业余电竞选手的一年

一份不算客气的回忆录

现在是2017/12/31, 数个小时之后, 公元2017年将不复存在, AlphaGo, Wanacry, 比特币等也终将随着2017成为人们的一段记忆

人的记忆是很奇怪的东西, 就像我现在怎么想也想不出自己在去年的12月31日做了什么事情, 却还是能清晰的记得很多很多年前经历的一些无关紧要的琐碎片段; 就像我之前想过很多要怎么写这个算是年终总结的文章, 但是零零碎碎思考过的思绪现在又突然想不起来了. 我似乎一直有这样的毛病, 总是在空闲的时候胡乱思考一些东西, 偶尔能碰到一些有趣的点子可能会用心记下, 但是大部分时候思绪似乎都随风飘走, 之后想捡也捡不回来了, 其实也不能完全说这是一个缺点, 毕竟时时刻刻都让脑子转一下也勉强算是一个好处

那么这篇总结就从题目开始吧, 从电竞开始, 其实严格的算, 我正式开始参与CTF这项电竞的时间还不到一年, 然而从开始了解CTF至今大抵也满了一年了吧, 去年的12月, 我大概正在做着一个叫IDF实验室的CTF平台上的题目, 为自己学会了猪圈密码而感到很开心, 充满信心的想开启自己的CTF之旅从而走向人生巅峰, 然而与远大志向完全不符的是那个时候的我仅仅知道SQL注入是用or 1=1, XSS是用<script>alert(1)</script>, 其他的方面勉强知道一个SSRF, 在任何方面都算是一个瞎子的我没有任何的信息接受渠道, 浑浑噩噩的度过了一月份, 唯一的成就大概是终于买了域名买了vps, 用lnmp一键安装包搭起来了这个wordpress的博客, 现在回想起来, 这一步可能确实是之后一切的开端

到了二月初, 一个SQL注入挑战彻底颠覆了我的想法, 一共十关, 我几乎每一关都是看了WP才知道怎么去做, union select 是什么东西? 为什么请求参数加个数组会报错? 为什么用 urllib2 不进行url编码会报错? 那个时候我连 requests 库都不知道, 盲注的脚本用的是 urllib2, 第十关一个简单的序列化字符串, 对当时的我确实是莫名其妙, 我已经忘记那十关我到底看了多久, 却仍然记得当时发现自己原来什么都不懂的时候脊背发凉的感觉

勉强看着别人的wp完成了注入挑战, 也终于开始冷静想办法, 知乎上搜索了一波, 找到了精灵的CTF交流群, 当时的入群题目是一道很简单的逆向, 拖进IDA F5一下就能看出的一个相当简单的逻辑, 然而我忘记我想了多久了, 入群之后, 最大的作用就是知道了大佬的存在, 翻到了ph师傅的博客, 从他博客的开始一篇一篇文章的看, 一点一点的去弄懂Web安全的细枝末节, 同时期知道了i春秋, 开始做上面的百度杯, 却仍然还是一道题都做不出, 看WP的时候看到了c26在i春秋上录制的做题视频, 那个视频是我第一次了解到CTF中, 完成一道题的思路是什么样的, 使用的工具是什么样的, 终于知道了burp怎么用, hackbar怎么用, 怎么样才能去做出一道题, 这时还知道了我们学校的CTF战队Lilac, 开始默默关注他们的成绩

之后就开始一点一点的捡起应该学会的知识, 然后就到了 ZCTF 和 NJCTF ,发现自己仍然是处于拿到一道题无法下手的阶段, 印象最深的是 NJCTF , 我望着那道最简单的Web题目 login 毫无头绪, 一个极其简单的注册登录, 注册长用户名被 mysql 截断从而登录 admin , 然而我是之后看了WP才知道, 原来还可以这样的, 印象深刻的还有 Lilac 里一个 XCTF 账号是 samo(zblee) 的人做了好多Web题目, 觉得怎么可以这么厉害

接着是0CTF, 这次比赛最大的成就是, 终于在比赛结束前正式做出了一道题目, simpel sqli, 虽然是通过搜索得到的fuzz方法莫名其妙做出来的, 但是看到flag的时候还是开心不已, 同时默默看着 Lilac 差一题 AK Web, 于是在0CTF结束后不久, 我主动去联系了他们, 他们接受了我, 我也终于认识了想认识很久的 Web 大佬, 同时也是 3, 4 月, 我开始疯狂的找大佬的博客, 从他们的第一篇文章开始看起, 看他们的学习路径, 看他们学习方法, 看他们分享的奇技淫巧, 从而渐渐生成了自己的知识体系, 渐渐摸索到了学习方法, 同时也知道了有许许多多的同龄人甚至比我年龄小的人已经在这条路上超出了我太远

然后就到了BCTF, 算是第一次全心全意投入的比赛, 和 zblee 一起打, 虽然实际上还是跟着他的步伐在走, 但是终于开始有点做CTF题目的样子了, 遗憾的是这次火日出的两道题都没能做出来, BCTF之后, 终于感觉自己已经摸到了门框, 开始继续寻找各种大佬的博客, 同样的从头开始一篇一篇文章的看, 开始从各种自己能接触到的渠道获取知识, ph的sec-news, 小密圈, t00ls, 九零, 先知, freebuf, 安全客, twitter… 能放进RSS的就订阅一个RSS, 没有RSS的就收个书签隔一段时间看一下, 对能接触到的知识来者不拒

于是渐渐的能够辨别文章资讯的好坏, 能够对自己已有的知识查缺补漏, 搭建了自己的资讯收集站点websec, 拿到了CVE, 这期间还通过各种各样的比赛获得了不少的知识, 和摩洛哥的大佬们一起打了一段时间的CTF time, 然后就到了XCTF新加坡站HITB CTF, 这场比赛只有三道Web, 直到比赛结束前10分钟, 靠着密码学公主的暴力输出把我们抬到了第二的位置, 而第一的NU1L已经获得了XCTF决赛的门票, 在我们以为XCTF决赛入场券已经到手的时候,ROIS在最后10分钟拿到了一个PWN题目的一血从而导致我们失去了这张决赛门票, 戏剧性的是, 前段时间和ROIS交流的时候他们回想起这道题是一个非常非常奇特的非预期

这之后的学习曲线开始趋于平缓, 没有456月时的高速增长让我怀疑是否进入了第一个瓶颈, 同时过于安逸的日子也使人缺少了努力学习的那股冲劲, 浑浑噩噩的度过了几个月, 到了11月, 在一航的联系下我们和中科大联合组成TCW准备打ctf time和国内的一些ctf, 之后的lctf和seccon都取得了还不错的成绩, lctf又是最后半小时还是一小时被AAA反超, seccon最后差一道题能进线下的决赛, 经过这两场比赛让我认识到了科大那些国内顶尖的计算机系学生, CTF甚至是安全对于他们来说只是一个副得不能再副的副业, 给人的感觉就是用空闲时间随便玩一玩就能达到甚至超越绝大部分把安全当主要目标的人, 包括我

于是2017年就这样过去了, 其实还有好多关于生活, 日常甚至是建筑学学习的东西想说, 但是毕竟题目是电竞, 所以那些不是电竞的就让他们随风飘走吧, 我写这些东西只是为了捡回那些散落的思绪而已, 如果有人看的话汲取自己想要的东西就可以

对了, 每次元旦的时候空间里都会出现那些新年签新年运势的活动, 去年我抽到的什么早就忘记了, 但是今年的我想记下来

回想自己一路过来, 错过了太多不应该错过的人和事, 失去了太多本来应该是自己的东西, 希望2018不要再错过

那么最后, 新年快乐!