早在几个月前就应该发出来了，但下决心抛弃过去是比较难的。

我确实是娱乐圈黑客；只会水垃圾CVE的废物；祸害安全圈的废物；只会写垃圾水文的废物。

一个废物的离开也不会有什么人关心吧。

去年2021年7月，我刚入门Java安全，在此之前对于Java安全基本不了解，仅有一些大学应有的Java基础开发知识。对于Shiro，Fastjson，CC链等概念完全不懂，从零开始学习Java安全。

今年2022年7月，真正学习Java安全不过一年而已。

作为一个普通本科应届毕业生，我的成果如下：

提交了很多漏洞，从最初鸡肋拒绝服务，到后来其他类型（一些绕过和潜在RCE）漏洞。

通过MITRE表单自行申请的垃圾CVE就不提了，只提官方发布公告的知名组件（Oracle和Apache系列等）漏洞。暂时有9个CVE，以及一些潜在漏洞。部分正在修复的RCE漏洞，可能在年底发布公告，不过那时候我已经不在了。

• Apache Log4j2 CVE-2021-45046 (严重)
• Spring Framework CVE-2022-22950 (中危)
• Oracle Weblogic CVE-2022-21441 (高危)
• Apache Tomcat CVE-2022-29885 (高危)
• Apache Shiro CVE-2022-32532 (高危)
• Oracle Weblogic CVE-2022-21557 (中危)
• Oracle Weblogic CVE-2022-21560 (中危)
• Oracle SOA Suite CVE-2022-21562 (高危)
• Oracle Weblogic CVE-2022-21564 (中危)
• 国内某知名开源组件的漏洞 (已确认但不允许公开)
• Spring Framework 潜在漏洞 (已修复并致谢未给CVE)
• Apache OFBIZ 潜在漏洞 (已修复并致谢未给CVE)
• 几个提交给Oralce正在修复中的漏洞 (多个产品RCE)

总计：21个项目，约5000左右Star

• go-sqlmap：用Golang编写的简易版sqlmap (Star最高约150)

• JSScan：被动分析JS内接口的burp插件 (Star最高约50)

• UAScan：简单的未授权访问扫描的burp插件 (Star最高约100)

• Gososerial：Golang生成Java反序列化Gadget库 (Star最高约150)

• SuperFastjsonScan：一种自动化检测Fastjson的方案 (Star最高约50)

• JSPHorse：利用代码混淆手段的免杀webshell生成器 (Star最高约700)

• ShiroMemShell：Shiro内存马注入和请求头过大的解决 (Star最高约100)

• CodeInspector：重写gadget-inspector以分析辅助挖洞 (Star最高约300

• JSPKiller：基于污点分析和模拟栈帧的webshell检测 (Star最高约200)

• Log4j2Scan：解析RMI和LDAP协议的无害Log4j2检测 (Star最高约300)

• HacLang：自己实现词法分析和语法分析的脚本语言 (Star最高约50)

• JNDIKit：参考JNDIExploit编写的精简版JNDI利用工具 (Star最高约200)

• DoSer：一种辅助挖掘拒绝服务漏洞的字节码分析工具 (Star最高约50)

• ShortPayload：利用字节码特性缩小反序列化Payload (Star最高约200)

• SpringInspector：针对Spring项目的字节码分析工具 (Star最高约350)

• GoBypass：集合公开众多思路的Golang免杀工具 (Star最高约300)

• JavaSecInterview：收集Java安全相关知识点分享 (Star最高约1100)

• FindShell：通过sa-jdi和JavaAgent等方式自动查杀内存马 (Star最高约200)

• Accelerator：通过Golang解析字节码并模拟JVM辅助挖洞 (Star最高约50)

• tomcat-jmxproxy-rce-exp：一种Tomcat的利用手段 (Star最高约200)

• CVE-2022-32532：特殊情况Shiro的权限绕过漏洞环境 (Star最高约100)

一年总计：47篇（按时间顺序：2021-7至2022-7）

• CVE-2017-8046分析（博客，已删除）
• CVE-2017-4971分析（博客，已删除）
• CVE-2016-4977分析（博客，已删除）
• CVE-2018-1271分析（博客，已删除）
• CVE-2018-1270分析（博客，已删除）
• CVE-2018-1273分析（博客，已删除）
• CVE-2020-5405分析（博客，已删除）
• CVE-2020-1957分析（博客，已删除）
• sqlmap源码解读（1）(安全客)
• sqlmap源码解读（2）(安全客)
• sqlmap源码解读（3）(安全客)
• SpringMVC配合Fastjson的内存马利用与分析（安全客）
• CC第7链HashTable触发点深入分析（安全客）
• Golang实现RMI协议自动化检测Fastjson（安全客）
• Fastjson三种利用链对比分析（安全客）
• 在MSSQL中使用CLR组件提权（安全客）
• 二进制角度构造Java反序列化Payload（安全客）
• wafw00f源码浅析（先知）
• 几款小众web指纹识别工具源码分析（先知）
• AST实现代码审计工具之入门案例（先知）
• AST实现代码审计工具之SQL注入（先知）
• 深入分析GadgetInspector核心代码（先知）
• Java自动代码审计工具实现（先知）
• 一处JS反调试引发的思考（先知）
• 浅谈加载字节码相关的Java安全问题（先知）
• 详解Java自动代码审计工具实现（跳跳糖）
• 探索Filter型Tomcat内存马的免杀（先知）
• 某知名Java框架内存马挖掘（补天社区）
• 从一个被Tomcat拒绝的漏洞到特殊内存马（先知）
• 从Spring内存马检测到隐形马（先知）
• 基于污点分析的JSP Webshell检测（先知）
• Apache Log4j2从RCE到RC1绕过（先知）
• 加载恶意字节码Webshell的检测（先知）
• Apache Log4j2拒绝服务漏洞分析（先知）
• 浅谈Log4j2之2.15.0版本RCE（先知）
• 浅谈Log4j2信息泄露与不出网回显（先知）
• 记一次某大学渗透过程（先知）
• 浅谈Log4j2特殊的出网检测方式（先知）
• 终极Java反序列化Payload缩小技术（先知）
• Agent内存马的自动分析与查杀（先知）
• 跟着三梦学Java安全：半自动挖洞（先知）
• 浅谈JSP Webshell进阶免杀（跳跳糖）
• 浅谈Spring框架CVE-2022-22950（先知）
• 反序列化漏洞的防御与拒绝服务（先知）
• Tomcat CVE-2022-29885（博客，已删除）
• 一种Tomcat的利用方式（先知）
• 浅谈Shiro CVE-2022-32532（先知）

总计：950分钟约16小时

• Pikachu靶场通关系列教学视频（共9集130分钟）
• Python安全开发系列教学视频（共12集150分钟）
• 漏洞复现与分析系列教学视频（共10集100分钟）
• 渗透工具源码分析系列教学视频（共2集20分钟）
• Burpsuite插件开发教学视频（共2集30分钟）
• 面试题解析系列教学视频（共5集70分钟）
• 二进制安全系列教学视频（共4集20分钟）
• Shiro利用与内存马教学视频（共2集30分钟）
• CC链分析教学视频（共1集10分钟）
• Fastjson自动化检测教学视频（共2集20分钟）
• Java Webshell免杀系列教学视频（共7集90分钟）
• 安全岗模拟面试辅导视频（共3集150分钟）
• 安全相关杂谈视频（共4集70分钟）
• 其他安全实战视频（共5集60分钟）

你多次嘲讽我写垃圾水文，确实，我承认某些文章含金量不高。但是一年不到，我写了接近50篇原创安全相关的文章。既然你是大佬，一年内写50篇高质量原创文章不是随手就行？

在某群多次嘲讽我只会水垃圾CVE。给你半年时间，来9个Oracle认可的CVE，或者9个Apache知名项目认可的CVE，以你这么多年的Java安全积累和经验，做到这个应该和吃饭喝水一样简单吧？毕竟你是大佬，半年9个CVE这不是随便？

你自称在研究创新技术，搞出来什么有意义的东西了嘛？有什么知名RCE是你挖出来的？哪个核弹是你挖到的？开源了什么影响行业的项目？你搞出了什么技术促进了安全的发展？你这么强，应该有很多成果吧？

给你一年时间，能在Github上获得5000多Star吗？你是大佬，我觉得你可以轻松做到。

你说我在B站做垃圾视频，说我割韭菜？我做B站这三四年以来，没有做过任何付费的东西，粉丝和安全圈朋友都可以证明。所以你在喷我什么？但凡我收过一分钱，你随便喷，可是我有吗？你是大佬，无偿做几十期安全视频给新手们分享可以吗？

行业内知名大佬警告我别闹大，后果我承担不起；崇拜已久的大佬让我忍着；你人脉很广，我惹不起。甚至很多师傅在那件事后拉黑了我，将我踢出了各种安全交流群。

我不敢闹大，我是垃圾废物。如果招惹了你，在安全圈我就混不下去。

你喷我的目的不就是要我离开？大佬们都向着你，在逼迫我离开。

惹不起你，安全圈容不下我，那我退出。

我是垃圾废物吗？

我是。

去年为了一份安全岗实习，拼尽了一切。

在多个平台发了十几次简历，多个群里找内推师傅。

得知面试被拒绝，花一天时间写长文只求一个机会。

我苦苦哀求面试官，只要给我机会，我可以天天加班，甚至可以不要薪资。

而面试官的回复很简单：不可能，不合适。

面试前通宵复习准备，面试后总结反思继续卷，没有一天懈怠。

好友都前往深圳，只有我一人找不到实习孤独在学校，我是垃圾废物。

托关系询问得知：HC充足，拒绝我仅因为我垃圾，太菜。

学到身体崩溃，上吐下泻，晕倒在地，直到住院也没有得到一份实习offer。

住院一个月身体好转后继续开卷，然而校招再次证明我是垃圾废物。

在校招中，拼尽一切也拿不到一个安全岗的offer。

想去的两个公司简历筛选被刷，确实，面试一个垃圾就是在浪费时间。

众多大厂中仅两家给了我面试机会，而我这种废物当然不可能通过了。

得知某部门没有22届校招HC后，我不惜代价申请延毕到23届，希望实习转正。

然而，我连一个实习安全研究的offer都拿不到，确实是垃圾废物。

如果是校招也就罢了，可以安慰自己：校招要求高，可这仅仅是一份实习；

如果HC不够也就罢了，可实际上有着充足的实习HC，没有其他借口；

如果经过四五次面试最终拒绝也就罢了，可以安慰自己运气不好，可我一面就凉了；

如果是二进制安全为主也就罢了，我不擅长，可这是Java安全研究。

自以为擅长Java安全，却拿不到一份Java安全研究实习offer，我就是个笑话。

一面都无法通过，再次证明了我是真垃圾，无论师傅们如何劝说都无法改变我是废物的事实。

我这种垃圾，不配做安全。

在学校，有两次，爬到最高楼层的护栏处，以为已经准备好了。

害怕中夹杂着开心，说不定跳下去我就会穿越。

可我身体在颤抖，就像菜月昴在异世界明知道可以复活也不敢跳下悬崖。

当有一天体验完所有喜欢的东西，陪伴父母老去，也就是我离开世界的时候了。

一个废物的离开，估计也没什么人关心，就当看笑话了。

作为一个应届本科生，我已经拼尽全力努力了：

• 半年内获得9个（以上）来自Apache和Oracle的CVE以及致谢。

• 超过20个共计5000多Star的安全开源项目。

• 大约50篇较高质量（部分水）Java安全研究文章，数十小时安全相关视频的制作。

却连一个安全岗实习offer也拿不到，事实证明我太菜不配做安全。

在退出前，我已经或者即将做的事情：

• 不会再出现4ra1n这个id和标志
• 我将清空自己的博客，但先知社区等平台的文章保留（收了稿费）
• 将会清空Github所有项目（已经关注我的师傅可以取关了）
• 删除安全相关视频（删之前已经发动态给需要的师傅充足时间保存）
• 退出所有安全相关的群（微信和QQ等所有社交平台）
• 删除所有安全圈师傅好友（微信和QQ等所有社交平台）
• 关闭所有软件添加好友的功能
• 注销脉脉、知乎、微博等平台

另外师傅们的博客友链和爬虫等可以删除我了，删除4ra1n相关的一切。

我已下决心抛弃过去的一切，没有留给自己任何后路，这次是真正的离开。

至于离开后做什么，我这垃圾水平什么事也做不了，找个电动车送外卖吧。虽然苦一些，但没什么门槛，一个月也能赚三五千，凑活过日子了，能活一天是一天，等到哪天不想活了，骑车到河边跳下去一切就结束了。

感谢师傅们关心，放心，我不会想不开的，只是离开安全圈，不是离开世界