代码审计是大概是2月份开始学的,当时团队里面也没有人搞这一块,感谢峰哥允许我边学边做。后来基本上就是复现漏洞,每天跟进社区新爆出来的漏洞,拿了payload就开始审计分析,感觉这样学提高还是挺快的。至少你审计过的这些洞,在之后审计新CMS的时候都能想到可能存在这类型的漏洞,然后去挖掘。很多东西,就是熟能生巧。
到了6月份,自己发现以前收藏的一个PHP代码审计的网站,于是就想出了 PHP-Audit-Labs 这个项目,本来想一个人做的,因为如果一个人能做完这个项目,其中的好处必然很多,自己本身学到的东西就很多。但是后来想到团队这边也没什么人做这一块,有的人又一直想学这块,也想借此项目多结识一些代码审计好友,交流一下代码审计思路。然后在6月28号那天晚上,写出了第一篇文章, 这篇 也算是后续文章的模板。人多力量大,应该很快就能完成(当时想着如果4个人做,每人每周写一篇,6周就搞定了,现在想想,还是不要乱立flag:)。
刚开始挺多人加的,后来发现写这系列文章真的需要很多时间,有的人就退出了。这也能理解,大家白天要忙工作,晚上累了回家,有时候倒头就睡,没有精力再去折腾这些。没关系,我就慢慢写咯,大不自己多写点,写得多提升的也多。
讲讲最近的状态,做这个项目感觉有点乏了,有的文章真的不如自己写一篇来的快。不是说大家文笔不好,而是有的人在写文章的时候,给我的感觉就是没有用心。大家写的每篇文章,最后我都要审核,有些写的不好的地方我都会私聊告诉大家。结果有的人发给我的修改版,就修改了我刚说的几个问题,之前说的问题完全没改。还有漏洞修复方案部分,有的人说随便写写就行,我觉得那样做就没有意义了。我允许大家参考网络上的修复方案,不过你好歹修复代码也要测试一下,再想想是否存在绕过的可能。结果测都没测,拿了一个不存在的函数作为修复代码,我。。。
我始终觉得我们是团队,希望每个人或多或少都学到点东西,希望这个项目能够大家一起做。既然做了,就要认真做。把每次写文章当做学习去做,而不是任务。多查阅相关文章资料,拓展延伸。出CTF题确实也是一个头疼的问题,因为需要花挺多时间的。但是每出一道CTF题目,又是一次学习总结的过程。像我自己出的几道CTF题目,里面基本上都涵盖了一个自己实际碰到的或最近学到的一些小技巧。实际上我也没达到那种能出CTF题目的水平,但是我还是想把自己学到的这些技巧分享给大家。
而成员和我说不会出CTF题目,这就让我很难办了。不会不是可以学吗,不能一句话”不会”就略过了吧。帮大家出题以及审核大家的文章花了我不少时间,导致我的任务一直在哪里吊着,影响了整个项目的进度。本来打算在9月份初,结束掉这个项目的Part1部分,现在肯定是不能完成的。
做这个项目以来,都没有时间研究新的东西,上社区看文章都少了。时间基本上花在帮大家修改文章和出CTF题目上。付出的时间和收获的知识比值严重失调,这都让我有了放弃做这个项目的念头了。真的,要找到一些志同道合的朋友,太难了 !
加团队未必就是好的,去实习也未必就能学到很多东西,或许一个人学习提升的才更快。因为可以埋头研究自己喜欢的东西,兴趣的力量往往会让你对自己刚到惊讶。原来我做了这么多啊!原来这个我也能做!