2022年9月总结

现在是9月29日五点多，刚刚下完数据结构准备回家过国庆，忽然想起国庆之前的月度总结。本来很早之前就想做一个暑假总结，现在干脆拼凑在一起吧。

历程：

从放暑假开始，本来计划正式开始Web的学习。但是考驾照搁置了一个月，八月回到学校才开始学习。八月也没有充分利用，按理来说，应该将Web，内网，提权等过一遍。但是本人还是太懒，只把Web方面的东西学了个大概，大致有SQL，XSS，文件上传，CSRF，SSRF，PHP反序列化，SSTI,XXE等，Java安全现在还没有接触到。接下来讲讲9月吧，开学本来想打打靶机的，但是不知道又为什么想去挖挖漏洞，但是一通操作下来，发现自己信息搜集的能力都比较差………….虽然找到了一些小洞，但无法利用。还是太菜了。正当我打算专心打靶时，突然，老大给我发了一个信息，说让我去参加浙江省信息安全竞赛，第一反应是寄了，我磨磨蹭蹭学了三个月的这些东西拿去打比赛，不得被其他的师傅干碎了，但是还是硬着头皮上了。因为是我们学校第一次参加CTF比赛，所以什么都不知道，从机房的选择到摄像头的安置，我和另一个队友跑来跑去。整了好久才搞定。初赛的时候，Web题目有5道，做了4道，说实话是比较水的，最离谱的是，我们以170+的名次进入了决赛。决赛的时候4道Web只做了一道盲注的（因为没有脚本，也不会写，自己注了两个小时才注出来，也是蛮搞笑的），WP目前还没看，计划国庆看。因为省赛很水，比较照顾人，参赛队伍45%都有奖，在339支队伍中，竟然也混得了个三等奖……….怎么说呢：失望大于喜悦，现阶段水平很差，道阻且长。24号比赛结束，9月也要迎来了尾声了，这几天在看内网和提取的东西，打算先过一遍，后面再详细补。以上就是这几个月的大概了。

收获：

迈出了第一步，浙江省信息安全竞赛三等奖。（咱也算有奖的人了吗？自嘲中）

对PHP-FPM有了比较细致的了解。（因为省赛初赛的SSRF没做出来。。。）

初识Windows，Linux的提权方法。

内网的大概流程。（这两天搞搞完）

自省：

今天在刷大佬博客的时候看到OSCP认证，才知道这是渗透测试国际认可度最高的证书。报名费一万，说实话是有点贵的。全英文的培训资料（听力实在是不行），觉得应该好好学英语了。昨天看一篇英文文献配合划词翻译，看的属实难受。目前计划是大三去考一下OSCP，有证书的话，找实习应该轻松一点（毕竟能告诉HR自己有一点点水平）。OSCP考试听说非常要人命，想挑战一下和试着提升自己，貌似它关于内网的东西比较多。关于Kali的认证体系，OSWE，OSEP，OSED都是值得考的，貌似（还有一个无线电安全的）。如果25岁之前能全部拿下那就好了。

为什么总有人能在短时间内快速提升，自己则像乌龟一样慢慢爬。

学习计划的安排看来是比较重要的，不能看到一个学一个，太没节奏了。

闲着也是闲着，课余时间还是得锁紧。总感觉每天有好几个小时在虚度光阴。