能会在地铁⾥有个座⼉。该⼲啥呢？社交 & 看电视。

关于社交，毕业后的第⼀条感悟就是：有些⼈只是路⼈，是你⽣命中匆匆⽽⾏的过客。上学期形影不离的⼩团体，毕业后联系的可能只是那么⼀个或者两个。我不会伤感，相反我是⼀个本着朋友贵精不贵多的⼈，⻅⾯话痨不⻅⾯没话的⼈。我与朋友的社交属于：打开⼿机，近距离的约饭，远距离的互相投喂。偶尔聊⼀次，⼤概也得以⽉为单位。

即使有着⼀颗⽼年⼈的⼼，还是改不了⼀个年轻的躯壳。我是⼀个名副其实的“综艺少⼥”，电视剧我很少看，倒不是因为电视剧浪费时间，⽽是好看的电视剧都改编⾃⼩说，却没有直接看⼩说带给我更多的想象空间。综艺么，就不太⼀样了，毕竟可以下饭，解压，图个乐⼦，偶尔也能有点⽣活感悟，更多的是喜剧类节⽬，毕竟我可是个“德云⼥孩”。

5. 搬砖1.0。为了满⾜吃完这顿还有下顿的宏伟⽬标，⼯作时间当然得努⼒搬砖。懂事的社畜是要懂得⾃我安慰 （⾃我催眠）：⼯作是双赢的，我⼲活拿⼯资，⽼板回家盖别墅。 其实⼯作中得到的知识是记忆最牢固的，也往往是最能够激发学习兴趣的，所以我这个蛮劲⼀上 来，遇到个坑就得使劲往下挖，撞南墙之后，向右转！！！因为右⼿边是架构师⼤佬，资源得有效利⽤么，嘻嘻。

中午

下午的时间是最漫长的，因为不⽌有搬砖 2.0，还得有晚饭后的搬砖 3.0。

0. ⼲啥啥不⾏，吃饭第⼀名

午饭时间，⼲饭少⼥别的不不积极，吃饭第⼀名，追个综艺吃个饭，半⼩时就这么过去了~~~。话说，《五⼗公⾥桃花坞》最近追完了，我该去哪个综艺候着麒麟兄嘚呢？ 办公室的呼噜声是不能够让我这个浅眠患者美美的睡个午觉的，所以我的半⼩时午休⼏乎是在微信读书中度过的。

2. 搬砖2.0 & 搬砖3.0。⼯作时间和看博客的你⼀样，该⼲活⼲活，该复盘吸收那你也别吝啬。coding、⽂档和穿插着的各个会议，总之时间就像海绵⾥的⽔，挤挤，它还是溜⾛了。。。 程序员的⽇常加班，晚餐也依旧外卖下馆⼦，但是吃仍然是搬砖⽇记⾥最幸福的事，你说对吧？

晚上

⼀般⼋点下班，⼋点四⼗到家。进⻔甩包，洗⼿洗脸去洗澡，⼀系列结束也不过是九点半左右，夜猫⼦的⽣活才正式开始。

伴着⼀堆零⻝，我⼀般会系统的找⼀下今天⼯作中没能够明⽩的点，⽐如 QNX 操作系统的中断机制，开始深挖。如果今天的⼯作内容⽐较简单，没什么是需要我深挖的，我的惰性使我不喜欢系统的看完⼀⻔课，我⼀般会选择穿 插的去了解各个知识点。⽐如，我在看 Kafka 的零拷⻉，就会去看操作系统的内存映射 mmap() ，了解原理之后，我就继续去翻 C++ 的内存布局，和 JVM 的 direct 内存。

---

硬凑了这么多字数已经是我语⾔表达能⼒的上限了，所以先夸夸⾃⼰，然后 say byebye。

啥时候有空我来凑⼀篇周末⽇记，那完全与⼯作⽇记是不同的⻛格：做饭，烘焙，⼗字绣，骑⾏，当然也还是会学习。

最后给大家推荐一下我自己的Github，里面有非常多的硬核文章，绝对会对你有帮助。