2023年终总结

2023年终总结

时光如梭,又是一年枯骨暮已低,不知不觉已经到了大四,临近毕业

总结

今年与星盟安全团队参加了许多的比赛,多的数不过不来了。令我印象最深的线下比赛是今年的强网拟态决赛,这场比赛打的非常煎熬,比赛持续三天,后两天一直在与HAC追逐第一,我们打到第一,过会HAC又追到第一,最后一个小时得知HAC是用实验室的资源在打,确定稳在第二名再加上没有什么思路了,就直接放弃追赶开始休息了,整场比赛打得很累但是很开心。令我印象最深的线上比赛是Real World CTF,当时主要在研究IOT,所以一直在解决ShellFind这题,思路一开始就走歪了,导致后面没有解出来,复现之后感觉也就那样(虽然比赛的时候没有解出来)没有想象中的那么难,在今年安全研究实习之后再回头看发现真的挺简单的

今年我成长最快、收获最多的阶段是在天工实验室实习,遇见了很多厉害的同事,同事们都非常热情,我与@cynault交流得非常多,在实习的时候这位朋友就住在我的隔壁,最高兴的事情是用上了MAC版ida。在实习过程中,挖到了一些洞,也复现了许多洞,学到了之前从来没有接触过的攻击面。身边的同事可能有些会挖windows的同时,还会挖IOT,挖洞不仅仅局限于单一的方向,同时认识到了自己的逆向分析能力还是需要不断提高。整个学习过程中想的最多的就是:还能这样挖洞?在转正答辩结束后几周就开始摆烂了,现在想过来有点后悔,浪费了很多学习的时间

临近结束时,跃哥对我说了一句很有意义的话:不复现几百个洞,一些漏洞都不知道是如何形成的,何谈去挖到高质量漏洞,可能看到一个洞都发现不出这是一个漏洞,这样难免有些可惜。在现在这个安全阶段,低级的洞越来越少了,需要不断的去学习来提高自己

未来研究方向

今年我做的最多的就是IOT相关的安全研究,我认为IOT是一个非常有意思的方向,我学到了很多IOT的攻击面,所以未来的研究方向主要也是IOT,同时,我还想对windows、一些软件安全研究学习,不断提升自己的实力去打TFC和Pwn2Own

展望

相比去年,今年稍微有点摆烂了,有很多学习的时间都没有认真去学习,想看的东西都想着后面再看,结果一拖再拖,错失了一些很好的挖洞机会。去年自己定了一些目标,大部分都完成了

  • 挖到了一些漏洞
  • 二进制安全研究实习
  • 学习Fuzz
  • 打比赛

还有两件事没有完成,在今年没有拿到win上的CVE,英语没有坚持学习,三天打鱼两天晒网

希望自己在2024年可以做出以下事情

  • 能够挖掘出windows上的漏洞
  • 在IOT方面有高质量漏洞产出
  • 回归健身
  • 完成100篇漏洞分析
  • 坚持打比赛
  • 坚持学习英语
  • 一杆清台

终岁将至,岁月如梭,希望看到这篇文章的你,可以在明年心想事成!