本学期我学到的东西很多上面学习笔记里面都有所以这里就写写我学习的技巧吧。先讲个小故事最近也在找实习我才发现hr压根不在乎你的简历写了多少技术更看重的是你的ctf比赛和落地的项目尽管你的简历写的“天花乱坠”人家是一眼带过反而看的多的是你的项目他们很在意你有没有打过ctf比赛有没有什么红队蓝队经历。等到这个时候我才发现学校老师们的良苦用心早在大二老师就安排了ctf比赛每天都在群里推各地ctf比赛还组校队打自己开平台打ctf等等。现在想来自己那时候还不懂现在也只能追悔莫及好在知迷途而后返我也跟着同学踏踏实实地学了一段时间。把话题拉回来自从面试后我就问了很多“厉害的人物”这里我都叫做“大佬”。向他们取经时他们都毫不吝啬说的最多的一句话就是你遇到了你就学。即在操作中学习消化成长。这就是我吃透的学习技巧。遇到什么学什么首先要让自己“遇到”。在此之前我先分享最近找实习蓝队护网的面试经历hr问的问题都是基本漏洞原理,诸如ssrf和csrf的区别Shiro反序列化的原理怎么判断文件上传成功了怎么防御Log4j2的原理中间件等等还有有点安全设备日志目录等问题。其实我学的并不扎实因为学了没实操就忘记了。所以我学历就要用就要练习这就涉及到我说的“遇到”。要想办法让自己遇到这就要多做项目多实习多打靶场。我也学到不怎么好但是我还在找实习做只要遇到的多我学到的就多很多hr更看重实习经验这也侧面说明遇到什么学什么的重要性。还有一个收获不要放弃任何一个机会。有机会就试试不试试怎么知道像打比赛也是大家都抱着玩一玩的心态以赛促学玩到即是学到。每个ctf比赛都可以去参加。每个实习都可以去尝试不要害怕万一人加缺人你就能进去了。其实学的蛮多也很系统。我最初先了解了windows和linux的基本命令php语言python脚本还有计算机网络和数据库等知识然后慢慢进入外网了解各类web漏洞sql注入xssxxe文件包含文件上传ssrfcsrf爆破等等。还有防御方法从靶场打到虚拟机等等。然后是学习内网什么内网探测端口转发监听木马制作和上传等等然后进入内网就是开始提权涉及到linux和windows提权提权方法有脏牛提权烂土豆提权sudo提权这些。只得到权限还不行还要想办法植入后门进行权限维持。这基本就是我的知识闭环但是在实操上面我还是很欠缺这类操作基本学习之后很少接触到这些项目就渐渐忘却了。换个角度说但凡我再努力点能接触到这些知识点我就能练习就能记住。所以机会很难得在我认为契机比埋头学习更重要。收获最多的不仅是技术更是内心的修炼。沉下心学习很重要这很难得。之前去做红队每天对着电脑就是开干所以到晚上可以休息的时候就玩手机很少能做到说把今天的收获写在博客里面。要么是着急找实习焦虑等等其实没必要焦虑改变不了现状唯有沉着应对方可破局。最后想说的是在这学期很感谢各位老师给了我机会去面试去实习这些我学以致用的平台我也会跟紧老师的步伐在老师们的指引下奔向我的诗和远方。