2024HVV吐槽

护网也是开始一个多星期了，由于时间比较紧这里写一篇没有思路瞎扯的随笔，主要是聊一下护网期间对于牛马大学生的感想，这个群体确实给我整破防了，有可能顺带说一下别的事情，想到哪写哪

很多人对于护网大学生的刻板印象还是封127.0.0.1，啥都不会一天2700块苕皮哥的阶段。啥都不会的我觉得其实都还好，你可以直接把他忽视了，然后自己干自己的，渗透的节奏也不会被打乱。去年苕皮哥被曝光之后引起了厂家不小的重视，今年护网大学生普遍卡到03年，红初招了很多计算机专业本科，懂一些web基础又不是很熟练的人进来。我个人感觉这种类型的红初比苕皮哥还难受

第一，他不是什么都不会，你指望他起一点协助的作用你就得分配他资源，比如ip代理，相应的0day 1day，权限。他吃了资源又拿不到分数，出于礼貌你不仅不好说他还可能要继续给他分资源。

第二算是第一的补充，有人说👴🏻就是脸皮厚不分资源你能怎么滴，事实上能力不够又能在国护做红队的大学生多少是背后有点关系的，这个爹是网信办xx主任那个小舅子是支队xx队长，加上他自己懂一定技术不会做出什么特别傻的事情让人抓到把柄，苕皮哥你可以直接开骂，因为他是怎么都洗都洗不了的纯啥比，这种你真不好骂，没有犯大错加上是某某的关系，你半点脾气没有

其三大学生群体是很想在国护证明自己的，看了一点公众号的上的渗透实战爽文就想来秀操作了（客观来讲也是现在面试的风气不对，红初特么的面试问中间件二进制，导致一大堆人背题进来的以为自己懂了其实根本不会实战），喜欢玩花的，但事实上初级红队在大型护网中能够拿分的都是靠特，特弱口令特shiro默认密钥特tomcat容器put上传这类一个http包一键复现的幽默漏洞。自我认识能不能清楚一点，红初的技术实力卡死在这里了，你想拿分就得有看到弱口令和弱智nday跟狗看到屎一样的灵敏嗅觉，话虽然难听，事实就是这样。那些个自我感觉良好不愿意当特种兵的，等到认清现实的时候靶标都被别人特完了，挂零

所以为什么我说我个人宁愿要苕皮哥也不要牛马大学生，上不去下不来的最要命。如果说苕皮哥是零作用这种人就是负作用，比如之前说的特，你以为他这种简单的事情能搞定但是他又确实做不好，宝贵时间都被他浪费了，不如一开始就别指望他，自己动手。求求各位牛马大学生你就老老实实的搁那啥都不干都好，不会搞就别瞎乱搞了😅

然后牛马这个词我认为可以拆开来解释，大学生经验不足，很多简单的漏洞点，浏览器里看到ueditor都不认识，这种叫马。但是大学生，从高考考场里杀出来的卷人，人家的阅读量和学习能力又在线，导致一个不认识ueditor的人，你以为他是啥比，结果他还知道php审计里的parse_str特性会把abc.123=1解析成abc_123这样的冷知识，又牛又马，神一把鬼一把的，所以导致了我上文所说的难受——你觉得他靠不住他又时不时c一下让你感觉他会起作用，很打乱节奏，我又不是管理学大师，根本无法让这种神鬼二象性的人完全发挥出来

说到牛马就不得不提一嘴纪律性，我也没指望牛马大学生你能给我爆个0day打穿内网啥的，你能不能把纪律性做好?初级红队这个水平纪律性比技术能力更重要。听说某攻击队今年护网就出现了牛马大学生找到一个疑似xxe，一高兴把行动开始前队内大哥的叮嘱全忘了，招呼也不打就自己拿团队服务器开启web服务，放上带payload的dtd文件然后向靶标发包——exe的马子想找c2服务器ip好歹还得反编译一下，xxe请求红队服务器地址就在请求体里明文写着，后续当然就是蓝队一波溯源加封禁，那个xxe也没利用成功。以及各种护网期间起个xray酷酷战斗爽的，那我被用掉的代理池这块谁给我补啊?出事了质问牛马，答曰: “网上不是都说蓝队是猴子啥都不会吗”，“不是说蓝队只会炫零食吗他怎么还懂xml文档”，巴拉巴拉，我真是川师南大门了。什么是纪律性?纪律性就是你不能把不被响应和溯源的希望寄托在蓝队不作为，蓝队是啥比身上，每一次攻击和利用都要考虑到可能给团队带来的影响。溯源还好一般溯不出来，要是遇到蓝高会打反清的，拿到你c2的地址一个cs或者viper的rce，OK恭喜你一个人让全队满门忠烈了

骂完了过后客观的想了一下，大学生一般来说在ctf和src这两块还是挺强，护网期间这两块的经验发挥出来是很能操作的，这里呢，围绕主题，我就恶心一点只讲不好的那一面，有不错src和ctf技巧≠你护网的ADR高

大学生网安最接近实操的经验就是ctf，ctf一般就一个站点，就这个网站目录里必然有一个真实存在的惊人的flag.php，护网呢?并，并，并非，护网更看重资产信息收集，靶标都是大型企业，什么子域名c段旁站小程序云容器很多，ctfer大学生不会控图不会拿信息，就干拉，对着一个登录框死磕，还最喜欢对着主站干拉。蓝队可高兴了框框只用注意那几个路径闭着眼睛封。国护这些政府金融关键资产你要是能靠干拉出来一个day颗秒了你也不至于红初了，你去大厂实验室单兵apt吧，这种属于靶场和ctf打多了打出幻觉来了

src讲究点到为止，没见过有几个src鼓励你往内网生产环境里日的，相反国护这几年的评分上越来越看重后利用，比如rce在src里执行whoami可能就行了，国护里用这个rce落地webshell能得比单纯执行测试命令多一倍的分，从shell进了内网还有跨域分域控分。借用鱼人圣经，实战里边他有一堆这个设备，bypass你pass不了，你权限也不能维持，这个网络安全确实是很需要0day的，但是如果没有后利用，0day就没有任何意义，你是不是只能执行个测试命令就跑?危害小了裁判压你分也是理所当然

最后是这个心态问题，每次护网都能听到身边和微步上的人叫，c段b屋檐了蜜罐b屋檐了反清b屋檐了拔线b屋檐了设备b屋檐了不出网b屋檐了明御雷池创宇盾xx规则光速响应太难了各种拼尽全力也无法战胜，蓝队太踹哈了靶标不是人打的更有甚者直接开始上升到网络安全没出路我要转行了我要小鱼游园了。不懂就问，蜜罐waf这些是什么很新颖的东西吗？国护这个强度用这些东西不是再正常不过?是不是要后台admin 123456进去图片上传的地方直接传php文件啥过滤没有还回显路径才能让这些个红队大老爷开心?骂蓝队设备太多了轮椅了不公平，人家甲方花大几百万买的设备为什么不能用，不用才是脑子有毛病。还有说对面是xx大厂实验室xxx值守的我就该打不进去，我躺平了炫零食我啥都不干。能不能打穿是能力问题，打没打是态度问题，国家每年花这么多钱就请了你这么个冲击波玩意😅，真境外apt打进来了他会因为你是初级就不打你了吗?国护是公安部领导的严肃的国家级演练行动，我没听说过哪家护网规定了初级只能打初级，又不是游戏天梯匹配，你不提升技术难道跑到裁判那里哭鼻子吗，呜呜呜他核心蓝队来我红初这炸鱼举办了，傻逼，炸的就是你😅。过分夸大抬高自己战胜不了的对手不会让大家觉得你技术没问题你冰清玉洁只是对面太强了，只会让多数人看清楚你就是个水平不行还爱xjb叫唤的若智

最后写完了想起来解释一下开始提到的两个名词，rating和ADR，打过cs这个游戏的人可能知道啥意思，护网里边ADR指的是平均靶标权重得分，rating指的是综合技术能力评分，比如之前德国国防部那个12345678的弱口令，rating很低，因为确实没技术含量，但是ADR就很高，虽然他弱智但是他确实是国防部的资产

吃个瓜，某大厂蓝高简历写的精通java，连基于spring用restful注册个路由实现路径映射都不会，都不能说不会了，完全不知道路由是什么东西，说厂里装了TPlink。太有蓝高了好歹没给我说路由是南宋著名爱国诗人🤣

还有有人在问护网情报的这个事，有没有必要加那些付费的星球或者内部群，这个我真不知道因为我也没加过，这里推荐一下银遁安全团队的漏洞库，https://www.yuque.com/xiaokp7/iosgxe/pylblovme6agn5t0?singleDoc#

访问密码：nfsp

可能把有些nday当成护网期间0day推送了，但是收录数量是非常全的，互联网侧暴露的基本上都有

差不多就说到这里吧，这篇文章不针对某个人，只是我参加护网这段时间总结出来的一些体会。最近这几天被大学生整破防了，确实是太生气，文章里肯定有不少不文明不礼貌的内容还敬请谅解。如果您觉得有哪些地方说得不妥的可以和我沟通，但是如果有人什么道理也不讲单纯的对号入座了过后破防了，瞎骂，那不好意思，这篇文章针对的就是你😋