分享一波工作经历

博客一年没更新,主要是因为大三忙着找工作,最近会陆陆续续分享一些知识。

春招

大三开学那段时间把,3月5号左右开始投递的简历,主要投了三家,腾讯,字节和阿里,最后还是去了阿里的归零实验室,三月底面完加上hr面就三轮。整体难度不大,四月初拿到offer就去实习了。分享一波面经(仅部分能回忆上来的)

1
2
3
4
5
6
漏洞挖掘
-主要是讲我自己平时挖的几个逻辑洞,有个从任意文件删除到权限提升的漏洞
windows保护 linux保护
-这个不多说,网上很多
有没有写过什么插件
浏览器漏洞有没有了解过

大致就这些,主要是问我自己挖的漏洞,俩次面试都问到了这个,讲老半天,估计到时间了也没多问其他的问题233.

实习经历

阿里安全的归零实验室,团队氛围是特别不错的,主要工作都是针对黑灰产,让黑灰产“归零”,还要让烤全羊“归零”,还真就内个疯狂吃烤全羊,4月份开始实习,三个月吃了三四次烤全羊,吃的我现在都有点怕,印象最深的是8月份,一个星期吃俩次羊。吃懵了都,体重直飙86kg,所以说团队氛围特别好,经常聚餐,不是烧烤就是烤全羊烤鱼。

工作内容也挺杂,对我来说难度还是有的

前一个月负责免杀,一开始还没怎么接触过,现在慢慢开始有自己的思路了

后面半个多月从0到1负责v8,主要是负责写exp,复现v8 nday

后续就开始写windows内核的exp了,如cve-2021-31956

中间陆陆续续还有一些逆向的活,写爬虫等。

整体上跨度很大,但对我个人的提升还是很多的,实习的一段时间学到了很多思路。

当然甲方公司并不像想象中那样,以武艺论高低。

“公司不会看你有多厉害,只会看你做的事情对他们有没有价值”

尤其记得师兄和我说的别忘了初心,做技术的向来都在底层,对我影响还是挺大的,社会确实操蛋,残酷的现实会不断动摇你学安全的初心,当初入门就是因为热爱,想做研究做一些nb的事情。

但是在公司就不一样了,不管做什么一定要对“业务”有价值,可能大家都争着去做一些简单而又容易出成果的活吧,再用言语包装一下显得很厉害就能交差了。

这样专注于“low-hanging fruit”。

在甲方公司混的风生水起。

这对我冲击挺大的,像以前总是想做一些nb的事情,挖个漏洞,逆个大项目。工作后想的就是如何把果子摘下来,摘来下后就不管了,目标达成,结束,不会抽出很多时间去消化品味这枚果子。而是想怎么摘下来下一棵,下一棵果子他高吗?容不容易摘?是否需要换一颗树,要知道眼前是一望无际的果林。

时间长了,可能我都看不到树顶的果子了吧。甚至以前能爬的树都爬不上去了。

而且不知道为什么,感觉工作时间长了,自己的”语言包装能力“会有很大的提升。

一开始我并没有意识到这点。怀着满腔热血。实习那段日子我每天疯狂的学习,在那写exp,又是v8又是内核的,确实很难,对于我一个萌新来讲,但是我很喜欢因为这是我想要的,挑战高难度的事情才会有趣,才能获得更大的成就感。

一开始的初衷还是挖0day,后来才发现做的又累,业务又不好落地,和别人相比起来落差感太大了。当初的第一个感觉就是run,滚回去做逆向吧,相对于这个还是轻松(当时是这么想的),正好转正成功了,又赶上开学,在9月底我选择了离职。

//要知道研究和实战是有很大的区别的,一个漏洞的品相,稳定性,做研究只需要打掉就完事了,你可以用很多花里胡哨的打法,但是运用到实战需要考虑很多,比如版本,稳定性,进程退出后会不会蓝屏,还需要做修复等等。

有时候真的是想摆烂,做研究做的累死累活的业务还难落地,不如做做渗透,反正又不是挖什么tp框架的0day,拿着别人造的子弹冲就完事了。

”专注对公司有价值的事情“,你懂的。

不知不觉中,我当初入门这一行的初心已经被动摇了。

可现实就摆在眼前,就是这样残酷,要么选择离开,要么选择加入。

校内生活

回到学校做的第一个事情就是健身,去了学校附近的一个健身房,练了三个月,体重掉到了76kg,当然那是1月初,过了个年我都没咋练过现在应该反弹起飞了。

偶尔学点渗透玩,还有驱动开发。当时还面了腾讯的游戏安全岗位,俩面评级都是a+,sp的offer。

这也是动摇我初心的另一个原因,他妈的一年多没碰逆向了(20年11月起就在学windows权限的知识,挖逻辑洞。),啃老本搁那聊天就面了个a+,组长问了我几个问题后开始问我脑筋急转弯了,大家一起乐呵呵,二面总监面也是,一开始问了几个问题然后开始和我聊天了,有没有女朋友,你来深圳工作你女朋友怎么办,你有什么缺点,有什么优点,就唠嗑,唠就完事了。结果俩面评级都是a+。直接给我整麻了。

差不多在11月份的时候,师兄离职了(离职原因很复杂就不透露了),还就内个晴天霹雳,这还去个锤子,去了就我一人是二进制我搞毛。

不如去游戏安全这块,反正俩边都是甲方做业务的,游戏这块反而落地容易,逆向&开发。

//本来是这么打算的

纠结了很长时间,考虑到地域环境(本人十分害怕蟑螂,深圳真的有点害怕的。哪怕开的不低。而且同样的价格,南山区4000块钱租的房子和监狱里的牢房一样。这么压抑的环境谁顶得住?)消费水平和房价深圳和杭州绝壁不是一个级别的,而且我还没去实习过万一有坑岂不是很惨?况且阿里的主管人很好,很有凝聚力,团队氛围很不错。虽然一个人苦了点,但是天花板相对来说高了。跳槽方便,假如去了游戏安全,特别对于我这种pc端的,跳槽选择面就窄了。

(游戏安全的天花板相对这边来说低,但这个低与否取决于你是否摆烂。游戏安全也在不断更新迭代,去年年中,fps类游戏的外挂基于深度学习写的,直接爆头,怎么检测?)

最终还是选择了留在阿里,其实说到这个我还挺对不起腾讯的组长的,这期间有什么问题我都在问他,包括学习路线什么的。。。后面我都没脸找他了。不好意思了都,拒绝掉他后又有俩个游戏部门来找我,也都拒了。

至于日后的工作只能说走一步是一步吧,趁着毕业前这段时间赶紧补补,把想学的想做的都抓紧办了,以后可能就没多少时间了。

个人的兴趣爱好还是放在工作之余吧。

鸡汤

当时转正面时几个大佬说的话。

1
2
3
君故师兄:别忘了学安全的初心。
入侵:多研究,搞懂每个结构体成员的意思,多去做做分享。
周拓:前两年精力花在研究上,钻的深一点,等到后续再考虑业务其实问题不大的。

当时确实没听懂,我也不确定我现在搞懂了没有。只能说大佬还是大佬,看的远一些。可能君故师兄知道甲方公司对研究的不友好吧,才提醒勿忘初心,学安全的初心是什么,对待安全这是工作还是爱好。

做自己喜欢的事情。

写下这篇博客,希望能一直保持下去。

工作是为了生活,研究是为了爱好。

文章目录
  1. 1. 春招
  2. 2. 实习经历
  3. 3. 校内生活
  4. 4. 鸡汤
|