代码审计是大概是2月份开始学的，当时团队里面也没有人搞这一块，感谢峰哥允许我边学边做。后来基本上就是复现漏洞，每天跟进社区新爆出来的漏洞，拿了payload就开始审计分析，感觉这样学提高还是挺快的。至少你审计过的这些洞，在之后审计新CMS的时候都能想到可能存在这类型的漏洞，然后去挖掘。很多东西，就是熟能生巧。

到了6月份，自己发现以前收藏的一个PHP代码审计的网站，于是就想出了 PHP-Audit-Labs 这个项目，本来想一个人做的，因为如果一个人能做完这个项目，其中的好处必然很多，自己本身学到的东西就很多。但是后来想到团队这边也没什么人做这一块，有的人又一直想学这块，也想借此项目多结识一些代码审计好友，交流一下代码审计思路。然后在6月28号那天晚上，写出了第一篇文章， 这篇 也算是后续文章的模板。人多力量大，应该很快就能完成(当时想着如果4个人做，每人每周写一篇，6周就搞定了，现在想想，还是不要乱立flag:)。

刚开始挺多人加的，后来发现写这系列文章真的需要很多时间，有的人就退出了。这也能理解，大家白天要忙工作，晚上累了回家，有时候倒头就睡，没有精力再去折腾这些。没关系，我就慢慢写咯，大不自己多写点，写得多提升的也多。

讲讲最近的状态，做这个项目感觉有点乏了，有的文章真的不如自己写一篇来的快。不是说大家文笔不好，而是有的人在写文章的时候，给我的感觉就是没有用心。大家写的每篇文章，最后我都要审核，有些写的不好的地方我都会私聊告诉大家。结果有的人发给我的修改版，就修改了我刚说的几个问题，之前说的问题完全没改。还有漏洞修复方案部分，有的人说随便写写就行，我觉得那样做就没有意义了。我允许大家参考网络上的修复方案，不过你好歹修复代码也要测试一下，再想想是否存在绕过的可能。结果测都没测，拿了一个不存在的函数作为修复代码，我。。。

我始终觉得我们是团队，希望每个人或多或少都学到点东西，希望这个项目能够大家一起做。既然做了，就要认真做。把每次写文章当做学习去做，而不是任务。多查阅相关文章资料，拓展延伸。出CTF题确实也是一个头疼的问题，因为需要花挺多时间的。但是每出一道CTF题目，又是一次学习总结的过程。像我自己出的几道CTF题目，里面基本上都涵盖了一个自己实际碰到的或最近学到的一些小技巧。实际上我也没达到那种能出CTF题目的水平，但是我还是想把自己学到的这些技巧分享给大家。

而成员和我说不会出CTF题目，这就让我很难办了。不会不是可以学吗，不能一句话”不会”就略过了吧。帮大家出题以及审核大家的文章花了我不少时间，导致我的任务一直在哪里吊着，影响了整个项目的进度。本来打算在9月份初，结束掉这个项目的Part1部分，现在肯定是不能完成的。

做这个项目以来，都没有时间研究新的东西，上社区看文章都少了。时间基本上花在帮大家修改文章和出CTF题目上。付出的时间和收获的知识比值严重失调，这都让我有了放弃做这个项目的念头了。真的，要找到一些志同道合的朋友，太难了 ！

加团队未必就是好的，去实习也未必就能学到很多东西，或许一个人学习提升的才更快。因为可以埋头研究自己喜欢的东西，兴趣的力量往往会让你对自己刚到惊讶。原来我做了这么多啊！原来这个我也能做！