分享一波工作经历

博客一年没更新，主要是因为大三忙着找工作，最近会陆陆续续分享一些知识。

春招

大三开学那段时间把，3月5号左右开始投递的简历，主要投了三家，腾讯，字节和阿里，最后还是去了阿里的归零实验室，三月底面完加上hr面就三轮。整体难度不大，四月初拿到offer就去实习了。分享一波面经(仅部分能回忆上来的)

漏洞挖掘
-主要是讲我自己平时挖的几个逻辑洞，有个从任意文件删除到权限提升的漏洞
windows保护 linux保护
-这个不多说，网上很多
有没有写过什么插件
浏览器漏洞有没有了解过

大致就这些，主要是问我自己挖的漏洞，俩次面试都问到了这个，讲老半天，估计到时间了也没多问其他的问题233.

实习经历

阿里安全的归零实验室，团队氛围是特别不错的，主要工作都是针对黑灰产，让黑灰产“归零”，还要让烤全羊“归零”，还真就内个疯狂吃烤全羊，4月份开始实习，三个月吃了三四次烤全羊，吃的我现在都有点怕，印象最深的是8月份，一个星期吃俩次羊。吃懵了都，体重直飙86kg，所以说团队氛围特别好，经常聚餐，不是烧烤就是烤全羊烤鱼。

工作内容也挺杂，对我来说难度还是有的

前一个月负责免杀，一开始还没怎么接触过，现在慢慢开始有自己的思路了

后面半个多月从0到1负责v8，主要是负责写exp，复现v8 nday

后续就开始写windows内核的exp了，如cve-2021-31956

中间陆陆续续还有一些逆向的活，写爬虫等。

整体上跨度很大，但对我个人的提升还是很多的，实习的一段时间学到了很多思路。

当然甲方公司并不像想象中那样，以武艺论高低。

“公司不会看你有多厉害，只会看你做的事情对他们有没有价值”

尤其记得师兄和我说的别忘了初心，做技术的向来都在底层，对我影响还是挺大的，社会确实操蛋，残酷的现实会不断动摇你学安全的初心，当初入门就是因为热爱，想做研究做一些nb的事情。

但是在公司就不一样了，不管做什么一定要对“业务”有价值，可能大家都争着去做一些简单而又容易出成果的活吧，再用言语包装一下显得很厉害就能交差了。

这样专注于“low-hanging fruit”。

在甲方公司混的风生水起。

这对我冲击挺大的，像以前总是想做一些nb的事情，挖个漏洞，逆个大项目。工作后想的就是如何把果子摘下来，摘来下后就不管了，目标达成，结束，不会抽出很多时间去消化品味这枚果子。而是想怎么摘下来下一棵，下一棵果子他高吗？容不容易摘？是否需要换一颗树，要知道眼前是一望无际的果林。

时间长了，可能我都看不到树顶的果子了吧。甚至以前能爬的树都爬不上去了。

而且不知道为什么，感觉工作时间长了，自己的”语言包装能力“会有很大的提升。

一开始我并没有意识到这点。怀着满腔热血。实习那段日子我每天疯狂的学习，在那写exp，又是v8又是内核的，确实很难，对于我一个萌新来讲，但是我很喜欢因为这是我想要的，挑战高难度的事情才会有趣，才能获得更大的成就感。

一开始的初衷还是挖0day，后来才发现做的又累，业务又不好落地，和别人相比起来落差感太大了。当初的第一个感觉就是run，滚回去做逆向吧，相对于这个还是轻松（当时是这么想的），正好转正成功了，又赶上开学，在9月底我选择了离职。

//要知道研究和实战是有很大的区别的，一个漏洞的品相，稳定性，做研究只需要打掉就完事了，你可以用很多花里胡哨的打法，但是运用到实战需要考虑很多，比如版本，稳定性，进程退出后会不会蓝屏，还需要做修复等等。

有时候真的是想摆烂，做研究做的累死累活的业务还难落地，不如做做渗透，反正又不是挖什么tp框架的0day，拿着别人造的子弹冲就完事了。

”专注对公司有价值的事情“，你懂的。

不知不觉中，我当初入门这一行的初心已经被动摇了。

可现实就摆在眼前，就是这样残酷，要么选择离开，要么选择加入。

校内生活

回到学校做的第一个事情就是健身，去了学校附近的一个健身房，练了三个月，体重掉到了76kg，当然那是1月初，过了个年我都没咋练过现在应该反弹起飞了。

偶尔学点渗透玩，还有驱动开发。当时还面了腾讯的游戏安全岗位，俩面评级都是a+，sp的offer。

这也是动摇我初心的另一个原因，他妈的一年多没碰逆向了（20年11月起就在学windows权限的知识，挖逻辑洞。），啃老本搁那聊天就面了个a+，组长问了我几个问题后开始问我脑筋急转弯了，大家一起乐呵呵，二面总监面也是，一开始问了几个问题然后开始和我聊天了，有没有女朋友，你来深圳工作你女朋友怎么办，你有什么缺点，有什么优点，就唠嗑，唠就完事了。结果俩面评级都是a+。直接给我整麻了。

差不多在11月份的时候，师兄离职了（离职原因很复杂就不透露了），还就内个晴天霹雳，这还去个锤子，去了就我一人是二进制我搞毛。

不如去游戏安全这块，反正俩边都是甲方做业务的，游戏这块反而落地容易，逆向&开发。

//本来是这么打算的

纠结了很长时间，考虑到地域环境(本人十分害怕蟑螂，深圳真的有点害怕的。哪怕开的不低。而且同样的价格，南山区4000块钱租的房子和监狱里的牢房一样。这么压抑的环境谁顶得住？)消费水平和房价深圳和杭州绝壁不是一个级别的，而且我还没去实习过万一有坑岂不是很惨？况且阿里的主管人很好，很有凝聚力，团队氛围很不错。虽然一个人苦了点，但是天花板相对来说高了。跳槽方便，假如去了游戏安全，特别对于我这种pc端的，跳槽选择面就窄了。

（游戏安全的天花板相对这边来说低，但这个低与否取决于你是否摆烂。游戏安全也在不断更新迭代，去年年中，fps类游戏的外挂基于深度学习写的，直接爆头，怎么检测？）

最终还是选择了留在阿里，其实说到这个我还挺对不起腾讯的组长的，这期间有什么问题我都在问他，包括学习路线什么的。。。后面我都没脸找他了。不好意思了都，拒绝掉他后又有俩个游戏部门来找我，也都拒了。

至于日后的工作只能说走一步是一步吧，趁着毕业前这段时间赶紧补补，把想学的想做的都抓紧办了，以后可能就没多少时间了。

个人的兴趣爱好还是放在工作之余吧。

鸡汤

当时转正面时几个大佬说的话。

君故师兄：别忘了学安全的初心。
入侵：多研究，搞懂每个结构体成员的意思，多去做做分享。
周拓：前两年精力花在研究上，钻的深一点，等到后续再考虑业务其实问题不大的。

当时确实没听懂，我也不确定我现在搞懂了没有。只能说大佬还是大佬，看的远一些。可能君故师兄知道甲方公司对研究的不友好吧，才提醒勿忘初心，学安全的初心是什么，对待安全这是工作还是爱好。

做自己喜欢的事情。

写下这篇博客，希望能一直保持下去。

工作是为了生活，研究是为了爱好。