观前提示

这篇文章很大程度上也没有什么顺序可言，也还是类似于去年的讲到哪里写到哪里的情况。

Intros

今年是疫情爆发的第二年了。总的来看，收获不少，但是不足和遗憾也是很多。

关于职业生涯 - 安全方向

令人快乐的 SRC

关注我的应该都有所耳闻，当然我的个人 blog 中也有提到，那就是在今年五月的左右，我挖掘了我生涯中第一个 SRC 其实可以算是原创。

后续直接导致了 腾讯邮箱更新了策略 并且加强了对不规范 email 地址等的检查

我认为对个人作为新人 (进步极其缓慢.jpg) 而言，也算是不错的肯定了。

希望以此做为台阶可以对安全领域的进一步探索提供激励和指导。我也写了相关的文章 希望对一起进步的新人们相互勉励。

加入社团

值得庆幸的是 我终于在大二刚一开始加入了两个社团 (/拍手: 啪唧啪唧啪唧)。

确实今年相比去年我成功的进入了两个社团，可以说融入组织的感觉确实不错，而且能和朋友一起做事，就很开心。

关于接了几个屎山

很不幸的是，有些就是 Docker 都跑不起来的线上环境确实是很糟糕了。js 的环境全部烂掉，docker 也救不回来的感觉是真的很绝望。

说实话，我也算是体会到了做外包的那种苦逼的感觉了。

尤其是出了问题 都不知道问谁 只能在代码里调试测试 然后紧急接锅 在多个中间件和后端环境中协调每个组件的能力算是有了不错的提升。

想想不能说是啥也没有收获，也算是入门代码审计了 XD

关于 malware 与 esonhugh 一代目 (当然是指 esonhugh.me 啦)

算是看一些课程的时候的小小动手，从理解 shellcode 开始，到制作加载器，加载器免杀，shellcode 免杀，环境检查，以及使用 DNS TXT 记录做 shellcode 分发

（当然这也直接导致了 下半年我的 esonhugh.me 寄掉）问就是被举报然后被 DNS 服务提供商下掉了

当然免杀和规避审查的效果还是很显著的，最好的版本初次上传直接给干到了 2/67 的 VT 查杀率 （虽然后面升到了 10/67 但是也就停止在 10/67 了） 像是火绒 xx 管家啥的，基本就是随便绕过了。。。

入坑 K8s 竟然是依靠日站？

今年我 subscribe 了 年费的 Tryhackme 的会员。打完了整条 Offensive Sec 的大模块，以及 去年 圣诞节的 特别活动。

在日一台 K8s 的近期靶机的时候 我直接当场学习，边打边学，https://book.hacktricks.xyz/ 上有许多的相关的渗透技巧和说明，同时以最快速度出了一篇 Blog 放在了自己的博客上 而且是第一个 writesup 哦。不过可惜因为 esonhugh.me 因为一些原因寄掉了导致链接的失效。

其实还有不少

在今年的后半段时间，我基本处于一种渗透测试的实战的过程中，当然这之中确实很多细节不能在 review 和 公开的 blog 中细细说明。希望大佬们高抬贵手，当然也可以相互交流，也会有所成长。

基本很多时候是拿着 fofa，Hunter 几个平台的资产搜集搜索系统，打开 burpSuite 和扫描器就开日。

主要的扫描反连之类就挂 VPS 上，懂得都懂，然后放两个重要的 OneForAll 的子域名收集和 nmap 类扫描工具。当然个人使用大规模的漏洞扫描工具的时间可以说几乎是没有的，倒是在研究盲打时候的反连和可操作的单兵系统比较多，可能之后要学一学咋个部署这种大型的 AWVS 扫描器之类的。

倒也是有几个站让我印象深刻的很。不少是直接带各种密码复用和弱密码，基本是啥也不用干直接一脚踹进后台，还有不少都是密码直接不改的默认密码 网上找一下 XX 系统默认密码或者修改密码，基本就穿了。真的感叹于 世界原来都是草台班子 XD

联合之前做外包的一些经验，想了想有些外包干出来那么离谱的事情似乎也是情有可原的了 XDD

然后年末随意申请了两个事件型 CNVD

这也是拜了，日站技能所赐其实。可惜最后就只是简简单单过了审核，然后剩下也没有了什么下文，也懒得追究了。

More?

在年末还有发生了一件对我来说意义挺大的事情，这里先不提，mark一下日后写。当然能找到这个 blog 的属实不是泛泛之辈，相信我，很快你们都会知道力。

社交

说说快乐的事情，今年我线下见到了自己的师父，非常的快乐，师父人很和蔼也很慷慨，饭局&面基下来，交流了很多，也见识了不少。今年暑假还见了 MiaoTony 师父，没错还是面基，当然 TG 的面基的传统异能还是不能少的。

入坑 Ingress

今年下半年我惊喜的发现我的新手机是支持 Ingress 定位的，而旧手机那个去年注册完账号选好绿军，才发现定位就是寄掉的。于是打开谷歌账号登陆直接进行一个 ingress 账号的上线。这不，两个月就8级了。// 我校蓝军真的是非常的顶啊

不过无所谓目前不作为什么重点游戏培养。目前是想打就打，xjb连的摸鱼用户。

令人绝望的学业

今年是第一年在大学的生活完全过完了。

还是那些琐碎的课余时间和非常丰富的课程，属实把我本身就不多的时间切的七零八落。这就导致很难高效去利用你的时间，上完数学上物理，课程纷繁也复杂，光光要修的这个学分系统一个就复杂的不行，属实折腾的够呛。

实验做完还有实验的报告要交要做，都不止四五个报告和四五个实验，理论课也不简单，这又是期末复习又是考试周考试月，期末的时间简直就是忙的整个人都给你搞起飞了。秋季学期还整了个骚操作，导致现在 Deadline 逼近你的血肉，直勒的人喘不过气。

考试周破防虽然看着想笑，但是笑着笑着就哭了。

网络和我

去年入坑了 DN42 的大内网，今年下半年，我用 Zerotier 把自己的机器都接入了自己的小型局域网，然后配置好了路由策略。

嗯，非常的舒服。现在无论在哪里，只要我的机器开着，我都能远程连上去处理事情。

准备下一台 VPS 搞一个 RouterOS 然后也一起接入内网。