2023年总结&2024年计划
博客很久没更新了,2023是艰难的一年。博客最近也更新的很少了,以前多多少少还会保持一个月至少一更新。
现在也并不是懒了,而是确实工作很忙,之前经常有小伙伴来告诉在订阅我的RSS,如果经常写水文对自己和其他人来说并没有什么帮助,二来,觉得如果要写就写一些高质量的文章。但很多0day又不方便放出来。
本篇也算是给自己的一个今年的答卷,顺便记录一下2024年的一个大致目标。
先总结一下今年吧:
生活层面:
今年头等事情就是自己在帝都买了房吧,当时过完年,也是心血来潮,买的基金一直不怎么盈利,于是心血来潮,从去看房,到买房只用了一天的时候。当晚就付了定金,到后来,看房子从盖基地、草签、网签、贷款、封顶、装修、维权等等。。
也是一个心力交猝的过程,买房之后确实也有压力了。今年旅游,就元旦去了广西(南宁、柳州),去没去过的城市,自己说走就走,随机旅行。在柳州,看完跨年节目,已经1点了,打车到2点多,还有2个南宁的小土豆打不到车,顺便还带他们回了市里。
今年基本从夏天开始,每周都有跑步,最近没有跑,太冷了。夏天5公里配速可以进到4’56,应该算是目前极限了。
技术&学习层面:
今年是AI大火的一年,之前很早就预测到了AI会火,但是没想到这么久。也开始跟紧学习,找了公司的AI部门做私有大模型的同事给做了分享学习,自己开发了一套基于微软SAAS的邮件反钓鱼检测系统(基于chatGLM,无邮件网关检测),目前都开发完毕,进行灰度测试,prompt还是有一些误报,后期看看SFT会不会加强。也做了langchain的开发,例如:基于文心一言LLM+LC开发,自然语言处理SQL。 学习LLaMA Factory,买了langchain入门指南,也开始学习LLM安全,以及相关漏洞。
还买了本《ATT&CK视角下的红单对抗实战指南》,这本书还是很不错的,推荐阅读。
渗透方面,今年搞了不少AZ,H播,CX,S单多一些。审计出不少0day,细节部分文章给出了,有的没给,毕竟有的项目还需要靠这些吃饭。(地方WA,GA可以联系)
- CRMEB 的XXE
- CRMEB 任意文件读取
- CRMEB SQL注入
- 宝塔一处命令注入&提权
- 宝塔秒解后台&不死后门
- 自己二开了一个C2(不是基于CS的),一键部署,只支持win
- 阿里云AKSK利用工具,ARM架构支持(基于JAVAFX,sqliteJAR默认AMD,以及部分功能适配)
- 免啥bypass阿里云php webshell(包含过ti.aliyun.com)
- 1Panel本地提权
- JooLun 2处SQL注入,1处命令执行
- coreshop一处同原理SQL注入
PS:现在手里还有个S单和区块链,有地方的WA可以联系,二手中介勿扰。
总的来说,今年环境实在太差了,给自己打分的话,75分吧,不在理想中,估计24年会更加艰难,稳一点,继续努力吧。
计划:
- 2024年,房贷尽量多还一些
- 交房装修
- 去一趟江西、山西、河南玩一趟,这样国内基本上除了西北都去过了。
- 多读书,把《ATT&CK视角下的红单对抗实战指南》、《langchain入门指南》、《本事诗》读完,再至少读完几本书
- 跑步,稳定到配速530,如果可以尝试半马
- 找个女朋友