花无涯教你黑客，零基础进阶学黑客 第三章

花无涯教你黑客，零基础进阶学黑客 第三章

恰逢当时某国内小有名气的安全组织在招人，我便写了封应聘的过去，和那boss聊了一下，他问我有没有什么作品可以拿给他看看，我便把我两次渗透的经历过程记录拿给他看，他看了之后给我回了句：“你这连门都还没入。”虽然现在看来他说的对，但当时对我而言是个相当大的打击，

他问：“你真的想加入我们？”

我：“嗯，我想提高自己。”

他：“那你去把这篇文章翻译给我看看。”

因为我在简历上写了自己英语还不错，他便让我去翻译一篇有几千字的国外技术文，我大概花了三天左右翻译完了，虽然英语还不错，但说实话，很多专业术语不知道，导致读起来狗屁不通，他看了说：“你这是百度的？。”

我：“不是啊，我自己翻译的。”

他：“哦，可能是你现在很多专业术语不知道的原因。”

就这样，我进去了，以一个翻译的身份进去的，说实话，很感谢他，若不是他接纳了我，我还要走无数的弯路，也很难融入到安全圈，说不定这一辈子就只是个爱好了。

和大牛在一起，自然耳濡目染，加上经常会做些分享会，真让我看到了更大的世界。我开始接触CTF，并参加一些比赛，从只能完成送分题到带领学校队伍获奖；开始更加深入的理解漏洞原理，并能绕过一些普通的防御手段；开始自己写脚本和工具，来辅助自己渗透中的一些需要。此时的我，才知道自己终于入门了。但看着群里的大神们，依旧是仰之弥高，这差距，不是一年半载能够追得上的，唯有不断的努力学习、学习、学习。

你是否曾幻想，畅游网络之间，指尖在键盘之上游走，思维在代码之中穿梭，弹指间，尽显英雄本色？你是否曾幻想，藏身于黑暗之中，凌驾于众人之上，在网络世界来去无踪，惩恶扬善？你是否曾幻想，以鼠标为长剑，以技术为功法，以代码为招式，谈笑间，网络世界早已风起云涌？你不是在做梦，这是一场网络黑白之间的指尖盛宴，不要放弃幻想，因为，这一切，你都可以做到！

第三阶段

2014年对于中国的网络安全来说是一个好年头，斯诺登功不可没。国家信息安全政策颁布，国内各种CTF如雨后春笋破壳而出，各大互联网与安全公司纷纷扩充自己的安全技术团队，而我正好赶上了这个好时候。只参加了一次笔试和面试，但却有四家公司对我抛出了橄榄枝，而我自然是选择了其中的一家，开始作为一名网络安全实习生，正式进入了这个行业。

点开知乎发现有人感谢，那我就继续写一写后面工作后的一些感受，看书是非常重要的，记得一本让我记忆深刻的书就是 网络黑白 ，那时候各大组织都有首页推荐，挺火的 非常经典的一本书 小白入门都建议看看，不管你是学生党还是想了解的人都必须得看！

请点击此处输入图片描述

起初进了公司，我抱着很大的期待，希望能在公司里快速学到更多的姿势，疾速成长。但进入公司后我发现，繁琐的文档占据了工作内容的很大一部分，我很不喜欢每次渗透完都写一大堆的文档，感觉这样会消耗我的激情。更是发现到公司后其实并没有人教你什么东西，更多的还是要靠自学，当然，环境不一样也是有好处的，你有了机会去见识一些企业的内网架构，有机会了解国内的安全产品的防御机理和分布，更重要的是，有一群小伙伴和你做着同样的事，在这个时间段，我们除了完成项目上的一些东西，彼此也勾结着四处找目标锻炼技术，也是在这个时间段，我撸下了自己生涯中的第一个大型企业级网站 — 某运营商视频监控系统。

虽然现在看来那只不过是家常便饭，挺easy，但那时真的极大的鼓舞了我信心。因为是实习生，当时在公司里事情也不多，我便开始疯狂的渗透国内各个大中大型企业。而事实是，哪有那么容易，乌云的诞生，白帽子们纷纷各种挖掘漏洞，让国内的网络安全技术水平上升了好几个层面，像dz，dede，phpcms已经被挖的相当成熟了，被曝出的漏洞也越来越少，对于我这种技术还很弱的人来说，即便是白盒都不太可能能挖到漏洞，更别说黑盒了。在一次次的碰壁吃灰之后，我终于开始反思自己，看着乌云上各种层出不穷的花式渗透，很多都能看懂，但自己却总是想不到，为什么？天赋不够？但以我现在的水平，离考虑天赋还很远，一句话概括，努力不够，经验不够。

我的攻击模式，依旧是简单的 漏洞扫描-工具利用-简单绕过-爆破这种单维度的方式上，虽然这种方式也能挖到一些企业的漏洞，但这种模式，早已被大型互联网公司和安全公司堵得死死的了，学习这么久了，结果我依然没能跳出script boy的级别。我开始很痛苦的思索自己怎样才能继续进步，但却一直找不到方向，我依旧每天挖着漏洞，试图寻找一些新的突破口，有一些别的方法，但丝毫没有改变，似乎一切又回到了当初刚入门时的样子，很难受，无法忍受自己达到这个程度就结束了，但却又无法改变眼前的状态，达到了一个算是小小的瓶颈期。

被公司派到西藏出差，蓝天白云，很干净很纯粹，就是物价有点小贵。生活节奏相当缓慢，每天工作六七个小时。我也多出来些时间想些其它的东西，去布达拉宫、大昭寺、八角街、玛吉阿米转了转，看那些朝圣者一步一磕头，真的挺震撼，有的时候，看似愚昧简单的信仰，却能给人最深的感动。

在西藏呆了一段日子，我的脑袋也空旷了很多，虽然一直没能有所突破，但也没有之前那么着急了，每天刷刷乌云，FB，91RI，中国黑客协会、中国红客联盟逛逛各大安全论坛，看看案例，也时不时的学点其它东西，写写脚本，玩玩逆向，时间也就不紧不慢的过着，见识了几个新的花样，比如SSRF，Json劫持，水坑鱼叉等，也看看《白帽子讲web安全》、《黑客攻防技术宝典:Web实战篇》、《网络黑白》等安全书。

黑客的基本技能黑客态度重要，但技术更加重要。 态度无法替代技术，在你被别的黑客称为黑客之前，有一些基本的技术你必须掌握。

黑客文化中的地位大部分不涉及金钱的文化一样，黑客王国靠声誉运转。 你设法解决有趣的问题，但它们到底多有趣，你的解法有多好， 是要由那些和你具有同样技术水平的人或比你更厉害的人去评判的。

相应地，当你在玩黑客游戏时，你得认识到你的分数主要靠其他黑客对你的技术的评价给出 （这就是为什么只有在其它黑客称你为黑客时，你才算得上是一名黑客）。 这个事实常会被黑客是一项孤独的工作这一印象所减弱；也会被另一个黑客文化的禁忌所减弱 （现在逐渐减弱但仍强大）：拒绝承认自我或外部评估与一个人的动力有关系。