About Me

个人信息

m0nst3r,男,87年,民族汉,群众,本科,籍贯河北衡水。
英语六级,口语B+,能够比较流利地使用英语交流,能够学习、翻译英文文章。
现居北京昌平。

联系方式

  • QQ: 364171416
  • Email: cnmichael (at) icloud.com

教育经历

  • 2007.9 - 2011.9,河北北方学院 - 动物医学专业

工作经历

  • ? - 2015,安平县贺友丝网制品有限公司,内贸业务员
  • 2015 - 2016,安平县硕隆金属制品有限公司,外贸业务员
  • 2016.2 - 2017.2,深州市圣森金属制品有限公司,外贸经理
  • 2017.3 - 2018.8,北京丁牛科技有限公司,渗透测试工程师
  • 2018.1 - 2018.2,广州大学网络空间先进技术研究院2018CTF集训特聘讲师
  • 2018.8 - 至今,中国金融认证中心,信息安全工程师

任职情况

  • 北京顶牛,安全部,渗透测试组组长
  • 中国金融认证中心,信息安全部,信息安全工程师

主要项目经历

包括Web渗透、APP安全测试(android)、微信小程序、API接口、CTF、逆向、后渗透及持久化方面,知识面比较广。

只列主要举项目名称,对具体漏洞无法列举;由于某些项目的特殊性,只能大概描述下项目/任务名称。

  • 中国联通渗透测试项目
  • 中国石化渗透测试项目
  • 中远集团渗透测试项目
  • 南方电网渗透测试项目
  • 南方航空渗透测试项目
  • 委内瑞拉国际培训项目
  • CTF冬令营-讲师
  • 某部队CTF赛前培训
  • 第二届强网杯CTF挑战赛(线上三等奖,线下三等奖)
  • 网信办渗透测试任务
  • 无人机takeover项目
  • 联通支付平台渗透测试项目
  • 张家港农商银行APP渗透测试项目
  • 大丰农商银行渗透测试项目
  • 苏宁消费金融渗透测试项目
  • 得意金服渗透测试项目
  • 上海农商银行渗透测试项目
  • 上海微创驻场渗透测试
  • 北京大望金科驻场渗透测试(亿联银行风控系统)
  • 中投科信渗透测试测试项目

技能特点

自我评价:个人技术方面,在工作中,定位是攻击手,辅助前期信息收集做一些工作,对后渗透以及持久化比较感兴趣,也在深入学习。总体而言,能力比较综合,偏重后渗透。
学习能力强,学习欲望强。对二进制逆向方面也有接触,但没有独立完成项目的能力。现在正在系统的学习C语言以及计算机系统,想在二进制逆向方向得到发展。
目前Android安全、二进制逆向与C是在同步学习中,初步接触了脱壳、Frida、Xposed的知识,在后期还计划学习JAVA、C#。

下面列举的技能/工具为常规渗透任务中最常用的,并不全面。

熟悉/掌握编程语言

  • PHP
    编写过微信公众平台,开发过方便工作管理的内网小站,能够进行初步的代码审计,学习过ZendFramework,独立使用过ThinkPHP框架,并用TP独立开发了渗透测试报告生成系统,已完成基础功能。由于工作调动,目前已暂停该项目。

  • Python
    编写过爬虫(Scrapy+MongoDB+Flask+AngularJS),能够读懂SQLMAP tamper脚本,使用过pwntools,CTF比赛中能够使用Python解题,编写phpstudy弱口令扫描工具。

学习过/学习中的语言

  • C/C++
  • 汇编
  • NodeJS
  • Ruby
  • PowerShell

渗透相关技能

  • 能够熟练使用Kali Linux
  • 熟练使用SQLMAP
  • 熟悉MySQL手工注入
  • 熟练使用Nmap
  • 比较熟练使用MSF
  • 熟练使用Cobalt Strike
  • 熟练配置Domain Fronting(Cobalt Strike+MSF+Empire)
  • 熟悉上传漏洞、XSS漏洞、SQL注入漏洞、XXE漏洞
  • 能够独立完成信息收集、前渗透、后渗透、渗透测试报告的工作
  • 熟练使用BurpSuite
  • 能够进行简单的逆向分析
  • 能够对Android APP做基础的安全检测

常用工具举例

  • BurpSuite
  • SQLMap
  • antSword
  • metasploit
  • cobalt strike
  • Empire
  • Nmap
  • Frida.re
  • IDA Pro
  • OllyDBG
  • subdomainBrute
  • wfuzz/dirsearch/御剑
  • medusa/hydra
  • google hack

其他相关技能

  • 学习过无特征码免杀
  • 学习过源码免杀
  • 自建网站/CMS
  • 搭建CTF培训/训练平台(wdcp+ctfd)
  • 熟悉TCP/IP协议
  • 学习过Cisco交换机配置
  • 学习过MFC相关课程

自我介绍

在17年进入网络安全行业之前,我做的是外贸销售的工作,英语水平够用。之所以转行,是因为很早就对网络安全非常感兴趣,工作后白天上班,晚上回来就是学习网络安全的东西。
接触网络安全是从高二的时候,大概04年的样子,一直当作一个爱好,直到结婚后,在媳妇支持下决定转行。
在转行之前,自学过很多东西,小到VBScript、HTML,到Python、PHP、VB、C、C++、汇编,再到渗透测试相关技术,比如JavaScript、SQL、Oracle、免杀、Kali、MSF、逆向等等。其中在大学时还学习过Cisco、TCP/IP协议等等,以及漏洞相关的SQL注入、XSS、上传等等,但是始终在门外转悠,直到转行之后。
在安全行业工作以来,学习到了很多东西,成长了很多。以前零零碎碎看到的东西在同事、领导的指导下,慢慢融汇在一起。
这一年来做过的项目不算很多,但每个项目都不小,有些项目还是持续性的。这些项目对一个野路子出身的技术爱好者的影响是很大的,无论从技术整合的角度还是团队意识、操作流程规范方面,都对我产生了积极的作用。
随着对渗透技术越来越了解,越发的知道了自己技术方面的短板以及不足之处,这更增加了我学习的热情和动力。这也是这个行业最吸引我的地方。