回顾一下你的一年,在技术上也是小有成就。
梳理了一下自己的工具库,发现增长最多的就是自己的字典以及各种的密码爆破工具。
在一次项目实施中你挖到了十多个漏洞,其中有10个低危,2个中危,1个高危,而且高危漏洞利用的前提是需要知道超管账号密码才能够利用,程序员非常不解的说,这超管密码复杂度这么高,攻击者怎么利用?而你却用极短一句话便让他无话可说,“你能保证账户密码永远不会泄露?”。
每一次的攻防演练你都是挖弱口令最多的那个人,别人只能提交屈指可数的RCE、反序列化、文件上传,而你却能提交大把的弱口令,所以你疲于编写攻击成果报告,导致每一次的演练你都是那么的疲惫,可是还好,每次在演练结束后你都能在自己的简历上增加“XXX攻防演练第x名”。
某一次在攻防演练中你绞尽脑汁的通过任意文件上传漏洞拿下了一台主机,然后你连忙在工作群内截图炫耀,并发到朋友圈,并配文“功夫不负有心人”,结果在后续内网探测阶段却发现什么都探测不到,你想这应该是没探测到网段而已都是小问题,第二天你自信满满的把你打下的入口点给了其他同事并告诉他们“这家单位可以出局了”,让他们做后续的内网渗透,而你的同事把目标IP在百度一查,发现是你拿下的是阿里云主机。
在工作中你也体现了你丰富的专业能力。
那天客户问你什么是白银票据什么是黄金票据,你一时语塞说了一句“我出去接个电话”,然后你连忙去问了其他同事,然后你回来之后滔滔不绝的告诉了客户,客户满意的给了你一个大拇指,并在工作会上向你的领导肯定了你的工作能力。
有一次客户电脑出现了病毒事件,需要你上机排查,你带着不安的心情开始操作起了陌生的电脑,你熟练的打开了cmd,并输入了ipconfig,然后输入了dir命令查看了当前目录下的文件,客户在一旁看着字符跳动的屏幕对你连连称赞,并和身边的人说着“果然还是专家,就是不一样”,你习惯性的想打开windows日志,却发现这是一台windows 2012的机器,你找不到查看系统日志的位置,这个时候你借着回复微信的理由,拿起了手机并在浏览器搜索框输入了“windows 2012如何查看系统日志”,你回忆起你之前在网上学习到的4624和4625不断在日志里面检索事件id,并没有发现异常,客户问你4624和4625是代表什么意思,你冷静的说,“4624是代表登录失败,4625是代表登陆成功”。
你从当初的面对WAF、杀毒与态势时充满了惶恐到现在已经学会了轻描淡写的立即切换到另一个目标,至此你已经成为了一个成熟老练的网安人,你知道的搜索引擎越来越多,搜索语法也用得愈发熟练。你会将难度只有一层窗户纸一样的技术成果打码发到朋友圈,把仅需只言片语就能分析出结论的漏洞代码扩展到去介绍整个项目的底层代码。
2024年你还在继续挖洞以和打攻防演练,你依旧会挖到很多的弱口令,你的字典种类与内容也会越来越丰富,的确那些经常拿到shell的人都是运气好,虽然你运气极差从来碰不到这么好打的目标,但是你用burpsuit批量爆破账户的操作真的是如行云流水般丝滑。目标或许安全性很高,难度很大,但你手中的目标却有很多,不要害怕,这个不行就换下一个,总有一个能挖到弱口令。
--转自网络(侵权联系作者删除)