安全小课堂第114期【Vulkey_Chen的白帽子之路】

Vulkey_Chen：

我的起点其实很普通：

小时候喜欢打FPS射击类游戏，技术不够，“邪门歪道”来凑，于是走上了寻找外挂之路。偶然间加入一个外挂交流群，下载了一个软件，软件标题是“CF遁地+飞天+穿墙+自瞄.exe”，年少无知，感觉自己捡到了宝贝，欣喜若狂，等待下载完毕，带有仪式感的点开，熟悉的Windows关机声响起，然后重启了电脑。当打开的时候，我慌了，电脑的用户名变成了“解锁+Qxxxxxx”。后来被我爸教训了一顿之后，他一下子就解锁了电脑。

 经历的事情多少也算精彩和幸运：

- 抓鸡

后来多多少少也自己学了点东西，自己也学会做锁机的软件了，开始“纵横”，后来跟一些网友聊天得知“抓鸡”，花了当时唯一的50块钱大洋买了教程，学了起来，当学会之后，才发现这是免费教程，被骗了，然而自己只懂理论却没成功过。

 - 钻阔

接触到了很多的网友，也加入了所谓的“黑客团队”，在里面聊天吹牛，知道了原来体验一个人QQ价值的地方在于QQ钻多不多，于是踏上了刷钻的不归路，曾经也是QQ钻全开的小伙子哈哈。

- 渗透

最开始接触渗透的时候是13年，那时候到处的“啊D、明小子，南方精良批量教程”，用这几招也曾“到处留名”。后来荒废了一段时间，“潜心”学了一段时间编程（PHP），懂了点皮毛之后学习并熟练使用各种脚本，14年偶然间得知“360库带计划”，便开始了人生第一次的漏洞挖掘之路，那时候任何一款工具都可以“日”遍各种企业，漫游各种内网。后不甘现状，也因现实所迫将挖洞放下了一段时间，16年年初才重见“挖洞”天日，那时候圈内已经变化太多，SRC、漏洞平台也兴旺发达，漏洞赏金也越来越高，花了一年时间重新学习，从脚本编写到漏洞原理的系统化学习，后有幸跟随启蒙老师加入米斯特安全团队，与团队核心交流，技术日益增长。

“实战”是提升最快的捷径，有条件的情况下尽量多“实战”，这里的“实战”不是指拿你已会的姿势，多尝试多思考，带着问题去“实战”，抛弃被固化的挖掘思维，既然是做黑盒测试，那么就要知道没有什么是不可能的。

 “基础”是学习最重要的一环，大概有很多人根本不知道自己挖的这个漏洞原理是什么，何谓原理？后端代码如何处理，为什么这样处理，这样处理为什么会有漏洞？其实就是所谓的处理逻辑，“基础”要打好。

 “基础” + “实战” = “SzS”

 “SzS” = 骚姿势，有足够的基础知识，然后抱着学习的心态去实战，去尝试和突破，就会有新的姿势能诞生，而这种姿势往往是很“骚”的。