小小总结
一直想写一篇总结,但真正坐下来写的时候,发现比起那种很正式的复盘,我更想把这一年当成一篇日记记下来。从 2025 年 5 月到 2026 年 5 月,里面有 CTF、有攻防演练,也有第一次参与比较完整的地市攻防项目。现在回头看,好像每个月都不算特别惊天动地,但每个月又确实留下了一点东西。
2025 年 5 月
五月的时候刚把以前零散的笔记重新翻了一遍,发现自己 Web 方向的东西记得最多,真正能稳定复现的却不多。那几天晚上基本都在补 SQL 注入、文件上传和反序列化,写了几个很粗糙的小脚本,虽然不漂亮,但至少能在做题的时候少敲几遍重复命令。
月底还和朋友打了一场线上 CTF。我们原本只是抱着练手的心态参加,结果第一道 Web 题卡了很久,最后发现是自己把一个很明显的参数过滤想复杂了。那天打完以后下楼买了瓶冰可乐,路上还在想,很多时候不是不会,而是太急。
2025 年 6 月
六月参加了一次校内的小型攻防对抗。第一次真正感受到防守比想象中麻烦,光是确认服务、备份文件、改默认密码就花了很久。中间有一台机器的日志突然刷得很快,大家围在一起看了半天,最后才定位到是一个后台接口被反复探测。
那周生活也挺乱的,白天上课,晚上盯靶机,睡眠被切得很碎。有一天凌晨两点多回宿舍,发现桌上还放着没吃完的面包,突然觉得自己像是在打比赛,也像是在和自己的精力条对抗。
2025 年 7 月
七月主要在补 Misc 和 Crypto。以前总觉得 Misc 靠运气,后来才发现文件头、压缩包、流量包、编码痕迹这些东西都是有规律的。做题的时候虽然还是经常卡住,但至少不再是完全乱试。
这个月也第一次认真写了赛后复盘。以前打完比赛就关电脑,这次把每道题的思路、踩坑点和用到的命令都记了下来。写的时候很痛苦,因为要承认自己哪里想错了,但写完以后心里反而踏实。
2025 年 8 月
八月有一场比较正式的 CTF,队里分工比之前清楚了一些。我主要看 Web 和部分 Misc,队友负责 Pwn 和 Crypto。比赛中间我们靠一道源码审计题追回了一些分,当时从一个看起来很普通的登录逻辑里绕出了权限,群里一下子热闹起来。
不过那次也暴露了问题。我们几个人的节奏不太统一,有人还在深挖旧题,有人已经想切新方向。赛后复盘的时候大家说得很直接,但气氛还不错。晚上一起去吃烧烤,边吃边吐槽题目,感觉比排名更让人记得住。
2025 年 9 月
九月开学以后事情一下子多了起来。课程、作业、比赛准备混在一起,很多计划都被打断。这个月我没有打太多比赛,更多是在整理自己的环境,把常用工具、字典、脚本和笔记重新分了目录。
月底做了一次内部演练,规模不大,但很考验细节。我负责检查服务暴露面和弱口令,结果真的扫出来几个很离谱的默认账号。那一刻感觉安全很多时候不是高深技巧,而是基础项有没有认真做。
2025 年 10 月
十月印象最深的是参与了一次地市攻防项目。它和以前校内演练、线上赛的感觉完全不一样,目标更真实,流程也更完整。前期我们先做资产梳理,把分到的系统、域名、IP、端口、指纹信息统一登记,能访问的系统先截图留证,不能访问的也要说明状态,避免后面重复摸同一块资产。
我主要负责 Web 入口排查和一部分弱口令、历史漏洞复核。刚开始会下意识想按 CTF 的方式找突破口,但项目里更重要的是稳:每一步都要记录请求、响应、时间点和影响范围,不能只凭感觉说“这里可能有问题”。有几个后台看起来很普通,真正测的时候才发现权限边界、默认口令、未授权接口这些基础问题比想象中更常见。
中间有一次排查让我记得很清楚。我们发现某个业务系统暴露了管理入口,指纹和历史漏洞信息都对得上,但直接验证会有风险。带队的师傅让我们先补全证据链:确认资产归属、比对版本、查访问路径、看是否存在外网可达的敏感接口,再用最小影响的方式证明问题存在。最后报告里不是简单写“存在漏洞”,而是把触发条件、可能影响、修复建议和复测结果都写清楚。那一次之后,我才真正理解为什么项目里“能打进去”只是开始,能把问题讲明白、让别人愿意修,才算闭环。
项目后半段更多是在做联动和收敛。每天都要同步新发现、已修复、待复测和需要确认的资产,表格看起来很朴素,但一乱就会影响整个节奏。有些问题当天报上去,当天晚上就要复测;有些系统牵涉业务,不能简单停服务,只能和对方一起评估临时缓解措施。这个过程没有比赛里出 flag 的爽感,却更接近真实工作:你要考虑可用性、沟通成本、证据规范,也要学会在时间很紧的时候把优先级排出来。
这次地市攻防给我的冲击挺大。以前做题更多关注技术点本身,项目里却会被迫看见技术之外的东西:资产台账是否清楚、日志能不能追溯、口令策略有没有落实、漏洞修完以后有没有复测。几天下来很累,但收获也很实在。它让我意识到,安全不是单点炫技,而是一套从发现、验证、上报、修复到复盘的流程。
2025 年 11 月
十一月印象最深的是一次应急排查练习。我们模拟靶机被打穿以后,从 Web 日志、进程、计划任务、可疑文件一路查下去。以前总觉得应急响应离 CTF 很远,但做完以后发现,很多线索判断能力其实是相通的。
这个月也开始有点疲惫。连续几个月都在刷题、演练、复盘,有时候打开题目会发呆。后来干脆给自己留了两个晚上不碰安全,只看电影和整理房间。休息完再回来,效率反而高了一些。
2025 年 12 月
十二月打了一场年末 CTF,题目整体不算简单。我们前期出分很慢,差点以为这次要崩,后来靠 Misc 和一道 Web 题慢慢追了回来。最有意思的是一题流量分析,翻包翻到眼睛酸,最后看到关键请求的时候,整个人一下子清醒了。
年末也顺手把这一年的笔记做了归档。那些写得很乱的 Markdown、临时命名的脚本、截图和赛后记录堆在一起,看起来很不专业,但也是真实留下来的痕迹。至少说明这一年不是空过去的。
2026 年 1 月
一月放假前又参加了一次线上练习赛。那次状态一般,很多题看得懂方向,但推进不下去,只能看着队友往前冲。
回家以后节奏慢了很多。白天帮家里做点杂事,晚上偶尔刷一两道题。没有比赛倒计时的时候,学习显得没那么刺激,但也更适合补基础。我把之前不会的几道题重新做了一遍,发现第二遍还是会卡,只是这次知道自己卡在哪里。
2026 年 2 月
二月过年,真正打比赛的时间不多。亲戚问我最近在学什么,我想了半天也没解释清楚,只说是在做网络安全比赛。对方点点头,说“那就是防黑客的吧”,我也点点头,觉得这个说法虽然粗糙但也没错。
假期后半段做了一个小练习,把常见加固项整理成清单:账号、权限、端口、日志、备份、敏感文件。写的时候发现很多东西看起来简单,但比赛里一忙就容易漏。清单本身不高级,但能救命。
2026 年 3 月
三月开始恢复比赛节奏。先是打了一场 CTF,Web 题比重比较大,我终于没有像以前那样一上来就乱扫,而是先看功能逻辑和请求关系。虽然最后也不是每题都做出来,但明显比以前稳了一些。
这个月还有一次攻防训练,我负责一部分防守监控。看日志的时候发现几条很可疑的访问路径,顺着时间线回放,基本能看出对面从探测到尝试利用的过程。那天最大的收获是,日志不是比赛结束后才看的东西,它本来就应该参与比赛过程。
2026 年 4 月
四月算是这一年里最忙的一个月。比赛、课程、作业都挤在一起,很多天都是白天处理现实任务,晚上继续补题。一次练习赛里,我们队因为沟通慢了一步,两个方向重复查了半个多小时,最后才发现其实可以合并信息。
不过也有开心的事情。那个月天气开始变暖,有几天傍晚会出去走一圈,回来以后继续写复盘。以前总觉得复盘是任务,现在慢慢觉得它像是在给自己留路标。下次再遇到类似的问题,不至于又从零开始。
2026 年 5 月
五月回头看这一整年,感觉自己没有突然变得很强,但确实比去年更稳了一点。CTF 让我更会拆问题,攻防项目让我更在意资产、证据、协作和闭环,生活里的那些琐碎事情则提醒我,不能一直把自己绷得太紧。
这个月又整理了一次工具和笔记,把常用脚本、比赛记录和加固清单放到一起。翻到去年五月刚写下的那些东西时,能明显看出当时很多想法都很乱。现在也没有多成熟,只是更清楚自己哪里薄弱,也更知道下一步该补什么。
如果要给这一年做个小结,大概就是:打比赛的时候别只盯着分数,做安全的时候别只记得攻击,过日子的时候也别忘了休息。能坚持把每个月的小事记下来,本身就已经算是一种进步了。
