网安牛马的尴尬瞬间......

那是几年前一个夜黑风高的早晨。

熊猫以乙方安全项目经理的身份受邀参加某机关单位的网络安全培训，坐到听众席后，看着投屏上的“钓鱼网络安全演练”，感慨又到了学习的时候了......

培训讲师是个年龄不大的小伙子，看着他眉飞色舞的表情，能看出他对安全工作还保留着质朴的热情，昏昏欲睡中熊猫突然来了学习的兴致。

台上天花乱坠的讲述中，熊猫睡梦中依稀见听到了台上小伙子说：“接下来给大家演示一下微信远程上线RCE漏洞！”。

因为需要给大家做演示，所以这句话声音比较大，所以大家也都给足面子的望向了投影屏幕.......

小伙子说着话就切换出了PPT内容，打开了微信，映入眼帘的是一个叫“***摸鱼大队”的群组，随着小伙子鼠标的不经意滚动......

投屏上微信群内惊现满屏的小日子进口学习资料的表情包（画面过于美丽，熊猫就不找对应的资源了，参考如下姿势即可），应该是培训前小伙子跟群友扯淡的聊天记录，看着投屏现场一片寂静.......

小伙子目中露出茫然，呆若木鸡，他台下那几个领导，原本神色肃然，可这一瞬，都睁大了眼......

可能是领导们学习的资料不够丰富，没有见过表情包中的劲爆剧情，所以在一片茫然的目光中，场面定格了数秒......

小伙子表情：

忠告，培训投屏前尽量把微信退掉，或者屏蔽，再送大家个对联：多健身少浴足，微信少存小黄图~~~

那是一次渗透漏洞危害演示，因为漏洞修复一直推进不下去，开发兄弟们动力低迷，所以BOSS拍板说定个会议室，邀请BigBOOS出面，现场演示漏洞的危害~~

记得当初熊猫是挑了接口未授权、弱口令现场爆破演示、SQL注入漏洞、PHPCGI的RCE漏洞、还有SpringBoot的RCE漏洞，前面几个都进行顺利，各大技术部门Leader表现也有被感化，可是就在最后一个RCE漏洞我反弹shell的时候，发生了一些小状况......

当时场景如下：

熊猫：最后是咱们的这个SpringBoot的RCE漏洞，我给大家演示一下，有些时候大家可能忽视了基础组件的漏洞风险，但是这些漏洞足矣让我在本地终端就能对咱们的核心业务服务器进行管理员操作，我给大家反弹shell演示一下.......

我弹！

我TM再弹！

我TM还弹！

领导们都专注的盯着大屏幕，表示期待........

熊猫内心：WDNMD（西丹麦国家反导系统West Denmark National  Missile Defence），后来才知道，是TM安全同事把这个系统安装上主机安全的agent了，尼玛，只弹走了个鱼尾纹......

忠告，漏洞演示的时候尽量别用正式环境，风险多+变数多，再送大家个对联：漏洞演示用靶机，能不装逼不装逼~~~

前些年有个熟悉的大佬给大学生CTF比赛当裁判长，希望熊猫帮出一个网络溯源的大题，其实熊猫这方面没啥经验，所以就找了个之前参加过比赛的题目，自己修改了一些配置发给他，大佬拉了一个群，群里还有另外几个出题大佬，其中有个大佬在群里疯狂吐槽我们出的题太低能.....

想着都是大佬，技术强脾气大可以理解，劳资忍！

最后，大佬在群里发了个题，菜鸡的我赶紧看看大佬出的题是如何的，结果发现....特么跟我抄的比赛是同一个比赛......甚至连flag都没变~~~不过想了想，既然他想装逼熊猫就不点透了，留点面子。

但是群里其他兄弟不忍了，直接转发了个某公众号的那届WP讲解，@大佬一顿diss......

淦！何必呢，冤冤相报何时了，劳资的题目也在文章里，幸好熊猫当初改了改......

忠告：群里装逼需谨慎，安全不只活一阵~~~

20年参加HW的时候，熊猫以公司名义参加某单位的GHW的研判工作，建了个大群，群主是甲方的项目经理，因为有钱所以基本什么安全设备都不缺，那工作就简单了，开放堡垒机权限和安全设备权限，溯源、出IP、出风险分析报告.......

一切貌似都有序进行，当时项目经理邀请熊猫对公司子单位做一个安全培训，讲到弱口令的时候，线上会议突然有兄弟反馈说咱们子单位的系统应该有几个弱口令，熊猫但是说：“那我们可以赶紧修复一下，不过这么多天没被发现，今天应该也不会那么背，估计咱们抓紧整改应该问题不大”。

然后培训刚结束，群里接到了子单位被弱口令打穿的消息.......

淦.......就这么个小坑，非得往里跳.......下午开会的时候大家都心照不宣的没让我发言......

忠告：HW套路very深，警惕屁砸脚后跟~~~

正在摸鱼时，领导突然出现。