年龄:20
性别:男
Gmail:baimao3389@gmail.com
学历:大专
blog:https://xz.aliyun.com/u/83539
https://blog.csdn.net/qq_45894840?type=blog
2022年:强网杯全国网络安全挑战赛青年赛优胜奖
2023年:巅峰极客总决赛人才奖
2023年:四川省大学生信息安全技术大赛一等奖
成都市中职院校网络安全线下比赛第一名
四川省成都市川邮·神州数码杯第一名
四川省中职院校网络安全线下比赛第二名
全国中职院校网络安全线下比赛二等奖
中华人民共和国第二届职业技能大赛四川省选拔赛第四名
四川省中职院校创新创业大赛三等奖
2022年:陕西省第二届大学生网络安全技能大赛合作感谢证书
2023年:陕西省第三届大学生网络安全技能大赛合作感谢证书
51CTO博客专家博主证书
国家信息安全一级水平证书
第三届鹏城杯联邦网络靶场协同攻防演练(决赛)优胜奖
四川省职业院校技能大赛 信息安全管理与评估赛项一等奖
2023年一带一路金砖国家技能大赛 企业信息系统安全选拔赛二等奖
CSDN博客专家认证证书
Tryhackme进攻性渗透结业证书
CNNVD原创漏洞高危报送证书 (CNNVD-2023-67443215)
edusrc新疆交通职业学院漏洞报送感谢证书
edusrc广西民族大学漏洞报送感谢证书
edusrc毫州学院漏洞报送感谢证书
edusrc广西中医药大学漏洞报送感谢证书
CVE-2023-26812
CVE-2023-30349
CVE-2023-26813
CNVD-YCGN-202403052995
CNVD-YCGW-202304040127
2023 国际赛 Texas Security Awareness Week 2023 排名 21
2022 DASCTF第23名
2021 国际赛picoctf,排名31
在 cve,补天,cnvd,cnnvd,漏洞盒子等漏洞报送平台上均提交过多个漏洞 单人长期大量参加国内外 ctf 比赛,并获取好的排名
Web、Pwn、逆向、Misc、取证、密码学全栈方向
2023年6月3日-5日:红队项目
职责:根据提供的目标范围,进行业务上线前的全面渗透测试,协助提供相关解决方案。
成果:发现一个高危漏洞,七个中危漏洞,包括 getshell、弱口令、未授权访问、逻辑漏洞等。
2024年1月-2月:深圳某国企渗透项目
职责:对业务上线前进行渗透测试,协助提供解决方案,并输出详细的渗透测试报告。
成果:挖掘多个未授权访问、逻辑漏洞、文件上传 getshell 等漏洞。
2022年7月20日:陕西省第一届大学生网络安全技能大赛
职责:提供高质量的杂项类题目,支撑大赛顺利进行。
2023年7月20日:陕西省第二届大学生网络安全技能大赛
职责:继续为大赛提供高质量的杂项类题目,确保竞赛顺利进行。
2023年6月9日:CTF比赛线下支撑
成果:成功帮助客户进入线下全国总决赛。
2024年3月26日:学校线下渗透测试培训
职责:进行渗透测试培训,提高学员的实际操作能力和安全意识。
2024年4月22日-28日:宁德市渗透项目
职责:业务上线前进行渗透测试,提供解决方案,并输出详细报告。
成果:挖掘未授权漏洞,使用自主开发的新技术木马钓鱼,成功帮助队伍拿到市医院内网入口。
2024年8月4日-9日:广安合川网络攻防项目
职责: 进行渗透测试,提供解决方案,输出详细报告。
成果:挖掘未授权漏洞,进源攻击打开市医院内网入口。
二进制方面:
• 原创木马程序免杀技术,除卡巴斯基外所有杀毒软件均无法检测,且在未来一段时间内仍然有效
• 多次发表二进制安全类的期刊论文
• 多次挖掘路由器栈溢出、堆溢出、RCE 漏洞,熟悉逆向分析技术,复现多个 CVE 漏洞。
• 在国家一级学术期刊《网络安全技术与应用》发表基于 QEMU 完全仿真路由器设备的 IoT 二进制安全研究论文。
• 实战分析过免杀木马,对木马取证有丰富经验。
• 熟悉二进制漏洞挖掘,多次挖掘过iot设备栈溢出,堆溢出,rce漏洞掌握一定的逆向能力,分析过wannacry勒索病毒等恶意程序
• 多次个人复现cve分析过1inux内核源码,对计算机系统底层和操作系统有一定认知详细分析和复现多个cve掌握MISP,Interx86,x64构造ROP链
• 熟悉Linux,windows,MIPS环境下的二进制安全利用
• 熟悉PE,ELF文件结构
• 熟悉ctf出题,多次给ctf大赛提供题目
• 熟练使用 ollydbg、ida、windbg 等二进制安全分析工具。
• 多次在先知社区首页发布技术文章,先知、CSDN 专家博主,拥有 6000+ 粉丝,阅读量超过 36 万。
• 熟悉 FUZZ 工具 AFL++ 的使用及其原理。
• 掌握程序防护与反调试绕过技术,了解基础内网渗透技术。
web安全与应急响应方面:
• 熟悉 sql 注入,xss,csrf,ssrf,rce,文件上传漏洞,任意文件读取与下载,xxe,弱口令,文件包含等 web
漏洞,具有实战经验
• 熟悉 python, bash,c 语言,java,arm 和 x86 编程语言,对 php,汇编,c++,具有代码审计能力
• 熟悉 apache,nginx,jboss,tomcat 等中间件常规漏洞
• 熟悉 parrot,sqlmap,AWVS,burpsuite,nmap,kali,dirsearch,蚁剑等工具与渗透测试环境使用
• 熟悉 cobaltstrike,powershell,mimikatz,msfconsole,NPS 等后渗透工具
• 会制作 badusb,懂得木马免杀技术
• 熟悉无线安全技术,掌握重放,监听等技术
• 掌握 Linux、Windows 应急响应流程,熟悉硬盘备份、进程文件提取、内存镜像闪照、内存取证、日志分析等技术。
• 熟悉计算机取证,包括内存取证、宏病毒提取、恶意软件取证、网络流量分析。
• 分析过 linux 内核源码,对计算机系统底层和操作系统有一定认知详细分析与复现多个 cve
• 熟悉硬盘备份,进程文件提取,内存镜像闪照,内存取证,日志分析等应急响应技术
• 在 hackthebox 平台与 tryhackme 平台打过多次靶机,熟悉渗透测试手段
• 掌握红队打点,进源技术
• 掌握计算机取证:内存取证,宏病毒提取,恶意软件取证,网络流量分析