大家好,我是 myh0st,是信安之路的运营者,今年是我成为一名自由职业者的第二年,去年 3 月份离职,今年完整体验了一年自由职业。
0x01 做自由职业者这一年的感悟
先来总结下作为自由职业工作者的一些感悟和心得:
1、自由是真自由,所有要做的事儿都由自己决定,最终的结果均由自己负责,所以要想成为一名能够生存下去的自由职业者,必须要有较强的自我管理能力
2、收入是真不稳定,自由职业者通常会比较焦虑,因为收入的每一分钱都来之不易,而且明天是否能赚到钱也是个未知数,一年到头能获得多少收益,完全取决于你自己创造的价值所转换的金钱
3、成长是真的快,作为自由职业者,每天都在思考明天要做什么,做这个有没有价值,这个价值能够转化成收入,投入产出是否平衡等等,由于不断的思考和实践,让你在不断迭代自己的知识和技能
4、生活是真幸福,由于在家办公,每天都能跟家人在一起,更有生活气息,想当年在北京打工之时,除了上班就在自己的 9 平米的出租屋,感觉与大北京格格不入,吃饭点外卖,感觉自己就是一个工作的机器
如果你也想成为一个自由职业者,一定要想清楚再做决定,我还是建议大家去工作,相比做一个自由职业者,工作相对更轻松、收入更稳定,也许在我收入无法支撑生活的时候,还是会选择出去打工,再次成为一名打工人。之前写的一个简单总结:
0x02 总结一下今年都做了什么?
今年是疫情的第三年,多次经历封城、静默管理,临近年底,疫情彻底放开,身边的朋友,朋友圈的好友纷纷感染病毒,有高烧不退的、有低烧到正常温度以下的、有咳嗽一个多月的、也有半天就好的,所有人都在与病毒做对抗,由于我们家实行深居简出的策略,目前为止我还未感染,也许发完这篇文章我就发烧了,但是,管他呢?爱咋咋地吧
1、知识星球内部课程之数据库利用实战
针对知识星球内部成员开设了一个关于针对常见数据库的测试与利用以及实战的课程,主要针对 mysql、mssql、redis 以及 postgresql,由于文档整理的比较详细,讲了两节课之后,发现大家跟着文章做就好,没有太大必要讲课,浪费大家的时间,所以就中途夭折了,一共讲了两天,这是一个失败的课程:
2、知识星球内部课程之内网渗透实战
这也是一个比较小的内部课程,以自己搭建的内网环境作为目标,从打点到内网渗透,将整个流程分为五节课,进行讲解,学完之后,对于红队的整个攻击流程会有一个大体的认识。
为此,我还整理了三个测试流程,在不同的阶段分别使用不同的技术来实现,比如打点时利用 web 漏洞、数据库弱口令等作为入口点,然后对于权限维持和目标控制分别使用 CS、MSF 等工具完成内网的完整渗透,域渗透时分别使用漏洞、弱口令、信息泄漏等问题获取域控管理权限。
3、知识星球内部课程之脚本小子养成计划
今年十一月份,针对知识星球内部成员开设了一门渗透测试实战的培训课程,经历了一个月,实际上课十五天,中间留了一些时间让大家去消化吸收所学知识,然后用于实战,整个课程结束后,只有一位同学完成了所有作业,并为大家做了分享:
上课的过程中主要讲的技术的流程和原理,实际操作部分,主要依靠工具和脚本,以开源工具为主力,以自定义脚本为粘合剂,统一各个阶段不同工具输出的结果,将所有工具串联起来形成一个整体,真正实现自动化漏洞发现。下面时当时招生时写的文章:
4、信安之路成长平台数据
1、学员提交的原创学习报告 547 篇,目前合计 2572 篇
2、三百分成就获得者新增 5 人,目前共计 12 人获得此成就
3、百分成就获得者新增 24 人,目前合计 65 人获得此成就
4、成长平台上线 SRC 辅助系统,帮助大家查询企业 SRC 的目标范围
5、信安之路内部文库更新
文库上线一年,共 20 个文集、1602 个文档,主要更新星友专属和信安之路文集,均为知识星球成员专属学习资料,相关目录参考下图:
星友专属
该文集整理了之前所有课程的参考文档,还有知识星球内部沉淀的大量资料的核心内容提取
下滑查看完整目录
信安之路
该文集是今年设计开发的包含渗透测试、红队技术、蓝队防御三个大板块,然后基于 ATT&CK、OWASP Top 10 web 漏洞以及多年渗透测试经验的知识体系
下滑查看完整目录
6、个人参加了一次国家级项目
这个懂的人都懂,就不多说了,即是一种体验,也是对自己经济方面的补偿,让自己不至于饿死。
0x03 发布过的技术文章
1、学员经验篇
2、热点事件篇
3、安全技术篇
Cobalt Strike 初体验 | 人人都可上手的红队工具
如有侵权请联系:admin#unsafe.sh