好久不见，今天想和大家聊聊，我们网安的大多数

大家好，这里是棉花糖，快两周没有更新文章了，今天想和大家聊一个话题：

大多数

熟悉我的朋友都知道，在很长一段时间里，我都很抵触一些东西，比如命令行转GUI，比如exp写成GUI发包，比如现成免杀。

然而这么长时间里，最受大家欢迎的，依然是命令行转GUI、exp写出gui、api转gui以及现成免杀（指的是静态免杀frp一类，后文同），这里没有办法举例子，因为这些非常受欢迎的东西都是圈内出名的“大佬”们写的，起码在我的好友列表中，是有不小的用户的，所以今天的话题如果要用谁举例，也必然是不合适的。

在这个圈子混的时间越长，接触的师傅越多，这个结论就越清晰，不论是红队大佬，还是入门脚本小子，大多数人都只是普通人，大多数人不喜欢高深的技术，不喜欢自己去做更多，只喜欢现成、图形化、一键。比起自己去看命令行如何使用，一目了然的图形化才是大多数人；比起自己学免杀，想办法找个现成的免杀才是大多数人。

其实，很多东西往往只是我们前进一步和呆在原地的区别，我希望更多师傅能愿意往前一步，而不是呆在原地，付出代价让别人送到面前，如果站在原地就可以得到的东西，别人也可以得到，所谓竞争力，就是看谁往前多走了几步。

举个最极端的例子，之前有师傅问我，有没有xxx漏洞的exp，我说xxx漏洞网上已经公开了，自己写个exp就行了，他说他想要的是那那种直接运行就可以的，我说你应该去学一下简单的py或者其他语言，不用花多少时间，简单的exp自己学一点点语法，甚至这年头AI已经可以轻松写出来完善的了，他再没回我。

还有一个大多数，是大多数人都喜欢看“大佬”。

我看过一个议题，大体是rust相关的安全应用，大家都知道其实rust目前还没像py或者go一样深入到圈子里，或许是因为太难了又或许rust实在还是小众，那篇议题我记得是某个比较大的活动，能上这种大活动讲，肯定是大佬吧？大活动+大佬+rust安全应用，是有吸引力的，于是那天我把议题内容下载下来一看，非常多的内容里面找不到一点实际应用，一律是rust的性质、定义，到了末尾，才讲了几句让大家学基础语法和调用发包的库，用rust做发包机去吧......那个议题实则就是人家随便水水，搞知名度又或者完成工作而已....

我是菜鸡，我不好说。

其本质是对“大佬”的盲目追求，希望大家能在遇见“大佬”的时候认真独立思考，清晰判断，这个圈子最大的问题之一就是看谁往前多走了几步，又或者早走了几步，就称之为大佬，比如棉花糖这么多年毫无战绩，毫无技术，从未展示过任何技术栈，但很多师傅却认为棉花糖是技术大佬，不论是开玩笑还是认真的，这总归是不理智的，对谁都保持如此，容易被割韭菜。

今天最后一个大多数，是大多数人都没有自学的能力。

曾几何时，但凡有师傅来问我xxx怎么学，我都会回答，网上找点基础入门教程，学完多看多练即可。

但随着我接触越来越多的人，我发现大多数人是做不到流畅的自学的，无法通过公开的内容学习到东西，无法理解知识与知识之间的关系，我本意是希望大家不去花那个培训钱，但好像大多数人本身就是想找个培训老老实实按部就班学，找个老师给自己讲。

我目前还是不能接受动辄大几千上万的课，就算这些大几千上万的课始终有它的目标用户，但我还是无法接受的，得益于我混娱乐圈这么多年，好多培训我也看过，最终这么多培训里面只有寥寥几个我觉得是对大多数人有价值的。

当然了大几千那种课我就不推荐了......实在太贵了我自己也舍不得报......

推荐两个课程，这两位师傅并没有给我广告费，在写下这篇文章的时候他们也不知情，纯属我个人看法，这也是我第一次在公众号平台第一次有推荐的课程。

首先是知名小朋友的代码审计课，我觉得代码审计这个技能，无论是挖掘黑盒遇到瓶颈，还是本身有意愿往这边发展，再或者想通过技术赚点钱，都是值得我们去学的，正所谓，知其然，也要知其所以然，从代码层面了解漏洞，研究更深层次的东西，对漏洞点理解深刻，这无论是对黑盒还是白盒还是安全本质都会有更好的帮助，就像某红队牛牛说他每次黑盒打进一个点，都会去看看那个点打进去的关键代码是什么。

很多审计培训的内容其实大家自己上网也能学到，但就如之前所说，大多数人还是做不到自学，相比动辄大几千，一样带入门的培训，知名小朋友的培训价格仅一千多，深度也比普通审计课要深一些，主要是同为年轻人，不会高高在上，舍得把自己挖到过的一些比较有价值的0day拿出来讲，分享自己是如何审计的，给学习的人提供照猫画虎的机会，才能逐步进阶，这点很重要，就是更新慢了点.....

大家对代码审计课的期待可能是学完了审天审地、大0day批发，但其实不是的，课程更多的是方法，以及前人经验，一口吃成胖子是不现实的，稳扎稳打，扩大知识面，多看多练，才是根本，哪怕知名小朋友的课程在我看来已经是比较详细，比较具体，也比较舍得分享的课程，但抱着学完审出nginx rce的心态去了解还是不合适。

以下是知名小朋友的课程宣传链接，记得说你是棉花糖推荐的，我们关系还不错，他应该会给你一些优惠。

另一位师傅，是猎洞时刻的A1xxNy，也是很多师傅的老熟人了，我为什么会推荐他的课呢？

今天有师傅这样问我：

那对于他来说，自己找文章，自己去钻研，要花多少时间，更合适的就是直接花点钱找个合适的课程，能够清晰明了的学到现成的经验，达成目的，以前我总是觉得，怎么会有人连xxx都挖不到洞呢？怎么会有人不懂快速收集xxx的姿势呢？，但如今我觉得，一千多块钱的价格能学到经验，走上正确的学习道路，对这一类师傅来讲，其实反而是最合适的。

A1xxNy的课程给我的感觉就是偏向src的杂项入门集合，为什么说是杂项，因为课程内容的涉及面很广，但都只是一个点或者一个小分支，一半是技术，一半是经验，他的课程也无法帮你成为秒天秒地大牛子，但他提供了现成的经验和技巧，和之前说的概念一样，大多数人无法自己通过网上的知识学习，更别提能快速的总结经验找到技巧，而他的课程内容中有很多经验和沉淀之后的产物，这对想要学这些东西，但一脸懵逼的师傅是非常合适的。

下面是他的课程宣传链接：

同样，我们关系还不错，如果你说是棉花糖推荐的，他应该也会给你一些优惠。

以上就是今天的内容了，感谢你的阅读，如果你有更多的问题，本周五也就是4月25日晚上六点，我在视频号直播，等你来聊天。