AboutPortfolio

蘇俊銘

  https://jimmysured.github.io/

學歷

國立彰化師範大學-資訊管理學系Sep. 2017 ~ Jun. 2021

國立清華大學-資訊安全研究所Sep. 2021 ~

證照

eJPTApr. 2020 ~

   全名eLearnSecurity Junior Penetration Tester,這張證照考試內容就如同一次實際的滲透測試,準備與考試過程為我後續的滲透測試學習建立非常扎實的基礎考方只給你一段IP和三天時間,讓你滲透測試這段IP裡有什麼機敏資訊,並透過這些機敏資訊後進一步滲透同個IP裡的其他服務以取得整台電腦的控制權。更詳細資訊可參考個人網站。(https://jimmysured.github.io/2020/08/07/ejpt_review/

下面是官方認證在通過這張證照後所擁有的能力:

  • TCP/IP
  • IP routing
  • LAN protocols and devices
  • HTTP and web technologies
  • Essential penetration testing processes and methodologies
  • Basic vulnerability assessment of networks
  • Basic vulnerability assessment of web applications
  • Exploitation with Metasploit
  • Simple web application manual exploitation
  • Basic information gathering and reconnaissance
  • Simple scanning and profiling the target

    圖、eJPT證照 

VHL Certificate of Completion, Dec. 2020 ~ 

    要取得這張證照需要打下20台機器,並繳交詳細的報告內容給工作人員。而這20台機器中有各式各樣的漏洞,需要2~4個漏洞才能成功的打下一台機器,這就意味著需要尋找並使用約至少40個以上的漏洞才能取得這張證照。使用過的漏洞有 Dirty COW、Eternal Blue、LFI、SQL Injection 等,除此之外還有許多軟體如:PHP File Vault、WordPress、Amanda等,需要透過理解軟體的運作模式並找到可以攻擊的漏洞才能將機器打下。  

圖、VHL證照

Side Project

1.Windows AD Labs

    藉由建置 AD Labs 來擴充自己攻擊的廣度,並且當 Windows OS 出現重大的漏洞時可以透過 Labs 來實作 PoC 藉此來更瞭解漏洞。

圖、Windows AD Labs(左為 Domain Controller,右為 User Machine)

    而未來會將 AD Labs 改建為由 Linux Desktop、Windows 10 Pro、RDP Server、PALO ALTO、
PF SENSE 等所組成的更多樣性的 Home Lab 來模擬類似於未來會於工作時遇到的滲透測試目標。

2.RubberDucky

    使用 Digispark Attiny 85 來實作 Hak5 裡的 RubberDucky 的各種功能,如:竊取Wi-Fi密碼、植入後門、KeyLogger、UAC Bypass等。

圖、竊取 Wi-Fi 密碼的程式實作和結果 

3.Wizard Spider

    使用 Side Project 中所建置完成的 AD Labs 來重現 Wizard Spider 所使用過的攻擊技巧
詳細的內容可以參考我放在 Hackmd 上文章(https://hackmd.io/cYBlipcMTE-Ijz6MybgjAw

培訓計畫 & 參與社群

教育部資訊安全人才培育計畫 – 臺灣好厲駭 – 高階培訓模式Sep. 2020 ~ Aug. 2021

  • 金融資安與區塊鏈資安實務課程( Blockchain )

    從基礎區塊鏈為何、如何撰寫智能合約進階DASP Top 10 都有,每堂課程所給與的教材讓我們未來學習區塊鏈時能有非常好的基礎。 

  • 工業與關鍵基礎設施之網路滲透攻擊( SCADA/ICS )

    利用 Modsim scan 模擬 SCADA/ICS 是如何被攻擊的,並且在上課的地方有實體的工控系統,讓我們可以透過撰寫 Python 腳本來模擬駭客是如何攻擊工控系統的。

  • 威脅獵捕演練( Threat Hunting ) 

    從教學 Kibana 開始到實際運用 Kibana 分析一間公司是如何被攻擊者打進公司並放入何種後門,從 Blue Team 的思維思考若今天身為一個攻擊者,要以何種角度避免被鑑識人員找到。

UCCU Hacker-Mini 讀書會Sep. 2020 ~ Jan. 2021

  • Speaker: Dirty COW (CVE-2016-5195)

NEX x HITCON 資安職涯讀書會Apr. 2021 ~ 

行政院國家資通安全網路攻防演練-攻擊手Jun. 2021 ~ Sep. 2021

研習課程

In-Progress

  • OSWP
  • TOTAL:CompTIA A+ (220-1001 & 220-1002)

Pentest

  • Learn Ethical Hacking From Scratch

  • Penetration Testing with Powershell Empire

  • ATTACK IQ Foundations of Operationalizing MITRE ATT&CK

  • Linux Privilege Escalation for Beginners

Infosec Foundation

  • TOTAL:CompTIA Security+ Certification (SY0-501)

CTF

  • 國際資安組織臺灣高峰會 Workshop O1
  • Hacking Weekend: 現代密碼學從01
  • Winter Camp: 逆向工程、PWN
  • Hacking Weekend – 網路滲透測試實務課程
  • MyFirstSecurity Summer Camp
  • AIS3 新型態資安暑期課程 學員

Misc

  • Master Modern Security and Cryptography by Coding Python
  • WSL 2, Docker, Kali Linux and Windows Terminal -
    Get started
  • Vim Masterclass

競賽

2019

  • MyFirstCTF
  • AIS3 pre-exam
  • 金盾獎初賽

2020

  • AIS3 EOF 初賽
  • 榮耀資戰 初賽
  • 神盾盃 初賽

2021

  • AIS3 EOF 初賽
  • T貓盃 亞軍

參與研討會

2019

  • SITCON
  • 臺灣資安大會

2020

  • COSCUP
  • 臺灣資安大會
  • HITCON

2021

  • 臺灣資安大會
Powered by CakeResumePowered by CakeResume