希望能通过日记来督促自己改掉一些坏习惯。
2019-05
2019-05-28
今天开始写日记(流水账)。
最近等着去护网,没有心思学习。前几天每天下午都睡到3点起床,晚上又睡不着,继续回到以前中午只睡30分钟的作息。
除了睡觉时间过多,最近没有怎么学习,Python看教程看到编写POC之后,就不想继续看了,不想思考怎么写POC,不想动手写代码,懒啊!
最近没有明确的学习目标,想学习内网渗透,但不知道怎么去开始学。看Micropoor亮神的课程,发现有点难看懂,大概是太菜了。这几天看的东西很杂,不过多数是有关安全应急响应的内容,还有关于护网演习的东西。希望护网期间能继续学习,6月把内网看完之后,照着招聘要求的内容,再梳理一遍,然后开始投简历。想到工作要认识新的人就头大。
昨天看微博,一个女生在大街上被男的拿刀砍死了,可怕。男的目标很明确,三个女生在一起走,就砍那一个,砍倒就跑了,不知道是不是有什么恩怨。
微博真的有毒,刷了就停不下来,已经删了App,不知道什么时候会再装回来。
今天看了如何合理利用时间?,学会了一句话The future is uncertain, the past is certain, only the present is guaranteed.
今天看了Windows安全应急响应,明天把Linux的安全应急响应看完。
今天看了2节时间管理,试试看这周能不能看完,然后总结出来写到Blog上。
思考如何明确学习目标。
2019-05-29
今天把安全响应的总结写了一半,明天应该就能写完了。
想剩下的2天把《态度》看完,也算完成每月一本书的目标了。
昨天那个南昌红谷滩砍人说是男的被绿了,然后把女的砍死了。微博上性别对立好像很严重。
今天还是会看些和学习无关的东西,直播、微博什么的,最近总是不能集中精力。
护网又推到10号了,本来护完网之后还能休息一周,现在没了,烦。
昨天看时间管理,我可能没有把每天的目标量化,所以才不想去完成?
今年刚开始的时候,就觉得自己之前一直没有关心过周围的人,不论是家人还是朋友。跟很多朋友都是很久不联系,然后就彻底断了联系。也不是不想联系,就是不知道要说什么,没有什么共同话题,我的休闲活动就只是单机游戏,他们又不怎么玩单机游戏。弟弟玩WOW和Dota2,但我已经很久没玩过了。春节在一起的时候,聊得也不是很多。今天听父亲说,他去一个房地产公司当策划了,很久没和他主动联系过了,自从不玩一个游戏之后。不过上次微信上聊天,感觉他过得好像还是很轻松的样子,春节看他和朋友打游戏还是蛮欢乐的。
今天注册了漏洞盒子的账号,发现挖漏洞还要递交申请。想要刷一刷SRC,拿个站,在面试的时候也好说一些,而且没有实战很多东西还是不能理解透彻。上次做一个靶场,知道是MSSQL注入漏洞,但是已经把MSSQL的注入姿势忘得差不多了,之前的内容需要再复习一遍了,SQLi Lab也没做完,按理说早就应该开始做了,Upload Lab也是,Python的学习也停下来了。既然这样,6月份的目标就是把这2个Lab做完,Python继续学习,达到能够看着Vulhub的介绍信手拈来写出POC。
2019-05-30
昨天看到MONSTER HUNTER: WORLD里太刀的新动作——居合,太帅了,吃我纷乱雪月花!!居合的时候还有见切成功的音效”叮”,居合之后接登龙,帅爆。PC还是不和PS4同步上线,好气,要等到冬天才能玩上。预购冰原送的结云套,比之前的豪华版盔甲好看很多。
FF14前几天更新了4.5,还打电话叫我光之战士,然后就被我标记骚扰电话了。出了新职业青魔法师,在4.5开放一周之后实装。现在可以在金蝶里打日麻了,游戏里叫多玛方城战。过年的时候为了先了解一下日麻,还玩了段时间的雀魂。FF14做的真的很不错,我这种自闭单机玩家也能玩得很舒服,对装备的需求不像WOW那么大,也没有野外PVP,玩家氛围大部分时间都很友好。游戏剧情也有很出彩的地方,整个剧情里印象最深的就是3.0,奥尔什方在玩家最落魄的时候,提供了帮助,为了纪念他,我把我的陆行鸟改名奥尔什方。
游戏真的很容易上瘾,特别是现在移动端手机游戏玩起来更方便了。有个舍友,玩王者荣耀每天都玩到晚上两三点,然后白天也在宿舍里呆着玩游戏。仿佛看到了曾经的我自己。但游戏还是教会我很多东西,不要轻易放弃,即使被Boss打死100次,再次站起来之后,还是要去挑战。黑魂3里的英雄古达,我从凌晨2点打到7点,分析AI的出手规则,才打过去。
不过,不能把做正事的时间花在游戏上面。最近看的《态度》里,吴军在写给女儿的信中也谈到了电子游戏。希望自己的女儿能够通过设立长远目标摆脱玩电子游戏的欲望,用平和的心态,日积月累圆满的实现目标。
长远的目标。希望我也能摆脱玩电子游戏的欲望,还有其他的欲望。
打算两天看完《态度》,记录一些书里的内容。
1.生活是具体的,看待问题要将问题的具体数据拿出来比对,量化;动态地看待问题。在德国人处事态度上,提到了量化目标。
2.追求极致
3.简单的事情也要做到最好
4.稳定发挥
5.培养专业素养
6.遇事不要逃避,想想是否有比逃避更好的方法,解决问题,哪怕只是一部分问题
7.格局要大,境界要高
今天看了《态度》的37/40,读的过程真的是很流畅,书里讲了很多为人处世的道理,爱情、工作、学业、人生目标都有涉及。
不过吴军似乎信仰上帝,感觉很奇怪。
2019-05-31
早上把《态度》剩下的3/40看完了,记了点东西
和公司的每一个人吃一顿午饭,可以建立广泛的人脉关系,在未来的职业发展道路上。跟我昨天晚上看果壳上泛关系的文章讲得差不多,不过是2个都是以美国为背景讲的,不知道在中国的情况是怎样的。
本来希望能看到有和朋友保持联系的内容,不过并没有。只是有一篇讲怎么和朋友相处:不要怕吃小亏。
可能都是一些比较常见的道理,看豆瓣书评的时候,有人觉得收获不多,不过我感觉还可以。
从书里看出吴军确实是个格局很大的人,对哈佛,MIT的学生的期望是他们做有影响力的工作,而不只是做高薪工作,对少数裔,也是希望他们能够从政治的层面考虑,做些能够为少数裔争取权利的事情。我就根本不会去考虑政治层面的东西。
从早上在京东看着买书,看了3个小时,发现技术类的书都好贵,轻轻松松上60,小说类的才30多。6本书买了放在哪里是个问题,换地方住的时候也好麻烦。
晚上看了部电影《最后的武士》,到死都不放弃。
1.分块(CHUNKING),将大目标细分为小任务
2.提升信心,相信自己可以完成目标
3.改变对意志力的看法,相信意志力是无限的,意志力的消耗速度会降低
4.改变身份,将自己的身份和自己的目标相匹配,会降低意志力的消耗,
5.高层次思考,长期,总体的思考方式,高层次思考创造了目标和意义
将意志力看做蓝量,分块就是合理划分技能使用,爆发期爆发,转阶段时节省蓝量;高层次思考,是将整个Raid看为整体,才能将技能划分的更合理。
五月的最后一天,这个月的状态并不好,对CSRF、XXS、XXE、SSRF的理解并不是很深,再加上护网的原因,没有学习环境,大概10天都没有认真学习。
六月不能这样了!2019马上就要过去一半了。
六月的目标:
1.学习内网渗透
2.复习之前学习的内容
3.学习Python,今天买了本Python的书,可以参考着学习
4.看《图解TCP/IP》和《图解HTTP》,学习一下网络基础知识
2019-06
2019-06-01
看微博的时候学到的。
有意识地克制自己,去做好信息的反刍,而非追逐新的信息。
思考旧的信息间的联系,把它们进行碰撞和链接,尝试着用不同的角度思考,找出共性和新的主题 —— 这是一个很有意思的事情。
它可以优化你的信息处理模式:从新鲜感导向的获取-囤积,到成就感导向的反刍-输出。你会更容易觉察到自己的状态,摆脱被新鲜刺激所裹挟的上瘾状态。
看朋友圈学到的,睡前和起来之后看一篇技术文章,正好可以催眠和利用赖床的时间。
空虚感永远不会消失,但是通过做某些事情,可以让空虚感变小
1.把时间和精力专注于提升自己,健身,学习营养学,培养良好的睡眠习惯
2.创造新东西,艺术、音乐、写作、跳舞、编程,当创造新东西时,注意力将不再在自己的空虚感上,而在身体之外的某个事物上。和其他(酒精、游戏、看剧)打消空虚感的东西不一样,创造的东西在第二天不会消失
3.冥想,坐下,观察自己的身体,而无需做任何其他的事,直面空虚感
2019-06-02
昨天看采铜的《精进:如何成为一个很厉害的人》,发现最近看的一些文章和书里都有提到,长期目标,量化可执行的目标。
长期目标可以设立5年目标,那么我应该设立一个什么目标呢?最近一直在思考这个问题,但并没有想出答案来。我其实也不知道自己想成为一个什么样的人。
1.照顾好自己,好的生活习惯,好的生活环境
2.开始冥想,又要冥想,这个视频作者是有多喜欢冥想。冥想会提供多种处理思想的方法,如何意识自己的想法,如何重构消极想法,可以创造自己的想法。冥想自己想要的模样,多次之后就会相信自己就是这样,这个想法必须是现实中可以实现的。当给自己积极的评价时,会变得自信。
都是积极的心理暗示,跟果壳的这篇文章有点像假装优秀又怎样?那些年我吹过的牛,后来都成真了,Fake it till you make it。
我发现,我对那种根本不知道的知识,学起来有点抗拒,看各种代理的时候,就根本不想仔细看,直接跳过去了,这样不好。
在过了可能5年之后,我又开始学习冥想。好难,根本不知道怎么冥想。之前,是清空杂念,什么都不想,当时就只数数字,早上看完视频之后,发现,冥想可以和自己的负面想法对话。然后看了一篇冥想的教程,还可以观察自己的思想。
重点是克服杂念!保持平和的心态!
2019-06-03
冥想好难!
今天看微博频繁出现414,百度了一下,发现是因为IP频繁访问微博,微博对IP进行访问限制,我好像找到了戒掉微博的方法?写个爬虫去疯狂爬微博,然后关掉了手机的WIFI连接,打开了微博国际版。
好像是Next的问题,当标题数量达到一个数量之后,Table of Contents就会显示异常,烦,不知道怎么改掉这个bug。下午给标题换了个地方就好了,不知道触发条件到底是什么。
今天用dns隧道的时候,看教程ruby的镜像选择http://ruby.taobao.org,然后报404,直接访问链接,提示镜像换到了https://gems.ruby-china.org/,然后访问,又提示域名更换成了https://gems.ruby-china.com,真是醉了。
2019-06-04
今天开始护网,地铁人真的是多,根本挤不上去。
到了客户那里,感觉虚得不行,压力好大。
还没订住宿的地方,来回要花3个小时。
回来的时候,滴滴司机人还不错,聊了一路。
跟母亲打电话,听到工作12小时,有点不乐意。
希望早点把酒店订下来,不用来回跑了。
2019-06-05
今天带了电脑,测了一下昨天看到的xml格式的请求内容,确实存在XXE,而且还是15年的漏洞。
聊了些渗透测试工作的事,和我想得并不一样,getshell才算是漏洞。
2019-06-06
就处理了一个钓鱼邮件的单子
今天看完了Nmap的官方文档
端午放假2天,酒店订的9号的,还要拉着行李去客户那里,真是服了
2019-06-07
昨天看采铜的书,觉得应该给自己设定最高的要求,从高中开始,对学习的要求就不高,对于难题就不去做,给自己定了个80%的天花板,然后就只能做到75%,也算是自我设限了。自己对很难的事情总是不愿去做,即使玩游戏也会不自主的逃避最困难的关卡。
今天看知乎学到了一个渗透开源CMS的思路,判断版本,识别插件,匹配公开漏洞,针对目标的爆破,子域名,C段,旁站,whois查询,通过webbug发邮件探针,上马或者水坑
2019-06-08
昨天和今天看完了《Web安全攻防:渗透测试实战指南》感觉这本书对Web漏洞的讲解很基础,在内网阶段讲得感觉很细,不过也只是讲了一下MSF POWERSHELL工具的使用,后面实例讲的代码审计分析漏洞,基本都是很基础的内容,没有更深层次的内容。
2019-06-09
今天学到一个词“打野式学习”蛮符合我现在学习状态的。没事就看看文章。这种碎片化学习感觉需要整理才能真正的融入自己的知识体系里,不过好像看书也需要整理。
今天问了一下面试,准备结束之后去面试。上来就面这种难度的公司感觉不是很好,为此找出了在硬盘里躺了2个月的github面试经验,又看了一下github上还是有很多我没下载的面试经验,可以考虑这段时间总结出来,正好自己也需要准备面试。
2019-06-10
昨天骑车回来的时候,在玉泉路看到了2棵很粗的银杏树,小时候在奶奶家院子里种的银杏树可能只有半米高,在西电见到的银杏树虽然很高,但是依然很细。昨天看到那么粗的银杏树,真的很惊讶。今天查了一下,这2棵树还挺出名,改天去照张照片留念。还想去看看北京最粗的银杏树有多粗。
今天看到一个木马,访问下载页面,是被美国什么组织封禁的告示,但后来看流量日志发现木马仍然和该域名进行通信,看事情不能只看表面。
2019-06-11
今天看别人封了300多个C段,700多个C段,真的狠。这几天看各种日志,感觉渗透就是在被别人的安全设备一直盯着,干什么都会被记录下来。而且,听到2次渗透测试需要运气,有些迷茫。
2019-06-12
昨天看了个文章HW碰到0708扫描的,然后附件有查杀0708漏洞的工具,今早看了下群里说附件有毒,套路深啊!
2019-06-13
打电话联系人的时候,被叫X工,希望有一天能到这种级别吧。
已经开始社工和用之前的后门了,可能真的需要运气吧。
2019-06-14
已经开始使用0day了,并且开始使用钓鱼邮件,感觉渗透面对这种级别的防护,好像没有什么办法。
最近没看什么书,浪费生命。昨天看见四哥的微博,讲了他学英语的经历,真的好强,坚持1000多天都没断。明天开始每天背50个单词。
2019-06-15
早上起来跳绳,但是状态并不好,没有一组跳到500个,不过也没有其他时间能跳绳了。
2019-06-16
最近喜欢喝巧克力牛奶,加糖的那种,太堕落了。
趁着今天阴天凉快,去照了银杏树的照片,走近了看,发现有一棵好像断了一次,另一棵也不是很高,跟周围的银杏比起来并不算特别高,不过是真的粗。
看知乎,好像西安有棵网红银杏树,不知道什么时候有时间去看看。
算起来已经3个0day出现了,深信服vpn,coremail,还有weblogic。昨天晚上还看了下weblogic的poc,并看不懂,对于负数的值也不知道是什么意思。
又出来个Apache Axis的0day…
今天看采铜的书,学到一个图层化工作法,将多种工作按核心分类,将多个相同类型的核心的部分放在一起进行处理。可以减少切换类型时,大脑的转换时间。大概就是FF14做任务,先把T职责的任务做完,再做DPS的任务,再做奶的任务。T的任务处理过程和DPS、奶的处理过程不同,如果不断的切换,需要不断的熟悉各个职责的处理过程。
2019-06-17
舍友去面试了,感觉面试内容很多,而且问到很多细节问题,甚至问到了安卓渗透,要多准备一下了。
今天又有钓鱼邮件,而且还通过微信公众号进行社工,不知道是怎么推送到公众号上的。附件和上次的内容一样,不过回连IP地址发生变化。
2019-06-18
今天,看了一个简单的冥想教程,感觉自己学会了冥想!
试了一下,想要不产生杂念,专注于感受身体真的很难,这个教程很简单,可以每天冥想10-15分钟,或者坐公交车时冥想。看看能有什么变化。
今天看了一下笔记本和固态移动硬盘,打算买个集显的Magicbook加512的固态移动硬盘,618价格挺低的分别是3299和539,不知道过了618之后会涨到多少。本来想买个笔记本+Switch,但是想了想买了Switch大概率吃灰,没什么时间玩游戏,要学的东西太多了,最近又萌生了学逆向的想法…看大佬分析钓鱼邮件里附件好有意思。
还想买个带NFC的手环,这样就可以不带公交卡了,而且还不用去充值公交卡。
2019-06-19
今天看了一篇关于上市网络安全公司现状及战略分析的文章。上市网络安全公司现状及战略分析
行业趋势:大数据分析、人工智能、安全运营业务、安全云服务
启明星辰 传统安全服务为主
深信服 传统安全行业和云计算业务为主
绿盟科技 中高端技术人才、管理人才流失,业务落地效果有限 安全服务毛利率显著高于其他厂商
天融信 核心产品线是防火墙 安全服务业务萎缩 安全及大数据产品高速增长
360 安全大脑业务 政企业务将成为其重点战略方向及新业务增长点 互联网广告及其服务是主营业务收入
有个问题,文中的员工人数都是在减少,但是说人员规模在增长
看见TK微博上的顺口溜挺不错的,记下来
p0tt1 曾把对企业网络的常见渗透思路写了个顺口溜。里面提到的,其实也就是网络防御工作必须关注的一些基本点。我加了一些注释,便于大家理解:
搞企业,先扫描;
扫描器,商业好; // 商业版扫描器通常比较强大
默认密,都知道; // 很多系统存在默认账号默认口令
社工库,找一找;
邮箱号,先列好; // 搜集企业员工个人邮箱
九头蛇,跑一跑; // Hydra 是一个密码破解工具
搞不定,放大招;
发邮件,凭伪造; // 发钓鱼邮件,比如冒充管理员让用户到指定页面去输入密码
没邮箱,搞网站;
二级域,皆可爆; // 主域的防护通常较好,某些较弱的二级域可作为突破点
老漏洞,没修好; // 有些老漏洞可能没有被恰当地修复,工作失误也可能让漏洞回归
新漏洞,刷一票; // 大部分企业对漏洞能做到一周内修复就算三好学生了
干研发,Git 找; // 常有人把为公司写的代码也传到github上,里面可能会包含口令等
源代码,全都要; // 即使源码不包含口令,也很有助于发现漏洞
CDN , 可以跳;
防火墙,可以撬;
堡垒机,可以绕;
云防护,可以秒; // 各种防护措施都不是有了就行,需要正确地使用
是企业,没有哪家搞不了!
最近很喜欢吃甜食,哎,这算是补偿心理了吧。快点结束HW吧!
这次HW多了好几个称号,X工,专家…还是被一位先生叫专家,感觉对不起他
2019-06-20
HW有可能要延迟,我…
今天在boss直聘上写了简历,有2个HR联系,不知道怎么回复,感觉自己还没准备好,但可能边面试变准备效果更好。
今天看采铜的书,讲到求知的三个层次:信息、知识、技能,个人理解信息是零碎的不成体系的知识,知识是融合在一起构成框架的信息,技能则是可以随意拿出来的知识,很多的知识只是知道有这么一回事,但是当真正要用的时候,还需要去翻看笔记,从知识到技能需要不断练习,总结,练习。
采铜对知识的练习有三种方式:写作式练习,将自己学到的知识,重新组织语言、架构写成文字分享出来,亮神说:“分享的过程中,受益最大的是自己”,大概就是这个道理。自己写总结的时候就有明白但说不出来的经历,而且在写的过程中,会有很多之前没有注意到的不懂的知识,需要再去找相关资料。
第二种是游戏式练习,我的理解就是打靶场,VulnHub上的靶场都蛮有意思的。
第三种是设计式练习,我的理解是自己做靶场让别人来打。类似的Sqli Lab,Pikachu等靶场,自己设计相关漏洞需要对漏洞产生原理有一定的了解,并对漏洞的利用有一定的了解,类似Upload Lab这种还需要对中间件、系统存储格式有一定的了解。之前忘了和谁讨论什么样才算是把Web漏洞学会了,我当时就说能做出一套像Pikachu这样涵盖了基本所有Web常见漏洞的靶场,大概就算是学会了。Pikachu的作者也被告知“如果你想搞懂一个漏洞,比较好的方法是:你可以自己先制造出这个漏洞,然后再利用它最后再修复它。”然后每学习一个漏洞,他都自己构造一个,慢慢的就有了Pikachu。
这段时间,不管是看采铜的书还是看时间管理,都有很多相似的地方。
2019-06-21
今天早上跳绳,竟然连5分钟400个都跳不到,不知道是最近最近熬夜状态不好,还是地不平。熬夜搞得我鼻子附近又有皮炎了,开始起皮了。昨天看到我牙上有块地方变黑了,已经吓得不敢喝可乐吃雪糕了,找个时间去看下牙,顺便看下能不能把智齿拔了。
今天看知乎,看到一个王世民的回答感觉不错,为什么越努力,越焦虑?,讲了关于学习的方向,需要找到一个主要目标,其他的学习内容都围绕这一个目标。想想我自己每天看的东西里,大概科普是杂草吧。
2019-06-22
今天百度了一下,总是叫我们专家的先生,不到60岁,感觉他的个人经历跟之前看过的一部国产电影《郭明义》差不多,都是技术狂人,让外国专家从不重视到敬佩不已。
2019-06-23
今天跟主任一起吃饭,感觉很喜欢分享自己的学习经历。
2019-06-24
我好酸啊,PS4能玩冰原beta了。想玩居合拔刀气刃斩。
看了一集漏洞银行关于内网渗透的视频,主讲人说会在7月底出关于内网渗透的书。
要写关于HW的收获,现在还没想好能写什么内容。
2019-06-25
在知识星球上看到一个英文内网渗透的Gitbook,有中文翻译,不过没有翻译完,看看能不能把剩下的翻译完,然后提交给翻译组,极大概率不能…
我发现我睡觉的床垫总是在向左边移动,不知道为什么,可能我总是在向右边翻身?
HW中,经常想的问题是,在各种安全设备的保护下,怎么才能getshell。钓鱼邮件让我了解到社工的强大,正常的web漏洞在安全设备和补丁面前看起来毫无用处,可能是我发掘漏洞和利用漏洞的能力还没有超过安全设备吧。
2019-06-26
昨天晚上在kfc买了杯抹茶,然后晚上就睡不着觉了,中间醒来3次,明明写得不含咖啡。
现在每天脸上都是一层油,会变瘦吗?
2019-06-27
基本睡了一天,感觉好累。
HW最后一天了,希望不要出什么事情。有人说阿里的猪猪侠出来了,说真的要是能看红队的报告,应该能学到很多新知识。
这几天Steam夏促,看了一下愿望单,感觉没什么想买的欲望,想玩的欲望也不是很强,感觉有点类似对甜食的欲望,不去吃,就越不想吃,但是一旦吃了,就越来越想吃。
2019-06-28
HW终于结束了,下午去客户那参加了最后的总结会议。照相因为没赶上,就错过了。
想想看怎么写总结。
2019-06-29
早上睡到10点才起床,洗了下衣服、床单、被罩。看到2篇HW总结的文章,有一篇里介绍的工具很多而且很详细,蛮不错的,有时间找一下工具,看看怎么用。
晚上打算把之前一直没打完的靶场打完,不过包含图片马之后,就只能执行一个phpinfo的命令,其他命令都不能执行。菜刀连也因为post的内容太多无法正常连接,只返回200。
2019-06-30
昨天晚上到3点才睡着,不知道是不是HW养成习惯了。期间找了很多文章,以后睡觉前可以慢慢看,然后记在笔记里,第二天更新到博客里。
早上写完HW总结后,把靶场也做完了,换了蚁剑之后就能成功连接了,蚁剑蛮灵活的可以加请求头和请求内容。
六月最后一天,看看之前写的目标。
六月的目标:
1.学习内网渗透
2.复习之前学习的内容
3.学习Python,今天买了本Python的书,可以参考着学习
4.看《图解TCP/IP》和《图解HTTP》,学习一下网络基础知识
内网渗透就看了一个视频,一个晚上。
并没有复习之前学的内容。
Python也没看。
《图解TCP/IP》就看过一次,《图解HTTP》倒是看完了。
看了2天的《Metasploit渗透测试魔鬼训练营》,看到信息收集之后,就没看了。
2019-07
2019-07-01
新的一个月。
今天做完了之前一直没做完的靶场,收获还可以,这个月要开始找工作,找住的地方。
最近感觉好累,早上总是想多睡一会。
2019-07-02
今天看了一下之前的内容,发现好多东西都忘记了,需要重新熟悉一下。
做了一个靶场,提权的方法很多,而且对我来说是新姿势,很不错的靶场。
最近没什么空闲时间背单词,都是扛着睡意快速的背完,这种背法效果不太好,不听语音记得不是很好。
2019-07-03
今天又做了一遍Billu b0x,然后在用Metasploit的时候,发现怎么都不能成功利用漏洞,然后尝试看相关漏洞,手动利用,结果发现自己太菜,看了漏洞分析都无法利用。后面才注意到靶场和Kali的IP不在同一子网下,无法相互访问,才无法成功利用。
2019-07-04
昨天看了篇微信上的文章,将怎么用图片反弹shell,试了一下并不能打开之后直接弹shell,而且msf生成的POWERSHELL脚本在反弹shell之后,很快会停止运行,直接断开会话。
然后今天中午看了一下群里的讨论说并不能直接打开就反弹shell,需要再使用之前生成图片后返回的一串代码进行反弹。之前就好奇为什么会在将图片和反弹shell的脚本拼接之后返回一串代码,我还以为是报错了,因为看教程上是没有的。
2019-07-05
今天下午面试360,自己是真的菜,而且紧张,被面试官说声音颤抖。很多基础的东西都没了解,比如http-only的加固机制,还有就是很多漏洞的利用姿势太少,给我几个环境问我怎么利用,答得并不够好,凉凉。
2019-07-06
今天看了篇红方视角下的HW总结,在大佬眼里WAF似乎就是个摆设,各种绕过,或者在态势感知的眼皮底下内网渗透,感觉跟我对安全设备的理解完全不一样。对渗透测试的信心似乎涨了许多。这个总结就是HW刚开始写钓鱼文章的那一队人写的,确实厉害,技术好,套路还深,不知道第一天有多少主机上线。
2019-07-07
早上坐车的时候,看泉哥发的文章,说他的漏洞大都是睡觉得时候fuzz出来的,不过我并写不出来fuzzer,但是可以建个fuzz的字典跑跑sql注入,xss,上传。
今天在外面的时候,看了眼《平凡的世界》感觉写得真的很好,叙事娓娓道来,让人想看下去。
2019-07-08
今天看了看红队面试的问题,感觉大多都回答不上来,很多地方都不了解,也都无法表达的很准确。
做了个靶场,了解了一下smb服务的连接方式。
2019-07-09
又开始看之前关于内网渗透的教程,照着教程,晚上搭了小型域环境。
不知道什么时候才能搞完内网渗透,在简历上写上了解内网渗透。
2019-07-10
做了2个靶场,都需要查看源码来获取目录,一个提权用到Serv-U,不过大马的模块并不能用,直接连接ftp输入账户才添加了管理员用户。
2019-07-11
最近在小吃街吃饭的时候总是可以看到一个小女孩在餐桌上写作业,有时候趴在桌子上,有时候趴在凳子上。
在人来人往的,嘈杂的地方想要静下心来做自己的事情真的很难。在外面跳绳,看着人走路都很难集中精力在跳绳上。所以,真的很佩服那个女孩,能在那种环境下写作业。
小隐隐于野,大隐隐于市,能在嘈杂的环境中,让自己静下心去做自己想做的事。
现在的人玩游戏都很浮躁,更不要说去研究什么东西。自己也是这样,很多东西,一旦想到可能要去查很多资料才能实现就有抵触心理。
自己要向那个女孩学习,静下心来做自己该做的事情。
2019-07-12
学到一个技巧,在Windows环境下,某些命令无法执行,可以上传一个相同的exe上去,在改名一个奇怪的名字,如1.exe执行命令。
关于net.exe和net1.exe:
net.exe和net1.exe net.exe会在执行某些命令时调用net1.exe
所以上传net.exe并不能执行添加用户的操作,而net1.exe可以,net.exe的调用是优先调用system32目录下的net1.exe,而不是优先调用当前目录下的net1.exe。
在net.exe和net1.exe被删除的情况下,可以上传自己的net1.exe到服务器上,或者用注册表添加用户,注册表添加用户需要管理员权限。
做靶场的时候还遇到一个问题,图片显示的地址和实际上传地址不同,所以要多试,不过这个是看源码看出来的,本来以为截断不了,结果是访问了错误的路径。
2019-07-13
做了个靶场,环境是kali,通过伪协议成功写了一句话进去,结果才发现没有菜刀!没有蚁剑!!没办法只能自己写个上传页面,结果发现因为权限问题,没有办法上传文件。然后弹shel秒断,报错是因为不知道主机名导致,然后弹meterpreter,半分钟断掉。明天试试用kali里自带的weevely写个shell进去。
看着愿望单里打折的八方旅人,不禁陷入沉思,我当初为什么要买件200块的T恤!
2019-07-14
今天看了亮神三天前发的文章,里面提了一下主动学习和被动学习,用的图片和泉哥讲主动学习和被动学习时的图片一样。亮神说,“输出”是最好的学习方式,“输出”的本质是体系重新结构化。另外讲到学习效率的问题,学习效率50%以上的是团队式学习,主动学习和参与式学习。主动学习在图片里包括,讨论、实践、教授他人。
还学习到shellcode的含义,通过一个不会被反病毒软件阻断软件来加载恶意代码到内存中,实现反弹meterpreter的目的。
2019-07-15
继续做环境为kali的靶场,在成功用两次base64编码写入weevely的shell之后,问题又出现在没有代理工具,用msf自带的辅助模块,并不能成功地代理,而且在真实机上实验也不可以成功转发流量,不知道问题出在什么地方。
2019-07-16
继续昨天靶场的靶场,使用msf的代理模块,需要在meterpreter里设置路由,再使用socks辅助工具,更改proxychains的配置文件,在浏览器里设置sock代理,用proxychains执行命令。
解决代理问题之后,直接打到第三层,不过第三层只能扫到一个开了53,445端口的主机。而且第二层还有一个需要内网IP才能登录的页面,第二层的另一台主机的web服务是邮箱系统,找到了数据库里的用户名和密码,但是无法登录。
2019-07-17
今天解决了给burpsuite加上代理抓包,burpsuite自带一个user option,可以设置上层代理和socks代理。不过msf的代理效果并不好,不能让burpsuite顺利得收发流量包。还好在桌面的tools里找到了earthworm,代理效果很好,可以通过burpsuite正常使用,不过即使把X-Forwared-For改成127.0.0.1也显示登录页面,可能需要其他的IP段。至于邮箱系统,从tomcat可以直接获得root权限的shell,翻遍了www目录都没找到其它的登录页面。
2019-07-18
今天又开始跳绳了,快1个月没跳绳了,又胖回去了…买的手环可以不带手机跳绳了,而且还可以监控心率。我的心率总是很高,随便动一动就变成了无氧耐力,这样似乎并不燃脂,不是很懂有什么区别。不过跳绳的主要目的并不是想减肥,是最近很容易累,而且睡得时间很多还睡不醒。而且多运动身体好。
2019-07-19
今天做了套笔试题,有关运维的问题比较多。这方面确实不是很了解,awk的用法,shell脚本编程,find搜索特定时间的文件,系统日志文件。
2019-07-20
约了个电话面试,结果被鸽了。等面试的时候看该公司官网,都没有绑域名,扫了一下端口,开了很多服务,不过都没见过,涨了波见识。
2019-07-21
做了一天的靶场,配了一早上的kali桥接静态IP,结果发现要在VMware里设置桥接网卡,不然自动选择会出错。不过之前还是好的。类似的还有选择无线网卡或有线网卡。
晚上开始配LNMP的环境,发现源码安装好麻烦,感觉能又能配一天。
2019-07-22
放弃源码安装了,直接照着教程用yum装了。晚上搭好了LNMP的环境,复习了下PDO连mysql的语法,写了个测试页面。明天研究一下加固方法,就可以完成这次的作业了。
2019-07-23
今天只看了一下加固的文档,写了一下要加固的内容,但是还没实际配置。
今天抓到一个路由器登录的数据包,在authorization BASIC 后面是用户名:密码的base64编码,不过第一次碰到的时候以为是固定格式不能抓包。
2019-07-24
今天配了一下Nginx的加固,发现默认的配置有很大的坑,用默认的配置文件连测试都过不去,我还不知道应该怎么配,明天好好看看怎么改配置文件。
最近睡得越来越晚,起得也越来越晚,每天还觉得很累。北京天热得根本不想去跳绳。
2019-07-25
https://www.bilibili.com/video/av60720318
又开始看视频了。讲了,坚持一些习惯,可以锻炼意志力,意志力会变得强大,使用意志力可以再去改变自己,提升自己。keep strong and carry on.
2019-07-26
北京真的好热啊。
继续学习Python了,发现自己写小脚本的时候很多函数的返回值、用法、名称都记得不是很熟。跟着github上的Python 100天好好学习一下。
2019-07-27
在网上看了一下午的房子,北京房子都好贵啊。约了一个明天早上去看。
2019-07-28
看了一天的房子,走了3W多步,穿帆布鞋走路是真的脚疼,后面大腿还磨得疼,胖子是真的惨。
2019-07-29
1.每天早上起床后拉开窗帘,多晒太阳,会让生物钟更加准时
2.减肥,肥胖会让人在吃饭后的皮质醇含量升高51%,正常体型人群仅升高5%,皮质醇越多,褪黑素分泌越少
3.降低体温,入睡时室温在15~21摄氏度,可以通过调整空调温度、入睡前1~2小时冲澡、透气性好的床垫达成
2019-07-30
明天就要结束了,上周末人就走了几个。很奇怪,大学毕业的时候都没有什么离别的伤感,但是现在却有点。
被通知明天就要搬出去。
2019-07-31
今天下午搬家了,收拾了一下午,楼层有点高,还没电梯,搬了好几趟行李。
2019-08
2019-08-01
中午点的外卖,晚上去超市买了点东西。走了半个小时才回去。
2019-08-02
去看了《哪咤:魔童降世》做得确实挺好的,动作看着很流畅,人物形象也很好,剧情还可以,“我命由我不由天”想起了小时候玩仙剑四的时候,云天河说得相同的话。
2019-08-03
今天又看了场电影《烈火英雄》,不过最近因为找工作的事情并没有很认真的看,其实很好奇,电影里要用水来灭火,科技发展这么久,还是在用很久以前的方式来灭火。
2019-08-04
继续学习Python
2019-08-05
早上5点多的时候,开始下暴雨,刮大风,阳台的窗户忘记关了,然后风吹的门呼呼响,厨房还漏雨。
2019-08-06
吃完饭去798看了看,打算回家待几天,不知道买几号的票,最近一周的卧铺都是候补,本来有个9号的卧铺,结果想买的时候没有了。买了张硬座,然后买了候补的卧铺。人真的多。
2019-08-07
玩了一天的手机,躺尸到下午6点,父亲突然打电话说买了张晚上8点多的卧铺,然而并不想走的这么着急。晚上睡觉前看了眼12306,发现有2张8号的卧铺。定了闹钟准备抢票。
2019-08-08
凌晨快6点的时候醒来,打开12306发现2张卧铺都没有了!!!明明晚上不能买火车票,而且窗口晚上也不工作吧。只能坐硬座回去了。
硬座对面是一对老夫妇,不知道爷爷奶奶回的时候能不能买到两个卧铺。
2019-08-09
回来睡到11点多,洗了个澡去奶奶家吃中午饭。家里比北京确实凉快很多,北京中午热得根本不想出去。
2019-08-10
惠普在线商城真的辣鸡,用他们给的优惠码,订单一直被取消,不用优惠码在京东上直接买就可以支付。而且有一个型号的电脑写着有货,但是就是没有购买的选项,不明白不让买为什么还要挂上去。
2019-08-11
跟家里人一起出去吃了顿饭,晚上弟弟就要走了。早上出去抽血,有点冷,冻感冒了…
2019-08-12
今天买的电脑到了,看了一下硬盘使用时间1小时,应该是全新的。不得不说轻薄本拿着真的方便,固态硬盘开关机真的快。在考虑要不要安个Ubuntu,变成双系统。不过感觉Linux有的地方不太方便,word可以用wps代替,但是QQ没办法代替,不知道工作了QQ用的多不多,可能用钉钉或者蓝信?不知道有没有Linux版的
看了一些Ubuntu下安装、使用日常软件的教程
2019-08-13
买的硬盘也到了,把旧电脑上的东西都拷出来,后面就用新电脑了。不过新电脑的内存有点小,还被集显占了2G,后面再买内存条升级吧。
今天有个电话,我以为还是推销广告。结果一上来就问我是不是xx,吓了我一跳,现在推销广告以及这么嚣张了吗?直接叫我名字,我竟然还说是…不过后面他说自己是造血干细胞的工作人员,问我还记不记得几年前抽血的事情,问我后面还愿意捐献吗?说完愿意之后,就跟我再见了。我还以为是配型成功了,查了是为了看志愿者的联系方式是否发生了变化。后面要是更改联系方式,要跟他们联系,更新联系方式。
2019-08-14
晚上出去照了证件照,把各种底的都照了,感觉以后可以不照相了。
照相店老板让我看看他家女儿上大学要买的电脑怎么样,看见一张熟悉的红色照片就知道是暗影精灵了,我也不好意思说这是游戏本,毕竟自己也是买的游戏本,就说挺不错的,毕竟要用4年,买个贵一点可以一直用。选的还是144hz的屏幕,看来是要玩FPS游戏。
2019-08-15
今天终于发了offer,不过入职时间很紧,原本还想等奶奶过完生日再回的,没办法了。今天去取证件照,顺便扫描点资料。照相店老板问我144hz有啥用,说卖电脑的没看清配置少看了144hz,现在要加600块。144hz好像除了玩FPS游戏有优势之外,其它的也没啥优点了。就说看屏幕更清楚点…下楼的时候还碰到他女儿,也不知道后面会怎么样。
回来发现家里有个可以扫描的打印机,扫描倒是简单插上就直接可以扫描了。打印还要装个驱动才能连接到电脑上。扫描加修改格式弄到11点半,洗漱完都快12点了,只能为了签到1分钟点完了单词…
我还差个职业规划没写,关键要写3个月和半年规划,在网上看了看都是3到5年的…也找不到参考。
2019-08-16
不该喝咖啡的,3点多都不想睡…
然后还要出去办身份证,早上没吃饭。办完之后,感觉自己快要猝死了。好像有点低血糖,看来平时要带点吃的东西,不然好难受。
晚上开始写职业规划,根本不会写,查了很久写了个大概,明天再继续完成。
今天洗漱完又快11点半了,而且昨天没睡好,今天好累,单词又是简单的背了一下,打了下卡。
2019-08-17
今天就要走了,奶奶生日的吃饭改到了今天。
早上把职业规划发给了老大,老大说要求太低了。好吧,不过后面看了一下其他人发的好像比我的还要低。在车上改了一下,把cve改到了发现5个,感觉很难完成,我还一个都没发现过。
2019-08-18
火车晚点了半个小时才到,然后坐公交车到住的地方,放下电脑就去办银行卡了,竟然直接办好了,不知道是为什么。
2019-08-19
今天办入职,早上是宣讲会,后面就去工位,领电脑,开始测站,被分了代码审计的活,下了一下午的源码,结果发现里面有很大的日志文件。然后又开始装自动审计工具。
2019-08-31
好久没写日记了,上班没什么时间写,多数时间22点才从公司出来,也没什么好记录的事情。
今天去和同学吃了海底捞,可能快2年没见过面了,竟然烫了卷发,讨厌卷发的我并不能理解。吃完饭去他学校转了转,真的是985大学,比起来,我的学校老校区真的很旧,而且还有十多层的学生公寓,可以随时洗澡,羡慕。上大学的时候,寝室热水就只有22点到23点才来。
问了些之前同学都在干什么,自己真的菜,加油!
2019-09
2019-09-01
早上做了个梦,感觉就像是在玩游戏,后面其实已经醒了,但还是想接着看剧情会怎么发展下去,就一直闭着眼睛,可能是大脑在骗自己多睡一会?这种情况已经发生好几次了,每次醒来都不能把梦里的细节记得很清楚。还是挺有意思的。
今天去医院复查甲状腺囊肿,本来想去附近的一家私人医院,但是去了告诉我周末休息,必须要预约,私人医院待遇这么好啊。然后去了附近一个公立医院,进去排队,结果没有医保要办就诊卡必须要现金,我真是服了,明明可以移动支付,非要交现金。没办法,去外面找了个商店换现金,50现金还要1块钱手续费…这医院旁边还有个大学,不过大学进门旁边的墙快倒了,拿杆子撑着。挂了个肾功能内分泌科,一直等到11点半,其他诊室的医生已经出去吃饭了,心里感觉凉了,估计要等到下午了。结果1分钟内叫了3号,进去就问我是不是要开药,我说就做个甲状腺彩超,老太太听了很开心,让助手开票,自己直接出去了。
超声波检验科中午12点到13点休息,等到快1点有人坐到电脑前面了,赶快上去预约,还好预约的早,我还能今天检查,后面去的人都被排到了明天,还是挺幸运的。医生说没什么问题,问我为什么要来检查,听我一周就要复查,跟他讲是HR让来的,然后就开始吐槽HR。
趁着在医院等叫号的时间,把《长安十二时辰》看完了,感觉能把24小时的事情写成一部小说,还是很厉害的,不过结局并不是我想要的,有点遗憾。