我叫老牛,是高中室友给起的,原因很简单,我在8人寝室年龄排第六,四川话“老6”和“老牛”读音相仿。
后来我就把我的qq昵称改成了“L.N.”,我接受了这个称呼,因为自我审视,性格的确有执拗的一面,内
向且不善言谈。我以“老牛”的称呼警醒自己,大学就去参加了很多社团和当了2年团支书,得到了不错的
改善。扯远了,说回来,“L.N.”是我踏上“搞站”路的第一个代号,中途换过几个,发现还是L.N.
更“像”我,就这样一直用到现在。
第一次知道破解别人QQ空间密码是可以学习的,也是在高中。于是迫不及待的学习了一些如今看来都是
违法乱纪的技术手段,最后qq空间密码没破解开,倒是认识了很多技术上的好朋友,大家一起开开心心
的“装逼”很是快乐。
从我开始决定不和他们这样“装逼”下去,认真的开始写第一行PHP代码开始,是在我2010年开始读大
学,成都信息工程学院电子商务专业。军训一结束拿着有限的4000块钱跑到电脑城配电脑,左手一个主
机右手一个显示器,高兴的像个傻子。
大学5年,转专业多读了一年,在攻防技术知识海洋里,痛苦着、快乐着。搞学校服务器、论坛YY吹牛
逼、红盟、08sec、90sec。后来转专业到信息安全,加入syclover小组,通过学长引荐加入了insightlabs。知道了世界有多大,自己有多菜。自己还是一个挖着CMS漏洞的web狗的时候,团队大哥做的分
享已经是“渗透三通道“(控制潜伏、操作执行、数据密取)。于是”低调“了很多,牛逼吹不出了,只能继
续边学习边搞站,有巨人在前,动力往往是喷涌不断的。
14年开始出来实习了,实习前有个小插曲至今记得。由于PHP漏洞挖的还可以,被拉入了一个搞PHP的
群里,有一天我问:”兴趣成了工作是一件好事么?“。heige说是,当时不清楚他是到了创宇还是在医
院,他大致观点是兴趣和工作可以兼容。另外一个搞PHP的人都很认可的大哥ryat说不是,听说ryat大哥
不在安全圈子,在做公务员。现在回头来看,我选择不是。
就这样我开始工作了,由于2个学长(多读一年只能叫学长)和我一起参加国家测评中心比赛拿了第一,
大家一起去实习了。一个拿了编制和北京户口,一个没有选择编制但也留了下来,而我傻乎乎拿着360
的sp去了攻防实验室。走的时候国测的leader是一名年纪偏大的大叔,据说调他去网信办,他不去。当
时他劝我留下,虽然我是本科,可以走特批有编制,他的有一句话我至今记得,越到现在我体会越深
刻,”你留在这儿,就是从半山腰出发“。”不听老人言吃亏在眼前“,可能说的就是我。在国测也有一个小
插曲,在实习的时候一年一次的国测比赛又开始了,我的工作是赛前审题和现场工作人员。当时猪猪侠
代表广测来参加比赛,我站在背后偷偷看他用UDF提权,还测了好几次才成功,哈哈哈哈。最后他们拿
了第一。
接着就去了360攻防实验室,开始做渗透测试,记得有个同学说,你来了我们的成功率提升了一半,一
时有点小得意,后来搞智能硬件,时间不长只待了8个月,可以说是年轻气盛。离开原因很简单,原因是
给我打了C。事情是有一天我们拿到了一批乌云注册用户的邮箱地址,然后我突发奇想让我带的实习生
小莫注册一个google邮箱群发招聘,实习生没经验发邮箱没挂代理。最后乌云要发律师函,惊动了谭
总。小莫是我带的实习生,不能让他受处罚,会影响他offer的,于是我和我的老大哥mickey,双双背了
C。
正巧insight-labs的几个大哥都在乌云。我就去了乌云,是因为三个白帽,跑过去和ca叔一起弄,工作很
开心,好景不长,工作了3个月,就”蹲地举手“了。在乌云比较有意思的几个事情都是和实习的小P干
的。我去淘宝二手买了个电信企业级路由,拿回来我们一起挖漏洞,最后他提交乌云,赚了通用。说好
的火锅反正我是还没吃上。”蹲地举手“的那天也是小P毕业正式入职的第一天,据说还没到自己工位,是
坐在我工位上和ca叔吹牛的时候就被拿下了。我当时还在星巴克等我的摩卡可可碎片星冰乐。
乌云被办对当时的我冲击挺大的,不可否认我当时很天真也很理想,也把三个白帽当亲儿子。一气之下
就去西北耍了半个月,回了成都。有点心灰意冷,想的是找个地方养老算了,于是去了中国网安
ms509,薪资比我应届毕业时候的都低,我也没在意,当时没有房贷,很天真。在网安有很多同班同
学,工作节奏也慢,过的也挺开心的。周末没事就拉着几个朋友自驾去川西跑一圈也是美滋滋。就这样
过了1年半,慢慢觉得生活还是要有激情,太安逸了,就这样一辈子也是无趣。
这个时候360的老领导懒总,这个时候已经分家成奇安信了,但还是叫360企业安全,说成都有岗位了,
做红队,我想从入行到现在一直做攻击,没有脱离一线,去做红队也挺合适的,于是重燃了斗志。这一
下就是快3年了。
就这么一晃而过,10年了。我也算是经历了事业单位、私企、甲方、国企、乙方,回头一看做过的事情
还挺不少。我一直坚信安全的本质是攻防对抗。因此作为搞攻击的必须在一线体会真实的战场,才能看
清楚什么是攻防。没有体会过子弹打在肉上的感觉不要说自己在战场,在一线。这也是我定义的一线选
手。脱离这样的一线快一年了,也做过一些牛逼的事情,以后老了给儿子吹牛用。在这儿想起了处在一
线多年的大哥说过的话,当时我问他要不要出来到公司干,做红队也挺不错,他说:”我要做点牛逼的事
情给我儿子吹牛“,他的语气让我知道他不是开玩笑的。
安全圈子是浮躁的,很多做技术的人这么说,我也一度这么认为。然而现在我却不这么认为了,真真做
技术的人都在安安静静做技术,他们不浮躁,浮躁的不是做技术的人,是工作的人,所谓的浮躁的安全
圈其实是安全工作圈。为钱为名情理之中。我不也是俗人么。
最近1、2年我一度怀疑自己是不是错了,看清楚了一线攻防是什么样子,也永远是一个大头兵,单兵能
力再强,到头来也只能是一个”中南海保镖“,世界上能够有几个中南海保镖呢?农场不需要中南海保
镖,只有中南海需要,而中南海只有一个。我已经在一线看了7、8年,拳怕少壮,感觉到了后浪的压
力,也意识到了身体精力的下降。没有太多的时间和精力茫然四顾,人近中年,钱不是一个人用的时
候,够用就好的价值观就有点飘忽了,怎么才叫够用,一个人用容易明白,老婆、孩子、父母一起来就
有点想不明白了,只能越多越好。
到奇安信之前职业发展,我真的是没有太考虑过,有点任性和随心。这几年开始认真的看这个行业,看
自己,回想以前走过的路,分析得与失。真正接受至少还要在这个行业工作10到20年的事实。如何塑造
自己的价值,如果增强自己创造价值的能力。当前一个大头兵的能力并不足以创造太大的价值,需要一
个小队、一个大队到一个军团。需要一个组织,需要有清晰的理解和判断,让组织在正确的方向上价值
最大化。
匆匆少年一晃而过,加油吧!中年人。10点了,该睡觉了。