业余电竞选手的一年

一份不算客气的回忆录, 很长很长

现在是2017/12/31, 数个小时之后, 公元2017年将变成地球上所有人的一段回忆

人的记忆是很奇怪的东西, 就像我现在怎么想也想不出去年的12月31日在干嘛, 却还是能清晰的记得很多很多年前的一些无关紧要的琐碎片段; 就像我之前想过很多要怎么写这个算是年终总结的文章, 但是零零碎碎思考过的怎么写现在又突然想不起来了. 我似乎一直有这样的毛病, 总是在空闲的时候想一些东西, 偶尔想到一些很有趣的点子的时候可能会用心记下, 但是大部分时候思绪似乎都随风飘走, 之后想捡也捡不回来了

那么这篇总结就从题目开始吧, 去年的12月, 我大概正在做着一个叫IDF的CTF平台上的题目, 为自己学会了猪圈密码而感到很开心, 充满信心的想开启自己的CTF起飞之旅, 然而那个时候我仅仅知道SQL注入是用or 1=1, XSS是用<script>alert(1)</script>, 其他的方面勉强知道一个CSRF. 毫无信息接受渠道的我浑浑噩噩的度过了一月份, 唯一的成就是终于搭起来了这个博客

到了二月初, 我被一个SQL注入挑战彻底打懵了, 就是我这个博客的第一篇文章, 说句实话, 一共十关, 我几乎每一关都是看了WP才知道怎么去做, union select 是什么东西? 为什么参数加个数组会报错? 为什么用 urllib2 不进行url编码会报错? 是的, 那个时候我连 requests 库都不知道, 盲注的脚本用的是 urllib2, 第十关, 现在来看就是一个序列化字符串, 而我当时连序列化是什么都不知道, 看了WP以后也很抵触去学, 不愿意承认自己原来什么都不会, 强烈建议阅读那篇文章, 会感受到一个萌新在努力的不懂装懂

被锤了之后要想办法啊, 知乎上搜索了一波, 找到了精灵的CTF交流群, 当时的入群题目是一道很简单的逆向, 拖进IDA F5以下就可以看到一个相当简单的逻辑, 然而我忘记我想了多久了, 入群之后, 最大的作用估计就是知道了大佬的存在, 翻到了ph师傅的博客, 从他博客的开始一篇一篇文章的看, 但是确实大部分都看不懂, 同时期知道了i春秋, 开始做上面的百度杯, 还是一道题都做不出, 看WP的时候看到了好像是c26表哥的做题视频, 终于知道了burp怎么用, hackbar怎么用, 怎么样去做出一道题, 这时还知道了我们学校的CTF战队Lilac, 开始关注他们的成绩

之后就到了 ZCTF 和 NJCTF , 印象最深的是 NJCTF , 我望着那道最简单的Web题目 login 毫无头绪, 一个极其简单的注册登录, 注册长用户名被 mysql 截断从而登录 admin , 然而我是之后看了WP才知道, 原来还可以这样的, 印象深刻的还有, 看着 Lilac 里一个 XCTF 账号是 samo(zblee) 的人做了好多Web题目, 觉得怎么可以这么厉害

然后是0CTF, 最后只做出了一道sqli, 还是莫名其妙做出来的, 看着 Lilac 差一题 AK Web, 于是在0CTF结束后不久, 我主动去联系了他们, 他们接受了我, 我也终于认识了想认识很久的 Web 大佬, 同时也是 3 4 月, 我开始疯狂的找大佬的博客, 从他们的第一篇文章开始看起, 看他们的学习路径, 看他们学习方法, 看他们分享的奇技淫巧, 知道了 melody, lr, veneno 等师傅们

然后就到了BCTF, 和 zblee 一起打, 虽然实际上还是跟着他的步伐在走, 但是终于开始有点做CTF题目的样子了, 遗憾的是这次火日出的两道题都没能做出来, BCTF之后, 终于感觉自己已经摸到了门框, 开始继续寻找各种大佬的博客, 同样的从头开始一篇一篇文章的看, 开始从各种自己能接触到的渠道获取知识, ph的sec-news, 小密圈, t00ls, 九零, 先知, freebuf, 安全客, twitter… 能放进RSS的就订阅一个RSS, 没有RSS的就收个书签隔一段时间看一下, 对能接触到的知识来者不拒

于是渐渐的能够辨别文章资讯的好坏, 能够对自己已有的知识查缺补漏, 搭建了自己的资讯收集站点websec, 拿到了CVE, 这期间还通过各种各样的比赛获得了不少的知识, 和摩洛哥的大佬们一起打了一段时间的CTF time, 然后就到了XCTF新加坡站HITB CTF, 这场比赛只有三道Web, 直到比赛结束前10分钟, 靠着密码学公主的暴力输出把我们抬到了第二的位置, 而第一的NU1L已经获得了XCTF决赛的门票, 然而没想到的是, 最后10分钟ROIS拿到了一个PWN的一血从而导致我们失去了这张决赛门票, 前段时间和ROIS交流的时候他们回想起这道题是一个非常非常奇特的非预期

这之后的学习曲线开始趋于平缓, 没有456月时的高速增长让我怀疑是否进入了第一个瓶颈, 同时过于安逸的日子也使人缺少了努力学习的那股冲劲, 浑浑噩噩的度过了几个月, 到了11月, 在一航的联系下我们和中科大联合组成TCW准备打ctf time和国内的一些ctf, 之后的lctf和seccon都取得了还不错的成绩, lctf又是最后半小时还是一小时被AAA反超, seccon最后差一道题能进线下的决赛, 经过这两场比赛让我认识到了科大那些国内顶尖的计算机系学生, CTF甚至是安全对于他们来说只是一个副得不能再副的副业, 给人的感觉就是用空闲时间随便玩一玩就能达到甚至超越绝大部分把安全当主要目标的人, 包括我

于是2017年就这样过去了, 其实还有好多关于生活, 日常甚至是建筑学学习的东西想说, 但是毕竟题目是电竞, 所以那些不是电竞的就让他们随风飘走吧, 我写这些东西只是为了捡回那些散落的思绪而已, 如果有人看的话汲取自己想要的东西就可以

对了, 每次元旦的时候空间里都会出现那些新年签新年运势的活动, 去年我抽到的什么早就忘记了, 但是今年的我想记下来

回想自己一路过来, 错过了太多不应该错过的人和事, 失去了太多本来应该是自己的东西, 希望2018不要再错过

那么最后, 新年快乐!