幽默娱乐圈中专哥意淫互联网黑手赛博锦衣卫,也不知道是和公安有合作了还是有相关部门授权了,好大的官威啊😅
然后介绍一下这个Alfadi联盟,qq著名红客型若智集中营组织,平时一大爱好就是钦点别人是娱乐圈他是高贵的安全圈,急眼了就开始扣帽子“又一个娱乐圈的”,“我这种安全圈的搞技术的懒得理你”。我嘞个高贵的中专✌🏻未成年,护网蓝初都没人要连个ctf都没打过的技术圈人才啊,真是技技又术术啊
其之前联合参与的那个逐日计划,前期这个部那个部声势浩大,然后几十号小孩一个.jp的webshell都凑不出来,由于没有战绩实在撑不下去了某天光速解散群聊逃逸 无敌对日apt计划遂暴毙🤣。
——现在再回头看这个幽默公告,“我们作为国内领先的网络安全倡导者”【领先逐日计划这样的过家家是吧】,“我们提供平台”【指小学生聚集地qq群,技术讨论没半点天天就是吹牛逼和意淫黑客大玉】,“持续深化与国内外安全机构的合作”【不知道哪个正规安全组织会和他合作】,“积极协助公安机关打击犯罪”,“开展相关安全教育”【对,警察叔叔放着奇安信无糖这样的大公司不合作他就来找你这堆若智小孩合作】。
说个最好笑的,这个什么网络安全声明这么义正言辞打击涉网犯罪,他们领导人afg晓凤之前自己搭tg社工库机器人和安卓社工库app
我嚯嚯韩国打进ksu内网搞得韩联社都报道了,我也只是说我打着玩的全靠扫和特,没半点技术含量娱乐圈行为。人家搞个中道崩殂的半个shell凑不出来的逐日计划就晋升成高贵的“我们安全技术圈”了,就要变身赛博阎王“打击犯罪”,“管理娱乐圈”了。求求中专哥赶紧找个电子厂打螺丝吧,不需要要你对网络安全做迫真“贡献”,打螺丝真比你在这瞎玩网对社会的贡献大
然后介绍一下这个Alfadi联盟,qq著名红客型若智集中营组织,平时一大爱好就是钦点别人是娱乐圈他是高贵的安全圈,急眼了就开始扣帽子“又一个娱乐圈的”,“我这种安全圈的搞技术的懒得理你”。我嘞个高贵的中专✌🏻未成年,护网蓝初都没人要连个ctf都没打过的技术圈人才啊,真是技技又术术啊
其之前联合参与的那个逐日计划,前期这个部那个部声势浩大,然后几十号小孩一个.jp的webshell都凑不出来,由于没有战绩实在撑不下去了某天光速解散群聊逃逸 无敌对日apt计划遂暴毙🤣。
——现在再回头看这个幽默公告,“我们作为国内领先的网络安全倡导者”【领先逐日计划这样的过家家是吧】,“我们提供平台”【指小学生聚集地qq群,技术讨论没半点天天就是吹牛逼和意淫黑客大玉】,“持续深化与国内外安全机构的合作”【不知道哪个正规安全组织会和他合作】,“积极协助公安机关打击犯罪”,“开展相关安全教育”【对,警察叔叔放着奇安信无糖这样的大公司不合作他就来找你这堆若智小孩合作】。
说个最好笑的,这个什么网络安全声明这么义正言辞打击涉网犯罪,他们领导人afg晓凤之前自己搭tg社工库机器人和安卓社工库app
我嚯嚯韩国打进ksu内网搞得韩联社都报道了,我也只是说我打着玩的全靠扫和特,没半点技术含量娱乐圈行为。人家搞个中道崩殂的半个shell凑不出来的逐日计划就晋升成高贵的“我们安全技术圈”了,就要变身赛博阎王“打击犯罪”,“管理娱乐圈”了。求求中专哥赶紧找个电子厂打螺丝吧,不需要要你对网络安全做迫真“贡献”,打螺丝真比你在这瞎玩网对社会的贡献大
👍12❤1
🔥4😁1
护网也是开始一个多星期了,由于时间比较紧这里写一篇没有思路瞎扯的随笔,主要是聊一下护网期间对于牛马大学生的感想,这个群体确实给我整破防了,有可能顺带说一下别的事情,想到哪写哪
很多人对于护网大学生的刻板印象还是封127.0.0.1,啥都不会一天2700块苕皮哥的阶段。啥都不会的我觉得其实都还好,你可以直接把他忽视了,然后自己干自己的,渗透的节奏也不会被打乱。去年苕皮哥被曝光之后引起了厂家不小的重视,今年护网大学生普遍卡到03年,红初招了很多计算机专业本科,懂一些web基础又不是很熟练的人进来。我个人感觉这种类型的红初比苕皮哥还难受
第一,他不是什么都不会,你指望他起一点协助的作用你就得分配他资源,比如ip代理,相应的0day 1day,权限。他吃了资源又拿不到分数,出于礼貌你不仅不好说他还可能要继续给他分资源。
第二算是第一的补充,有人说👴🏻就是脸皮厚不分资源你能怎么滴,事实上能力不够又能在国护做红队的大学生多少是背后有点关系的,这个爹是网信办xx主任那个小舅子是公安xx队长,加上他自己懂一定技术不会做出什么特别傻的事情让人抓到把柄,苕皮哥你可以直接开骂,因为他是怎么都洗都洗不了的纯啥比,这种你真不好骂,没有犯大错加上是某某的关系,你半点脾气没有
其三大学生群体是很想在国护证明自己的,看了一点公众号的上的渗透实战爽文就想来秀操作了(客观来讲也是现在面试的风气不对,红初特么的面试问中间件二进制,导致一大堆人背题进来的以为自己懂了其实根本不会实战),喜欢玩花的,但事实上初级红队在大型护网中能够拿分的都是靠特,特弱口令特shiro默认密钥特tomcat容器put上传这类一个http包一键复现的幽默漏洞。自我认识能不能清楚一点,红初的技术实力卡死在这里了,你想拿分就得有看到弱口令和弱智nday跟狗看到屎一样的灵敏嗅觉,话虽然难听,事实就是这样。那些个自我感觉良好不愿意当特种兵的,等到认清现实的时候靶标都被别人特完了,挂零
所以为什么我说我个人宁愿要苕皮哥也不要牛马大学生,上不去下不来的最要命。如果说苕皮哥是零作用这种人就是负作用,比如之前说的特,你以为他这种简单的事情能搞定但是他又确实做不好,宝贵时间都被他浪费了,不如一开始就别指望他,自己动手。求求各位牛马大学生你就老老实实的搁那啥都不干都好,不会搞就别瞎乱搞了😅
然后牛马这个词我认为可以拆开来解释,大学生经验不足,很多简单的漏洞点,浏览器里看到ueditor都不认识,这种叫马。但是大学生,从高考考场里杀出来的卷人,人家的阅读量和学习能力又在线,导致一个不认识ueditor的人,你以为他是啥比,结果他还知道php审计里的parse_str特性会把abc.123=1解析成abc_123这样的冷知识,又牛又马,神一把鬼一把的,所以导致了我上文所说的难受——你觉得他靠不住他又时不时c一下让你感觉他会起作用,很打乱节奏,我又不是管理学大师,根本无法让这种神鬼二象性的人完全发挥出来
说到牛马就不得不提一嘴纪律性,我也没指望牛马大学生你能给我爆个0day打穿内网啥的,你能不能把纪律性做好?初级红队这个水平纪律性比技术能力更重要。听说某攻击队今年护网就出现了牛马大学生找到一个疑似xxe,一高兴把行动开始前队内大哥的叮嘱全忘了,招呼也不打就自己拿团队服务器开启web服务,放上带payload的dtd文件然后向靶标发包——exe的马子想找c2服务器ip好歹还得反编译一下,xxe请求红队服务器地址就在请求体里明文写着,后续当然就是蓝队一波溯源加封禁,那个xxe也没利用成功。以及各种护网期间起个xray酷酷战斗爽的,那我被用掉的代理池这块谁给我补啊?出事了质问牛马,答曰: “网上不是都说蓝队是猴子啥都不会吗”,“不是说蓝队只会炫零食吗他怎么还懂xml文档”,巴拉巴拉,我真是川师南大门了。什么是纪律性?纪律性就是你不能把不被响应和溯源的希望寄托在蓝队不作为,蓝队是啥比身上,每一次攻击和利用都要考虑到可能给团队带来的影响。溯源还好一般溯不出来,要是遇到蓝高会打反清的,拿到你c2的地址一个cs或者viper的rce,OK恭喜你一个人让全队满门忠烈了
骂完了过后客观的想了一下,大学生一般来说在ctf和src这两块还是挺强,护网期间这两块的经验发挥出来是很能操作的,这里呢,围绕主题,我就恶心一点只讲不好的那一面,有不错src和ctf技巧≠你护网的ADR高
大学生网安最接近实操的经验就是ctf,ctf一般就一个站点,就这个网站目录里必然有一个真实存在的惊人的flag.php,护网呢?并,并,并非,护网更看重资产信息收集,靶标都是大型企业,什么子域名c段旁站小程序云容器很多,ctfer大学生不会控图不会拿信息,就干拉,对着一个登录框死磕,还最喜欢对着主站干拉。蓝队可高兴了框框只用注意那几个路径闭着眼睛封。国护这些政府金融关键资产你要是能靠干拉出来一个day颗秒了你也不至于红初了,你去大厂实验室单兵apt吧,这种属于靶场和ctf打多了打出幻觉来了
src讲究点到为止,没见过有几个src鼓励你往内网生产环境里日的,相反国护这几年的评分上越来越看重后利用,比如rce在src里执行whoami可能就行了,国护里用这个rce落地webshell能得比单纯执行测试命令多一倍的分,从shell进了内网还有跨域分域控分。借用鱼人圣经,实战里边他有一堆这个设备,bypass你pass不了,你权限也不能维持,这个网络安全确实是很需要0day的,但是如果没有后利用,0day就没有任何意义,你是不是只能执行个测试命令就跑?危害小了裁判压你分也是理所当然
最后是这个心态问题,每次护网都能听到身边和微步上的人叫,c段b屋檐了蜜罐b屋檐了反清b屋檐了拔线b屋檐了设备b屋檐了不出网b屋檐了明御雷池创宇盾xx规则光速响应太难了各种拼尽全力也无法战胜,蓝队太踹哈了靶标不是人打的更有甚者直接开始上升到网络安全没出路我要转行了我要小鱼游园了。不懂就问,蜜罐waf这些是什么很新颖的东西吗?国护这个强度用这些东西不是再正常不过?是不是要后台admin 123456进去图片上传的地方直接传php文件啥过滤没有还回显路径才能让这些个红队大老爷开心?骂蓝队设备太多了轮椅了不公平,人家甲方花大几百万买的设备为什么不能用,不用才是脑子有毛病。还有说对面是xx大厂实验室xxx值守的我就该打不进去,我躺平了炫零食我啥都不干。能不能打穿是能力问题,打没打是态度问题,国家每年花这么多钱就请了你这么个冲击波玩意😅,真境外apt打进来了他会因为你是初级就不打你了吗?国护是公安部领导的严肃的国家级演练行动,我没听说过哪家护网规定了初级只能打初级,又不是游戏天梯匹配,你不提升技术难道跑到裁判那里哭鼻子吗,呜呜呜他核心蓝队来我红初这炸鱼举办了,傻逼,炸的就是你😅。过分夸大抬高自己战胜不了的对手不会让大家觉得你技术没问题你冰清玉洁只是对面太强了,只会让多数人看清楚你就是个水平不行还爱xjb叫唤的弱智
最后写完了想起来解释一下开始提到的两个名词,rating和ADR,打过cs这个游戏的人可能知道啥意思,护网里边ADR指的是平均靶标权重得分,rating指的是综合技术能力评分,比如之前德国国防部那个12345678的弱口令,rating很低,因为确实没技术含量,但是ADR就很高,虽然他弱智但是他确实是国防部的资产
吃个瓜,某大厂蓝高简历写的精通java,连基于spring用restful注册个路由实现路径映射都不会,都不能说不会了,完全不知道路由是什么东西,说厂里装了TPlink。太有蓝高了好歹没给我说路由是南宋著名爱国诗人🤣
还有有人在问护网情报的这个事,有没有必要加那些付费的星球或者内部群,这个我真不知道因为我也没加过,这里推荐一下银遁安全团队的漏洞库,https://www.yuque.com/xiaokp7/iosgxe/pylblovme6agn5t0Doc#
访问密码:nfsp
可能把有些nday当成护网期间0day推送了,但是收录数量是非常全的,互联网侧暴露的基本上都有
差不多就说到这里吧,这篇文章不针对某个人,只是我参加护网这段时间总结出来的一些体会。最近这几天被大学生整破防了,确实是太生气,文章里肯定有不少不文明不礼貌的内容还敬请谅解。如果您觉得有哪些地方说得不妥的可以和我沟通,但是如果有人什么道理也不讲单纯的对号入座了过后破防了,瞎骂,那不好意思,这篇文章针对的就是你😋
很多人对于护网大学生的刻板印象还是封127.0.0.1,啥都不会一天2700块苕皮哥的阶段。啥都不会的我觉得其实都还好,你可以直接把他忽视了,然后自己干自己的,渗透的节奏也不会被打乱。去年苕皮哥被曝光之后引起了厂家不小的重视,今年护网大学生普遍卡到03年,红初招了很多计算机专业本科,懂一些web基础又不是很熟练的人进来。我个人感觉这种类型的红初比苕皮哥还难受
第一,他不是什么都不会,你指望他起一点协助的作用你就得分配他资源,比如ip代理,相应的0day 1day,权限。他吃了资源又拿不到分数,出于礼貌你不仅不好说他还可能要继续给他分资源。
第二算是第一的补充,有人说👴🏻就是脸皮厚不分资源你能怎么滴,事实上能力不够又能在国护做红队的大学生多少是背后有点关系的,这个爹是网信办xx主任那个小舅子是公安xx队长,加上他自己懂一定技术不会做出什么特别傻的事情让人抓到把柄,苕皮哥你可以直接开骂,因为他是怎么都洗都洗不了的纯啥比,这种你真不好骂,没有犯大错加上是某某的关系,你半点脾气没有
其三大学生群体是很想在国护证明自己的,看了一点公众号的上的渗透实战爽文就想来秀操作了(客观来讲也是现在面试的风气不对,红初特么的面试问中间件二进制,导致一大堆人背题进来的以为自己懂了其实根本不会实战),喜欢玩花的,但事实上初级红队在大型护网中能够拿分的都是靠特,特弱口令特shiro默认密钥特tomcat容器put上传这类一个http包一键复现的幽默漏洞。自我认识能不能清楚一点,红初的技术实力卡死在这里了,你想拿分就得有看到弱口令和弱智nday跟狗看到屎一样的灵敏嗅觉,话虽然难听,事实就是这样。那些个自我感觉良好不愿意当特种兵的,等到认清现实的时候靶标都被别人特完了,挂零
所以为什么我说我个人宁愿要苕皮哥也不要牛马大学生,上不去下不来的最要命。如果说苕皮哥是零作用这种人就是负作用,比如之前说的特,你以为他这种简单的事情能搞定但是他又确实做不好,宝贵时间都被他浪费了,不如一开始就别指望他,自己动手。求求各位牛马大学生你就老老实实的搁那啥都不干都好,不会搞就别瞎乱搞了😅
然后牛马这个词我认为可以拆开来解释,大学生经验不足,很多简单的漏洞点,浏览器里看到ueditor都不认识,这种叫马。但是大学生,从高考考场里杀出来的卷人,人家的阅读量和学习能力又在线,导致一个不认识ueditor的人,你以为他是啥比,结果他还知道php审计里的parse_str特性会把abc.123=1解析成abc_123这样的冷知识,又牛又马,神一把鬼一把的,所以导致了我上文所说的难受——你觉得他靠不住他又时不时c一下让你感觉他会起作用,很打乱节奏,我又不是管理学大师,根本无法让这种神鬼二象性的人完全发挥出来
说到牛马就不得不提一嘴纪律性,我也没指望牛马大学生你能给我爆个0day打穿内网啥的,你能不能把纪律性做好?初级红队这个水平纪律性比技术能力更重要。听说某攻击队今年护网就出现了牛马大学生找到一个疑似xxe,一高兴把行动开始前队内大哥的叮嘱全忘了,招呼也不打就自己拿团队服务器开启web服务,放上带payload的dtd文件然后向靶标发包——exe的马子想找c2服务器ip好歹还得反编译一下,xxe请求红队服务器地址就在请求体里明文写着,后续当然就是蓝队一波溯源加封禁,那个xxe也没利用成功。以及各种护网期间起个xray酷酷战斗爽的,那我被用掉的代理池这块谁给我补啊?出事了质问牛马,答曰: “网上不是都说蓝队是猴子啥都不会吗”,“不是说蓝队只会炫零食吗他怎么还懂xml文档”,巴拉巴拉,我真是川师南大门了。什么是纪律性?纪律性就是你不能把不被响应和溯源的希望寄托在蓝队不作为,蓝队是啥比身上,每一次攻击和利用都要考虑到可能给团队带来的影响。溯源还好一般溯不出来,要是遇到蓝高会打反清的,拿到你c2的地址一个cs或者viper的rce,OK恭喜你一个人让全队满门忠烈了
骂完了过后客观的想了一下,大学生一般来说在ctf和src这两块还是挺强,护网期间这两块的经验发挥出来是很能操作的,这里呢,围绕主题,我就恶心一点只讲不好的那一面,有不错src和ctf技巧≠你护网的ADR高
大学生网安最接近实操的经验就是ctf,ctf一般就一个站点,就这个网站目录里必然有一个真实存在的惊人的flag.php,护网呢?并,并,并非,护网更看重资产信息收集,靶标都是大型企业,什么子域名c段旁站小程序云容器很多,ctfer大学生不会控图不会拿信息,就干拉,对着一个登录框死磕,还最喜欢对着主站干拉。蓝队可高兴了框框只用注意那几个路径闭着眼睛封。国护这些政府金融关键资产你要是能靠干拉出来一个day颗秒了你也不至于红初了,你去大厂实验室单兵apt吧,这种属于靶场和ctf打多了打出幻觉来了
src讲究点到为止,没见过有几个src鼓励你往内网生产环境里日的,相反国护这几年的评分上越来越看重后利用,比如rce在src里执行whoami可能就行了,国护里用这个rce落地webshell能得比单纯执行测试命令多一倍的分,从shell进了内网还有跨域分域控分。借用鱼人圣经,实战里边他有一堆这个设备,bypass你pass不了,你权限也不能维持,这个网络安全确实是很需要0day的,但是如果没有后利用,0day就没有任何意义,你是不是只能执行个测试命令就跑?危害小了裁判压你分也是理所当然
最后是这个心态问题,每次护网都能听到身边和微步上的人叫,c段b屋檐了蜜罐b屋檐了反清b屋檐了拔线b屋檐了设备b屋檐了不出网b屋檐了明御雷池创宇盾xx规则光速响应太难了各种拼尽全力也无法战胜,蓝队太踹哈了靶标不是人打的更有甚者直接开始上升到网络安全没出路我要转行了我要小鱼游园了。不懂就问,蜜罐waf这些是什么很新颖的东西吗?国护这个强度用这些东西不是再正常不过?是不是要后台admin 123456进去图片上传的地方直接传php文件啥过滤没有还回显路径才能让这些个红队大老爷开心?骂蓝队设备太多了轮椅了不公平,人家甲方花大几百万买的设备为什么不能用,不用才是脑子有毛病。还有说对面是xx大厂实验室xxx值守的我就该打不进去,我躺平了炫零食我啥都不干。能不能打穿是能力问题,打没打是态度问题,国家每年花这么多钱就请了你这么个冲击波玩意😅,真境外apt打进来了他会因为你是初级就不打你了吗?国护是公安部领导的严肃的国家级演练行动,我没听说过哪家护网规定了初级只能打初级,又不是游戏天梯匹配,你不提升技术难道跑到裁判那里哭鼻子吗,呜呜呜他核心蓝队来我红初这炸鱼举办了,傻逼,炸的就是你😅。过分夸大抬高自己战胜不了的对手不会让大家觉得你技术没问题你冰清玉洁只是对面太强了,只会让多数人看清楚你就是个水平不行还爱xjb叫唤的弱智
最后写完了想起来解释一下开始提到的两个名词,rating和ADR,打过cs这个游戏的人可能知道啥意思,护网里边ADR指的是平均靶标权重得分,rating指的是综合技术能力评分,比如之前德国国防部那个12345678的弱口令,rating很低,因为确实没技术含量,但是ADR就很高,虽然他弱智但是他确实是国防部的资产
吃个瓜,某大厂蓝高简历写的精通java,连基于spring用restful注册个路由实现路径映射都不会,都不能说不会了,完全不知道路由是什么东西,说厂里装了TPlink。太有蓝高了好歹没给我说路由是南宋著名爱国诗人🤣
还有有人在问护网情报的这个事,有没有必要加那些付费的星球或者内部群,这个我真不知道因为我也没加过,这里推荐一下银遁安全团队的漏洞库,https://www.yuque.com/xiaokp7/iosgxe/pylblovme6agn5t0Doc#
访问密码:nfsp
可能把有些nday当成护网期间0day推送了,但是收录数量是非常全的,互联网侧暴露的基本上都有
差不多就说到这里吧,这篇文章不针对某个人,只是我参加护网这段时间总结出来的一些体会。最近这几天被大学生整破防了,确实是太生气,文章里肯定有不少不文明不礼貌的内容还敬请谅解。如果您觉得有哪些地方说得不妥的可以和我沟通,但是如果有人什么道理也不讲单纯的对号入座了过后破防了,瞎骂,那不好意思,这篇文章针对的就是你😋
Yuque
Enter your password · Yuque
十万阿里人都在用的笔记与文档知识库,面向企业、组织或个人,提供全新的体系化知识管理,打造轻松流畅的工作协同。金融级数据安全、丰富的应用场景、强大的知识创作与管理,助力企业、个人轻松拥有云端知识库
❤16🫡10👍2🤮1