depy

It is a long and beautiful life.

首页 关于 友链
^

Hi

2022年11月30日 杂记

博客从上一篇关于我的消息推送平台“Un1kMsg”的介绍之后就吃灰了。在那之后我做了很多事情,心态也变化了很多,我希望能够记录一下这样的成长过程。

在观安待够满一年后我在10月底离职了,辞职申请是在9月底发的,那个时候我已经收到了元亨实验室的offer,准备十月底入职。离职的原因很简单,我觉得自己不够厉害,技术提升有限,从事的工作枯燥无味,希望能够换一个更好的平台。观安工作的一年里,基本上工作都很弹性,有工作就做了没工作躺着也没有关系。由于从事的工作没有挑战性,都是重复性的扫描检测出具报告,导致我焦虑感越来越重。由于经常居家,导致作息也变的很差,基本都是白天睡觉晚上熬夜刷抖音,整个人没有精神。一直到离职前的几周里,这样的感觉更重了,我整夜整夜睡不着觉甚至必须得到第二天下午才有困意。很多个晚上,会去公园里坐着看天空,觉得自己好像被世界抛弃了一样,再加上自己敏感的精神世界整个人变得很空虚。我对自己的要求还是很高的,不太能够容忍自己一直原地踏步,哪怕钱越赚越多。除了这个外,我对观安这个企业是没有任何不满的,无论是同事还是老板,对我都非常照顾,认识他们是我的荣幸,我非常感激和尊敬,也希望不管是公司还是同事都能越来越好。

入职元亨实验室是一件非常正确也是我认为自己非常幸运的事情,我非常感激王哥的认可和鼓励。在决定面试前,我和王哥聊了很久。我说的最多的几句话就是我到底能够干些什么?如果我无法完成这些任务我真的会很自闭。我是真的很没有自信,时常会因为一些看不懂的技术和技术远超我的师傅而焦虑直到自闭。虽然说我在美团还是什么平台赚了不少钱,实际上我一直都把他们归结到我的运气比较好,他是一种不够持久的间断性的产物,我会为此感到紧张。好在王哥还是对我很有耐心的,没把我归结到精神病的分类里。在被王哥心理建设几天后,我变得有一些轻松了,突然觉得可以尝试一下,然后我就去面试了。我很少面试,入职观安的时候甚至就没有面试,所以基本是没什么经验的,面试前只收到了腾讯会议的安排时间,也没有准备什么面经,可以说是一种最自然的状态,这也挺好,展示一个最真实的自己。

面试我的是key师傅,我非常紧张,因为还不认识key师傅只是看过他的博客,最后整个过程也比较轻松顺利。基本上都能够答得出来,也能突出一些自己的特长。key师傅相比某数字公司的一些面试官好太多了,至少不会问我CTF考点。通过一面之后,就是准备王哥的二面了。从入职前到通过一面和王哥的交谈中,我都克制自己不带有“求人”的想法。也就是不想通过和王哥建设良好的关系,再以这个原因让我成功入职,我一直对自己说的话就是能够用真实的水平通过就入职,绝对不要去求别人或者欺骗别人的手段让我入职。从小到大,我走捷径的次数还是蛮多的,这一次我能够主动克制这样的想法,我感觉很欣慰。到二面的时候我和一面一样拘谨,hr让我自我介绍的时候我哆哆嗦嗦的,后面讲述完之后王哥问了我几个技术问题也能答得出来,后续就是聊一些未来发展和工作上的安排了。hr和我说可以先退出腾讯会议的时候,我知道我应该通过了。

收到offer之后,到入职前有相当长的一段时间。期间王哥让我做过几个项目,期间我学到了很多东西,我也不知道是不是出于表现自己的心态所以学起来很快很轻松。但通过学到的东西我挖到了美团很多高危严重漏洞,一个月赚了十七八万,这肯定不亏就是了。那段时间也会乱想,还会有一些胆怯,但还好都纠正了过来,从容的等到最后一天办手续。一切都非常自然,水到渠成。

入职后和l1nk3r师傅做同事,他是一个非常厉害的人,我非常尊敬他,看到他发在内网wiki上的文章学到了很多东西。他的心态还是很值得我学习的,至少我从没见他为什么东西烦恼郁闷过,十分乐观。在元亨内网的wiki里我学到了好多从没接触过的东西,尤其是key师傅几十个0day漏洞的分析文章,极大得拓展了我的思路。后面交流起来key师傅也是非常亲和的,工作期间我还认识了红姐,也是一个很nice的人,常常照顾到我,能够认识这样的同事也是让我非常开心的事情。

参加月会结束后,公司报销买了几本frida的书和移动安全的书。为了一个某移动端的漏洞和啊哦师傅一起审计分析了两个礼拜,也感谢葫芦娃没有被我一些极其简单的问题折磨到哭哈哈哈。这个收获是非常大的,让我非常熟练掌握了某一种漏洞的挖掘和分析方式,后面再去学别的就简单多了。虽然赏金只有7000块钱,但是给我的成就感远大于挖到4w赏金越权漏洞的时候。当然工作也有不顺利的时候,有一周和可儿师傅一起审计一款堡垒机的时候,看了一天代码没有收获,然后开始觉得自己菜变得自闭想放弃审计。结果晚上被王哥狠狠的批评了一顿,一开始还是很难过的后面自己把自己调整好了。第二天还是接着看代码挖漏洞,在最后一天看完了所有的路由做好了所有可能性的猜测与验证后还是没有发现漏洞的时候,我和自己和解了,也能从容输出一份没有RCE漏洞的报告了。这件事对我的冲击很大,很多时候我太重视结果了,导致会给自己造成无形的压力让我忽略了挖到漏洞以外的更重要的东西。

后面的几天我主动揽下了分析公司安卓app的工作,技术提升的也非常快。从绕过反调试,到去水印,再到破解app指纹锁,从学习frida的hook使用,到ida对so文件的二进制分析,再到一些高级用法和理解一些运行逻辑,这些对于之前的我会认识是非常困难的事情。当然,可能对于很多师傅看来是很基础的,但是对我来说提升是很巨大的,至少让我的思维没有那么禁锢了。我每天都过的很充实,不仅可以从事自己喜欢的安全开发,也可以接着去SRC挖漏洞赚取赏金,还能在一些日常工作中不断提升自己的技术,所有的东西还能作为我的工作内容输出,这是一个良性循环,也让我越来越期待以后的自己了。

写了这么久,基本上非常真挚得表达了我这几个月的想法。我非常感谢现在的公司以及同事,最要感谢的是我的王哥,让我能够有一个良好的环境去不断提升自己。

浙ICP备18047151号-1