专业概述

二进制安全与安全研究员,掌握漏洞挖掘(内核/IoT/桌面软件)、免杀对抗、逆向工程及web渗透。累计获得70+张CNVD漏洞证书,拥有多个CVE及AMD官方致谢。2022-2025年斩获国家级/省级竞赛一等奖超15项,自主研发pwnpasi(300+⭐)等开源工具。参与红队评估、国家级攻防演练及企业安全培训,具备攻击溯源与防御加固双域实战经验。

工作经验

安全研究员 / 研发工程师

2024.03 – 至今
四川溯蓉信创科技有限公司
  • 安全研发 & 漏洞挖掘:挖掘AMD等国际大厂漏洞(CVE-2026-0432、AMD-SB-4015),获官方致谢;为公司申请CNNVD三级支撑单位资质及多个产品兼容性认证。
  • 协助多家企业申请CNNVD二级/三级支撑单位资质,提升行业影响力。
  • 在先知、CSDN等平台发布高质量技术文章,累计阅读50w+,提升公司品牌知名度。
  • 参与CTF赛事并取得优异成绩,同时负责企业内外部漏洞修复与培训。

教育背景

计算机网络技术 专科

2023.09 – 2026.06
成都职业技术学院
  • 自学网络安全与二进制方向,在校期间已获数十项国家级/省级竞赛大奖。

荣誉 & 竞赛获奖

🏅 2022强网杯全国网络安全挑战赛青年赛优胜奖 🏅 2022成都市中职院校网络安全线下比赛第一名 🏅 2022四川省川邮·神州数码杯第一名 🏅 2022四川省中职院校网络安全线下比赛第二名 🏅 2022全国中职院校网络安全线下比赛二等奖 🏅 2022中华人民共和国第二届职业技能大赛四川省选拔赛第四名 🏅 2022四川省中职院校创新创业大赛三等奖 🏅 2022陕西省第二届大学生网络安全技能大赛合作感谢证书 🏅 2023巅峰极客总决赛人才奖 🏅 2023四川省大学生信息安全技术大赛一等奖 🏅 2023一带一路金砖国家技能大赛企业信息系统安全选拔赛二等奖 🏅 2023陕西省第三届大学生网络安全技能大赛合作感谢证书 🏅 2023绿盟杯四川省大学生信息安全技术大赛一等奖 🏅 2023第三届鹏城杯联邦网络靶场协同攻防演练决赛优胜奖 🏅 2024四川省一带一路金砖国家技能大赛企业信息系统安全赛项一等奖 🏅 2024四川省职业院校技能大赛信息安全管理与评估赛项一等奖 🏅 2024金砖企业信息系统安全大赛国赛二等奖 🏅 2024安恒杯四川省大学生信息安全技术大赛一等奖 🏅 2025四川省一带一路金砖国家技能大赛企业信息系统安全赛项一等奖 🏅 2025金砖企业信息系统安全大赛国赛二等奖

🌍 国际CTF排名:

Texas Security Awareness Week 2023 全球第21名 2022 DASCTF 第23名 2021 PicoCTF 全球第31名

📜 其他荣誉证书:

CSDN博客专家认证 51CTO博客专家博主 Edusrc 新疆交通职业学院/广西民族大学/毫州学院/广西中医药大学 漏洞报送感谢证书 CNNVD原创漏洞高危报送证书

漏洞挖掘高光

国际厂商致谢
  • AMD官方致谢:CVE-2026-0432、AMD-SB-4015
  • Microsoft漏洞报告:VULN-152076、VULN-151540、VULN-151532
CVE漏洞 (通用漏洞披露)
  • CVE-2025-4272 — 机械革命电脑品牌通用权限提升漏洞
  • CVE-2025-4532 — 向日葵远程控制程序(个人版)通用权限提升漏洞
  • CVE-2025-4539 — ToDesk远程控制程序(个人版)通用权限提升漏洞
  • CVE-2023-30349 — 开源Web应用代码审计远程代码执行漏洞
  • CVE-2023-26813 — 开源Web应用代码审计SQL注入漏洞
CNVD / 通用漏洞 (70+证书)
  • 腾达路由器二进制漏洞 CNVD-YCGN-202403052995
  • 兆龙信息管理系统文件上传漏洞 CNVD-YCGW-202304040127
  • 小皮面板(phpstudy) 通用权限提升0day (user提system,未公开)
  • CNNVD原创高危漏洞报送证书 CNNVD-2023-67443215
  • Edusrc多所高校漏洞报送感谢证书 (新疆交通职业学院、广西民族大学、毫州学院、广西中医药大学)

代表性项目 & 自研工具

pwnpasi (GitHub 300+⭐)

Python · CTF PWN自动化 · ROP链生成
  • 自动化栈溢出/格式化字符串利用,自动绕过PIE/Canary,集成LibcSearcher,支持本地/远程攻击,被众多CTF战队采用。

Self-Defective-Program

免杀技术 · 无API栈溢出攻击
  • 不调用Windows API实现栈溢出,绕过Defender/360/火绒等杀软静态动态检测,具备极高隐蔽性。

ProcDetective

Python · 进程监控/类ProcMon
  • 实时监控进程/文件/注册表/网络,支持多格式输出,用于恶意软件行为分析与系统调试。

自研企业级平台 (未公开)

网络安全靶场 · 网站监测 · 恶意沙箱
  • 网络安全靶场平台: 支持Docker tar一键部署题目,多Flag隔离、AI大模型提示词可插拔,用户独立隔离。
  • 网站监测平台: 资产/可用性/篡改监测,CNNVD漏洞情报集成,钉钉联动告警,合规巡检。
  • 恶意程序沙箱: YARA静态+动态行为监控,30秒自动评分0-30,输出PDF/HTML报告,支持离线部署。

红队 & 渗透实战项目

深圳某国企深度渗透
2024.01 – 2024.02
对企业业务系统进行上线前深度渗透测试,发现未授权访问、逻辑漏洞及文件上传Getshell等高危漏洞,及时输出修复方案,提升系统安全性。
宁德市渗透项目
2024.04.22 – 2024.04.28
针对市级重点业务系统开展渗透测试,利用自研木马钓鱼技术成功获取市医院内网入口权限,挖掘未授权漏洞并协助完成整体安全加固。
广安合川网络攻防项目
2024.08.04 – 2024.08.09
对广安合川区域重点系统开展攻防渗透测试,通过进源攻击手段挖掘多个未授权访问漏洞,成功打开市医院内网入口,提交详细渗透报告与整改方案。
红队项目 (上线前渗透)
2023.06.03 – 2023.06.05
根据目标范围开展业务上线前渗透测试,发现1个高危漏洞和7个中危漏洞(Getshell、弱口令、未授权访问及逻辑漏洞),为目标系统上线提供安全保障。
机关单位线下培训 (两期)
2025.07 – 2025.12
授课内容涵盖病毒分析与行为分析、蠕虫传播机制、恶意代码注入、勒索软件逆向、漏洞利用框架、缓冲区溢出实战、堆漏洞利用、CTF、电子取证及安全攻防,获得客户与学员一致好评。
高校线下渗透测试培训
2024.03.26
面向学生和技术人员开展渗透测试专项培训,涵盖漏洞挖掘、利用及防御技巧,参训人员实操能力显著提高,培训评价优秀。
陕西省大学生网络安全技能大赛 (题目支持)
2022.07 & 2023.07
作为赛事支持团队,连续两年设计并提供高质量的杂项类竞赛题目,保障赛事顺利开展并获得高度认可。
CTF比赛线下支撑
2023.06.09
通过技术支持和策略指导,成功帮助客户进入全国总决赛,提升其网络安全竞技表现。

核心技术深度

全平台逆向 (IDA/Windbg/OllyDbg) 恶意程序样本溯源 BadUSB制作 内存取证/日志分析/应急响应 渗透测试 国家级期刊论文发表 模糊测试(AFL++) / 漏洞挖掘自动化 IoT设备栈/堆溢出利用
所有漏洞致谢、奖项及CVE均可提供证明