2023 年终

很难的一年，心态很差的一年，酗酒成瘾，但总得来说，每年都希望自己能向上走一个台阶，今年，也勉强做到了吧。

工作上

• 2023-02-14
  • 从长亭离职，安道场也没学完，玩了一段时间，裸辞来到了武汉陪女朋友(纯爱)
• 2023-2 至 2023-4
  • 最难崩的一个时间点，面了360、天融信、腾讯、甚至是qax优服…，要么不在武汉，要么没有hc了，心态很爆炸
  • 有时候安慰自己是城市的问题，武汉就是难就业，大多数情况，还是自我怀疑。
• 2023-2 至 2023-5
  • 找不到工作就不找了，沉下心来学习吧(摆烂)
  • 看完了《内网渗透体系建设》、《域渗透攻防指南》，算是补充了内网渗透这块
  • 4月份，TSRC挖到了月榜第八，但没有严重，心态上总体好很多
• 2023-5 至 2023-6
  • 感觉行业终于回暖了，接了很多项目
  • 5月回到了深圳，整个月都在帮着老东家在供电局干活，这段时间还是蛮高兴的，至少有活干了……
  • 6月接了深圳、福建各种项目
  • 面试了qax(感谢Rj45哥哥的内推)，面了默安，最后还是选择在默安当PM。
• 2023-6 至 2023-12
  • 这段日子还是非常开心的，经济上也总归恢复了正常
  • 负责管理一个小安服部门，有种小领导的感觉
  • 有了很多机会跟项目经验，一个人对接三大监管，很有成就感

成长上

攻防类

一年打了6场，每场感觉都还行，但是自身在免杀、代码上感觉都属于半吊子，更谈不上什么高阶红队了，这也是明年目标之一吧，flag1：go免杀

国护

国护整体来说场子镇住了，也反制了几名红队，很好玩，复盘了一下，设备侧的部署等各种方案，一点也不会，整体上的实施都是临时制定的，遇到情况复杂一点的客户可能就歇逼了，这就有了flag2：希望能写一套属于自己的最佳实践

漏洞挖掘

主力还是TSRC，后期挖得多一点，很菜，有时候看到各种大佬乱RCE的时候都会怀疑自己，自我总结：

• 信息收集不全
• 代码能力不够
• 自动化能力不足

希望在2024年，能摆脱一个脚本小子的身份，正儿八经的去审一些代码，去挖掘一些有价值的CVE，值得庆幸的是，今年觉得自己有几个思路还是可以的，这就诞生了flag3：开发自动化

SDL

其实对安全左移这块还蛮感兴趣的，谁不想通过IAST or SAST一键审洞，年末学习了一下公司的SAST与IAST，包括主被动插桩的使用等，不太懂java，也不想学java(主要是学不会)，所以就只能死磕go了，而iast对go语言非常不友好，这么看来，也只能研究sast了，尝试过codeql与snyk，感觉通过sast出货还是非常有可能的，所以，这里也立了flag4：golang的代码审计

沟通

这其实就有过一件非常尴尬的事情，还是公司CTO直接指派去做的一件事，不懂云，更不懂英文，然后要去做一个外企的云应急，在会议上跟客户沟通感觉非常尴尬，而自己的岗位终究还是项目经理，避免不了沟通这块。 今年其实也有过跟很多客户去沟通，总体上沟通对于自己来说不是很大的问题，出于性格，在遇到不会的事情、不会的方向，在这种前提下，就会非常紧张跟怯场，总结，有提升但是不多，这点就只能多跟各种前辈学习了。 其它时候的沟通，包括在群上，跟朋友、同学、兄弟、团队的师傅，有时候很害怕自己在群上说错话或者怎样之类的，但希望自己能够保持住真实，也希望分享的思路、知识能够帮助到别人吧。 flag5：跟老PM、销售、团队的师傅学习如何沟通

flag

flag就不立多了，看了很多鸡汤，要学会做减法，感觉每年有一点小进步就好，那么明年的整体flag，希望能实现

• go免杀
• 希望能写一套属于自己的蓝队最佳实践
• 开发自动化漏洞挖掘
• golang的代码审计
• 跟老PM、销售、团队的师傅学习如何沟通

2024年的愿望

flag是靠努力去实现的，而愿望，是需要努力+玄学+运气，2024年吧，希望：

• 存得住钱
• 能够涨薪！
• 家里的事情能够少操心
• 出门遇到几个月大的小奶猫然后跟着回家