一直想写一篇总结,但真正坐下来写的时候,发现比起那种很正式的复盘,我更想把这一年当成一篇日记记下来。从 2025 年 5 月到 2026 年 5 月,里面有 CTF、有攻防演练,也有第一次参与比较完整的地市攻防项目。现在回头看,好像每个月都不算特别惊天动地,但每个月又确实留下了一点东西。

2025 年 5 月

五月的时候刚把以前零散的笔记重新翻了一遍,发现自己 Web 方向的东西记得最多,真正能稳定复现的却不多。那几天晚上基本都在补 SQL 注入、文件上传和反序列化,写了几个很粗糙的小脚本,虽然不漂亮,但至少能在做题的时候少敲几遍重复命令。

月底还和朋友打了一场线上 CTF。我们原本只是抱着练手的心态参加,结果第一道 Web 题卡了很久,最后发现是自己把一个很明显的参数过滤想复杂了。那天打完以后下楼买了瓶冰可乐,路上还在想,很多时候不是不会,而是太急。

2025 年 6 月

六月参加了一次校内的小型攻防对抗。第一次真正感受到防守比想象中麻烦,光是确认服务、备份文件、改默认密码就花了很久。中间有一台机器的日志突然刷得很快,大家围在一起看了半天,最后才定位到是一个后台接口被反复探测。

那周生活也挺乱的,白天上课,晚上盯靶机,睡眠被切得很碎。有一天凌晨两点多回宿舍,发现桌上还放着没吃完的面包,突然觉得自己像是在打比赛,也像是在和自己的精力条对抗。

2025 年 7 月

这个月也第一次认真写了赛后复盘。以前打完比赛就关电脑,这次把每道题的思路、踩坑点和用到的命令都记了下来。写的时候很痛苦,因为要承认自己哪里想错了,但写完以后心里反而踏实。

不过打了L3HCTF,NepCTF,拿到了神秘文字的一血o( ̄▽ ̄)ブmusc一血也是一血。

和metavi手搓了几个小时的神秘狐语

2025 年 8 月

八月打了一个LilCTF,豪题,打得很开心。虽然名次不是很高但是也是有贴纸拿,挺好。

不过那次也暴露了问题。我们几个人的节奏不太统一,有人还在深挖旧题,有人已经想切新方向。赛后复盘的时候大家说得很直接,但气氛还不错。晚上一起去吃烧烤,边吃边吐槽题目,感觉比排名更让人记得住。

2025 年 9 月

九月开学以后事情一下子多了起来。课程、作业、比赛准备混在一起,很多计划都被打断。这个月我没有打太多比赛,更多是在整理自己的环境,把常用工具、字典、脚本和笔记重新分了目录。

感谢ISCC送来的12分加分让我免于大物挂科<(^-^)>

打了湾区杯,湾区杯……已经没有一点印象了。算了吧。

九月还去打了宁波市赛,靠两个队友拿了二等奖()队友还是太强了。之后也得学一下awdp之类的东西了,总不能每次都在摸鱼。

2025 年 10 月

十月印象最深的是参与了一次金华的攻防项目。它和以前校内演练、线上赛的感觉完全不一样,目标更真实,流程也更完整。前期我们先做资产梳理,把分到的系统、域名、IP、端口、指纹信息统一登记,能访问的系统先截图留证,不能访问的也要说明状态,避免后面重复摸同一块资产。

我主要负责 Web 入口排查和一部分弱口令、历史漏洞复核。刚开始会下意识想按 CTF 的方式找突破口,但项目里更重要的是稳:每一步都要记录请求、响应、时间点和影响范围,不能只凭感觉说“这里可能有问题”。有几个后台看起来很普通,真正测的时候才发现权限边界、默认口令、未授权接口这些基础问题比想象中更常见。

这次项目给我的冲击挺大。以前做题更多关注技术点本身,项目里却会被迫看见技术之外的东西:资产台账是否清楚、日志能不能追溯、口令策略有没有落实、漏洞修完以后有没有复测。几天下来很累,但收获也很实在。它让我意识到,安全不是单点炫技,而是一套从发现、验证、上报、修复到复盘的流程。

2025 年 11 月

十一月印象最深的是一次应急排查练习。我们模拟靶机被打穿以后,从 Web 日志、进程、计划任务、可疑文件一路查下去。以前总觉得应急响应离 CTF 很远,但做完以后发现,很多线索判断能力其实是相通的。

还打了浙江省省赛的决赛,不出意外的拿到了省一。感觉做了好多题但是misc还是只出了一题(x),在一堆狗里找猫。

不过省赛的盒饭还是很好吃的。

2026 年 1 月

一月放假前又参加了一次线上练习赛。那次状态一般,很多题看得懂方向,但推进不下去,只能看着队友往前冲。

回家以后节奏慢了很多。白天帮家里做点杂事,晚上偶尔刷一两道题。没有比赛倒计时的时候,学习显得没那么刺激,但也更适合补基础。我把之前不会的几道题重新做了一遍,发现第二遍还是会卡,只是这次知道自己卡在哪里。

2026 年 4 月

四月算是这一年里最忙的一个月。比赛、课程、作业都挤在一起,很多天都是白天处理现实任务,晚上继续补题。

11号去打了古剑山,之前打的awd一直都是php的,没想到这次的两个网站是java和python的,之前准备了那么多好像都白费了。好在最后还是稳住了二等奖爽吃了呀。

0b85470a4fcb5a1431d50a3c866293cf_720

这个月天气开始变暖,有几天傍晚会出去走一圈,回来以后继续写复盘。以前总觉得复盘是任务,现在慢慢觉得它像是在给自己留路标。下次再遇到类似的问题,不至于又从零开始。

2026 年 5 月

五月回头看这一整年,感觉自己没有突然变得很强,但确实比去年更稳了一点。CTF 让我更会拆问题,攻防项目让我更在意资产、证据、协作和闭环,生活里的那些琐碎事情则提醒我,不能一直把自己绷得太紧。

如果要给这一年做个小结,大概就是:打比赛的时候别只盯着分数,做安全的时候别只记得攻击,过日子的时候也别忘了休息。能坚持把每个月的小事记下来,本身就已经算是一种进步了。