个人简历
技术栈
熟悉SQL 注入、反序列化漏洞(java php python)、XSS、CSRF、命令注入、文件包含、文件上传、逻辑漏洞等安全漏洞的利用与防护策略。
熟练掌握java、Python、PHP、golang等常见web 代码,审计过不少小型php的cms站点。对于java的webgoat靶场分析了其中常见漏洞的源代码,对于cc链、shiro、fastjson、weblogic等主流反序列化有深刻认识,详细分析过调用流程及具体原理。
熟练掌握大多数安全测试工具使用及组合利用。( 如 Burp Suit、sqlmap、AntSword、namp、dirsearch、Xray、cs、msf、phpstudy、phpstorm、seay源码审计系统、phpggc、反序列化利用工具、navicat、windterm等)
熟练掌握linux的基础操作,以及对于docker脚本的编写。可自行搭建起漏洞测试环境。
熟悉内网渗透流程,可搭建主流的渗透测试工具,对于cs的c2c高匿服务器也有所总结、熟练cs与msf的组合使用,可使用msf进行基本的内网渗透测试。
了解免杀的基础流程,以及基础免杀的工具使用。
经验
有一年的ctf经验,主要方向为web,各大ctf平台做题大概 bugkuctf (64道)、攻防世界(57道)、buuctf(55道)、ctfshow(530道)、sqllibs(60道靶场通关 )、pikachu(30道靶场通关)、uploadlibs(20道靶场通关)、xsslibs(20道靶场通关)、webgoat (40道题目通关)、红日安全att&ck(7套系列靶场)。
已熟练掌握ctf常见考点,如信息收集、文件上传、文件包含、反序列化(php java python、xss、命令执行、代码执行、sql注入、ssrf、常见语言的代码审计(PHP python Java go )以及环境搭建 。
能根据已知的ctf中的cve漏洞进行快速复现与利用,完成目标需求。
熟练掌握Linux操作知识,对于linux中的各个服务较为清楚,熟练配置各个服务(nginx php mysql apache tomcat等),熟练掌握docker 基础操作,能够编写相应的dockerfile文件以及docker-compose.yml文件,自行出过一道关于内网的ctf题目。
搭建过一个gzctf的平台,并进行了相关题目的编写与维护检查工作。
审计过不少小型PHPcms框架 webgoat全部源代码审计。
奖项
2022精英百强 创意二等奖(团体赛) |
漏洞编号
CVE-2023-24358 |
评论
ValineDisqus
