Stack Ashes

Stack AshesPersonal blog for notes, articles, and project updates.https://0xfelix.li/Attention Is All You Need 中文精读https://0xfelix.li/posts/2026/attention-is-all-you-need/https://0xfelix.li/posts/2026/attention-is-all-you-need/对 Transformer 论文 Attention Is All You Need 的中文精读：从序列建模问题、缩放点积注意力、多头注意力、位置编码到训练结果和后续影响。Thu, 21 May 2026 16:00:00 GMT大语言模型是如何调用 Tools 的https://0xfelix.li/posts/2026/llm-tool-calling/https://0xfelix.li/posts/2026/llm-tool-calling/深入解析大语言模型的工具调用机制：从 prompt 注入工具描述，到模型输出结构化调用指令，再到运行时执行并回填结果的完整闭环。Sat, 09 May 2026 16:00:00 GMT我的自主本地私有安全LLM设置https://0xfelix.li/posts/2026/%E6%88%91%E7%9A%84%E8%87%AA%E4%B8%BB%E6%9C%AC%E5%9C%B0%E7%A7%81%E6%9C%89%E5%AE%89%E5%85%A8llm%E8%AE%BE%E7%BD%AE/https://0xfelix.li/posts/2026/%E6%88%91%E7%9A%84%E8%87%AA%E4%B8%BB%E6%9C%AC%E5%9C%B0%E7%A7%81%E6%9C%89%E5%AE%89%E5%85%A8llm%E8%AE%BE%E7%BD%AE/特别感谢 Dave、Micah Zoltu、Liraz Siri、Luozhu Zhang、 Ron Turetzky、Tina Zhen、Phil Daian、Hsiao-wei Wang 等人迄今为止提供的帮助和建议。Sun, 05 Apr 2026 16:00:00 GMT免费的开发资源Cloudflarehttps://0xfelix.li/posts/2026/free-dev-resource/https://0xfelix.li/posts/2026/free-dev-resource/Cloudflare免费开发资源汇总：R2对象存储、Pages静态托管、Workers无服务器计算、Tunnel内网穿透等，适合个人开发者零成本建站。Fri, 27 Mar 2026 16:00:00 GMTPython安全检查项https://0xfelix.li/posts/2025/python-security/https://0xfelix.li/posts/2025/python-security/https://snyk.io/blog/python-security-best-practices-cheat-sheet/Fri, 28 Nov 2025 16:00:00 GMTAPI安全检查项https://0xfelix.li/posts/2025/api-security-checklist/https://0xfelix.li/posts/2025/api-security-checklist/JWT（JSON Web Token）Wed, 26 Nov 2025 16:00:00 GMT租房检查checklisthttps://0xfelix.li/posts/2025/rent-house-checklist/https://0xfelix.li/posts/2025/rent-house-checklist/40cm x 30cm x 30cm 小东西Wed, 26 Nov 2025 16:00:00 GMT交易所钱包系统的开发设计https://0xfelix.li/posts/2025/wallet-system-design/https://0xfelix.li/posts/2025/wallet-system-design/钱包设计方案Thu, 18 Sep 2025 16:00:00 GMTText and Typographyhttps://0xfelix.li/posts/2025/text-and-typography/https://0xfelix.li/posts/2025/text-and-typography/Quisque egestas convallis ipsum, ut sollicitudin risus tincidunt a. Maecenas interdum malesuada egestas. Duis consectetur porta risus, sit aThu, 18 Sep 2025 16:00:00 GMT最佳实践输出https://0xfelix.li/posts/2025/best-practice-output/https://0xfelix.li/posts/2025/best-practice-output/this is pythonWed, 17 Sep 2025 16:00:00 GMT5+2 轻断食https://0xfelix.li/posts/2025/intermittent-fasting/https://0xfelix.li/posts/2025/intermittent-fasting/“5+2 轻断食”是一种比较流行的间歇性断食法（Intermittent Fasting, IF），特点是一周 7 天里 5 天正常饮食，2 天轻度限制热量。Tue, 16 Sep 2025 16:00:00 GMThtb-nocturnalhttps://0xfelix.li/posts/2024/htb-nocturnal/https://0xfelix.li/posts/2024/htb-nocturnal/HTB Nocturnal 靶场解题记录Sun, 01 Dec 2024 16:00:00 GMTinfernohttps://0xfelix.li/posts/2024/inferno/https://0xfelix.li/posts/2024/inferno/难度： medium 描述：现实生活中的机器 + CTF。该机器被设计为现实生活（也许不是？），非常适合刚开始渗透测试的新手Sat, 30 Nov 2024 16:00:00 GMT流量分析-数字取证https://0xfelix.li/posts/2024/ftploginenumerationattackanalysis/https://0xfelix.li/posts/2024/ftploginenumerationattackanalysis/Obtain InformationTue, 26 Nov 2024 16:00:00 GMT流量分析-数字取证https://0xfelix.li/posts/2024/network-packet-captures/https://0xfelix.li/posts/2024/network-packet-captures/取证工具 wireshark 流量包 2024 part 4.pcapTue, 26 Nov 2024 16:00:00 GMTthm-otfhttps://0xfelix.li/posts/2024/yotf/https://0xfelix.li/posts/2024/yotf/难度： hard 描述：千万别小看狡猾的老狐狸...... 你能躲过狡猾的狐狸吗？Mon, 25 Nov 2024 16:00:00 GMTAlerthttps://0xfelix.li/posts/2024/alert/https://0xfelix.li/posts/2024/alert/难度： Easy 描述：Sat, 23 Nov 2024 16:00:00 GMTthm-dailybuglehttps://0xfelix.li/posts/2024/dailybugle/https://0xfelix.li/posts/2024/dailybugle/难度： hard 描述： sql注入到webshell 到提权的经典案例Sat, 23 Nov 2024 16:00:00 GMTTHM-internalhttps://0xfelix.li/posts/2024/internal/https://0xfelix.li/posts/2024/internal/难度： hard 描述：渗透测试挑战您被分配到一个客户，该客户希望在三周内将环境发布到生产环境中进行渗透测试。Fri, 22 Nov 2024 16:00:00 GMTTHM-bookstoreochttps://0xfelix.li/posts/2024/bookstoreoc/https://0xfelix.li/posts/2024/bookstoreoc/难度：中描述：具有基本 Web 枚举和 REST API 模糊测试的初级框。 Bookstore 是一台 boot2root CTF 机器，它教初学者渗透测试人员基本的 Web 枚举和 REST API 模糊测试Thu, 21 Nov 2024 16:00:00 GMTTHB-Axlle-域内邮件钓鱼到系统权限提升的渗透实践https://0xfelix.li/posts/2024/axlle/https://0xfelix.li/posts/2024/axlle/难度：Hard 描述：通过邮件钓鱼突破边界，最终实现域内渗透的靶场练习Thu, 21 Nov 2024 16:00:00 GMTTHM-wreathhttps://0xfelix.li/posts/2024/wreath/https://0xfelix.li/posts/2024/wreath/难度：描述：了解如何通过入侵面向公众的 Web 计算机并通过隧道传输您的流量以访问 Wreath 网络中的其他计算机来通过网络进行转换Wed, 20 Nov 2024 16:00:00 GMTanonymoushttps://0xfelix.li/posts/2024/anonymous/https://0xfelix.li/posts/2024/anonymous/尝试获取两个标志！扎根机器并证明您对基础知识的理解！这是一个面向初学者的虚拟机。获取这两个标志需要一些 Linux 和权限提升方法的基本知识。Tue, 19 Nov 2024 16:00:00 GMTdogcathttps://0xfelix.li/posts/2024/dogcat/https://0xfelix.li/posts/2024/dogcat/难度：中描述：我创建了一个网站，您可以在其中查看狗和/或猫的照片！通过 LFI 利用 PHP 应用程序并突破 Docker 容器。Tue, 19 Nov 2024 16:00:00 GMTtex2shellhttps://0xfelix.li/posts/2024/text2shell/https://0xfelix.li/posts/2024/text2shell/Java Spring 里面里面的javascript rce?Tue, 19 Nov 2024 16:00:00 GMTthm-ra-windows域主机的入侵流程https://0xfelix.li/posts/2024/ra/https://0xfelix.li/posts/2024/ra/下一步是拿起他们的皇冠上的明珠，获得对他们内部网络的完全访问权限。您已经发现了一台新的 Windows 机器，它可能会引导您实现最终目标。你能征服这个最终 Boss 并拥有他们的内部网络吗？Mon, 18 Nov 2024 16:00:00 GMTwhyhackmehttps://0xfelix.li/posts/2024/whyhackme/https://0xfelix.li/posts/2024/whyhackme/ftp anenomousMon, 18 Nov 2024 16:00:00 GMT未授权用户文件上传漏洞https://0xfelix.li/posts/2024/%E6%9C%AA%E6%8E%88%E6%9D%83%E7%94%A8%E6%88%B7%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E/https://0xfelix.li/posts/2024/%E6%9C%AA%E6%8E%88%E6%9D%83%E7%94%A8%E6%88%B7%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E/简要描述漏洞的核心问题，包括影响范围和潜在后果。Mon, 18 Nov 2024 16:00:00 GMTGoldenEyehttps://0xfelix.li/posts/2024/goldeneye/https://0xfelix.li/posts/2024/goldeneye/信息泄露 BorisSun, 17 Nov 2024 16:00:00 GMTlanternhttps://0xfelix.li/posts/2024/lantern/https://0xfelix.li/posts/2024/lantern/https://racc0x.github.io/posts/lantern/ box-infoSun, 17 Nov 2024 16:00:00 GMT枚举在渗透测试中的常见应用https://0xfelix.li/posts/2024/vulnnetendgame/https://0xfelix.li/posts/2024/vulnnetendgame/目标: http://vulnnet.thm/ 10.10.39.63Sun, 17 Nov 2024 16:00:00 GMTgatekeeper-thmhttps://0xfelix.li/posts/2024/gatekeeper/https://0xfelix.li/posts/2024/gatekeeper/smb信息枚举Sat, 16 Nov 2024 16:00:00 GMTTHM-https://0xfelix.li/posts/2024/thm-nax/https://0xfelix.li/posts/2024/thm-nax/难度：描述：Sat, 16 Nov 2024 16:00:00 GMTbreakmehttps://0xfelix.li/posts/2024/breakme/https://0xfelix.li/posts/2024/breakme/目标IP: 10.10.227.21 本机IP：10.17.5.121Fri, 15 Nov 2024 16:00:00 GMTchess-ctfhttps://0xfelix.li/posts/2024/chess/https://0xfelix.li/posts/2024/chess/居多端口查看80Fri, 15 Nov 2024 16:00:00 GMTcreative-thmhttps://0xfelix.li/posts/2024/creative/https://0xfelix.li/posts/2024/creative/写入host http://creative.thm/Fri, 15 Nov 2024 16:00:00 GMTnahamstorehttps://0xfelix.li/posts/2024/nahamstore/https://0xfelix.li/posts/2024/nahamstore/NahamStore 的创建是为了测试您通过 NahamSec 的“漏洞赏金狩猎和 Web 应用程序黑客简介”Udemy 课程所学到的知识。部署机器，获得 IP 地址后，请继续下一步！Fri, 15 Nov 2024 16:00:00 GMTrelevant-thmhttps://0xfelix.li/posts/2024/relevant/https://0xfelix.li/posts/2024/relevant/您已被分配到一个需要渗透测试的客户在应在 7 天后发布到生产环境的环境中执行。Fri, 15 Nov 2024 16:00:00 GMTroadhttps://0xfelix.li/posts/2024/road/https://0xfelix.li/posts/2024/road/有个重置用户的密码处Fri, 15 Nov 2024 16:00:00 GMTtomghosthttps://0xfelix.li/posts/2024/tomghost/https://0xfelix.li/posts/2024/tomghost/进一步进行版本探测Fri, 15 Nov 2024 16:00:00 GMTU.A. High School·https://0xfelix.li/posts/2024/u-a-high-school/https://0xfelix.li/posts/2024/u-a-high-school/403 bypass?Fri, 15 Nov 2024 16:00:00 GMTRCE的获取shellhttps://0xfelix.li/posts/2024/athena/https://0xfelix.li/posts/2024/athena/涉及到的知识点 commix https://github.com/commixproject/commix 对于代码执行进行测试Thu, 14 Nov 2024 16:00:00 GMTLinux 权限提升https://0xfelix.li/posts/2024/linprivesc/https://0xfelix.li/posts/2024/linprivesc/https://www.cnblogs.com/Hekeats-L/p/16867299.htmlThu, 14 Nov 2024 16:00:00 GMTUniversityhttps://0xfelix.li/posts/2024/hackthebox-university/https://0xfelix.li/posts/2024/hackthebox-university/本机ip: 10.10.16.18 目标ip: 10.10.11.39Wed, 13 Nov 2024 16:00:00 GMT不安全的反序列化https://0xfelix.li/posts/2024/insecuredeserialisation/https://0xfelix.li/posts/2024/insecuredeserialisation/难度：描述：Wed, 13 Nov 2024 16:00:00 GMT胡思乱想https://0xfelix.li/posts/2024/%E8%83%A1%E6%80%9D%E4%B9%B1%E6%83%B3/https://0xfelix.li/posts/2024/%E8%83%A1%E6%80%9D%E4%B9%B1%E6%83%B3/在历史长河中人类就近扮演者什么样的角色, 造物者? 毁灭者? 亦或者是一粒尘埃? 人生不过五六十年, 何必非要在不喜欢的事情上堵上自己的一生.人类最终的归途都是走向灭亡. 超过三代你在世界上的痕迹便不存在了.Wed, 13 Nov 2024 13:49:25 GMT高级 SQL 注入https://0xfelix.li/posts/2024/advancedsqlinjection/https://0xfelix.li/posts/2024/advancedsqlinjection/SQL 注入仍然是 Web 应用程序最严重和最广泛的安全漏洞之一。当攻击者利用 Web 应用程序执行任意 SQL 查询的能力，导致未经授权访问数据库、数据泄露、数据操纵，甚至完全控制应用程序时，就会出现这种威胁。在这个房间里，我们将了解高级 SQL 注入技术，全面了解复杂的攻击向Tue, 12 Nov 2024 16:00:00 GMTMimikatzwindwos凭证获取https://0xfelix.li/posts/2024/mimikatz/https://0xfelix.li/posts/2024/mimikatz/Mimikatz 是一个开源的、功能强大的安全工具，广泛用于渗透测试和网络安全审计。由 Benjamin Delpy 开发，它的主要功能是提取 Windows 系统中的用户凭证，包括密码、哈希、PIN 等。Mimikatz 通常用于模拟真实攻击以验证系统的安全性，并协助管理员理解Mon, 11 Nov 2024 16:00:00 GMT智能合约的问和答https://0xfelix.li/posts/2024/smart_contract/https://0xfelix.li/posts/2024/smart_contract/你提到的关于智能合约在投票系统中的可信性问题，确实是一个非常关键的讨论点，特别是智能合约在这种关键场景下的可靠性和公正性。Mon, 11 Nov 2024 16:00:00 GMT集群级别的最佳 Kubernetes 安全实践。https://0xfelix.li/posts/2024/k8sbestsecuritypractices/https://0xfelix.li/posts/2024/k8sbestsecuritypractices/难度： hard 描述：集群级别的最佳 Kubernetes 安全实践。这个房间适合所有有抱负的 DevSecOps 工程师和花时间学习该工具基础知识的 Kubernetes 爱好者。它适用于了解该工具、其工作原理以及构建安全 Kubernetes 集群时要采取的初始步骤的人。Sun, 10 Nov 2024 16:00:00 GMTLLM攻击https://0xfelix.li/posts/2024/llm-attack/https://0xfelix.li/posts/2024/llm-attack/大型语言模型（LLM）是一种 AI 算法，可以处理用户输入并通过预测单词序列来创建合理的响应。他们在巨大的半公开数据集上接受训练，使用机器学习来分析语言的各个组成部分如何组合在一起。 LLM 通常提供一个聊天界面来接受用户输入，称为提示。允许的输入部分由 input valiSat, 09 Nov 2024 16:00:00 GMT敏感信息泄露https://0xfelix.li/posts/2024/%E6%95%8F%E6%84%9F%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2/https://0xfelix.li/posts/2024/%E6%95%8F%E6%84%9F%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2/GitHub敏感信息搜索关键词速查表，包含API密钥、数据库凭证、配置文件等常见泄露类型的搜索语法。Sat, 09 Nov 2024 16:00:00 GMTre入门https://0xfelix.li/posts/2024/buuoj-easy-re/https://0xfelix.li/posts/2024/buuoj-easy-re/IDA Pro是一款逆向工程工具，可以用来分析二进制文件，它可以将二进制文件转换成汇编代码，方便我们进行逆向分析。IDA Pro是一款非常强大的逆向工程工具，但是它的学习曲线也比较陡峭，所以我们需要一些基础的知识来帮助我们学习IDA Pro。 ===Fri, 08 Nov 2024 16:00:00 GMTFrida的一些模板和配置及一些场景目录和问题记录https://0xfelix.li/posts/2024/frida-template/https://0xfelix.li/posts/2024/frida-template/有这样一个场景打开闪退所以需要frida进行自启动appThu, 07 Nov 2024 16:00:00 GMT网络代理https://0xfelix.li/posts/2024/%E7%BD%91%E7%BB%9C%E4%BB%A3%E7%90%86/https://0xfelix.li/posts/2024/%E7%BD%91%E7%BB%9C%E4%BB%A3%E7%90%86/主机1可以访问 10.10.11.29:80 但是主机2访问不到，主机2可以访问到主机1的ipThu, 07 Nov 2024 16:00:00 GMTVue使用指南https://0xfelix.li/posts/2024/vue-cook/https://0xfelix.li/posts/2024/vue-cook/Vue.js 是一个流行的 JavaScript 框架，用于构建现代的交互式 Web 应用程序。它提供了一种简单而灵活的方式来创建用户界面，使开发者能够轻松地构建复杂的单页面应用（SPA）和动态网页。Vue.js 的核心库只关注视图层，因此它易于集成到现有项目中，并且可以与其他库Thu, 07 Nov 2024 16:00:00 GMT网络安全打靶总结https://0xfelix.li/posts/2024/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E6%89%93%E9%9D%B6%E6%80%BB%E7%BB%93/https://0xfelix.li/posts/2024/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E6%89%93%E9%9D%B6%E6%80%BB%E7%BB%93/这里重要练习的靶场有:Wed, 16 Oct 2024 16:00:00 GMTMonitorsThreehttps://0xfelix.li/posts/2024/htb-monitorsthree-writeup/https://0xfelix.li/posts/2024/htb-monitorsthree-writeup/查找ssh passwdSat, 28 Sep 2024 16:00:00 GMTWeb中间件-Tomcat9-CVE-2020-1938https://0xfelix.li/posts/2024/cve-2020-1938/https://0xfelix.li/posts/2024/cve-2020-1938/tomcat默认的conf/server.xml中配置了2个Connector，一个为8080的对外提供的HTTP协议端口，另外一个就是默认的8009 AJP协议端口，两个端口默认均监听在外网ip。Thu, 26 Sep 2024 16:00:00 GMTsolr 代码执行 (CVE-2019-12409)https://0xfelix.li/posts/2024/solr-cve-2019-12409/https://0xfelix.li/posts/2024/solr-cve-2019-12409/Java ManagementExtensions（JMX）是一种Java技术，为管理和监视应用程序、系统对象、设备（如打印机）和面向服务的网络提供相应的工具。JMX 作为 Java的一种Bean管理机制，如果JMX服务端口暴露，那么远程攻击者可以让该服务器远程加载恶意的BeanWed, 25 Sep 2024 16:00:00 GMTAPACHE_CVE-2021-40438-SSRF漏洞分析复现https://0xfelix.li/posts/2024/apache_cve-2021-40438-ssrf%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E5%A4%8D%E7%8E%B0/https://0xfelix.li/posts/2024/apache_cve-2021-40438-ssrf%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E5%A4%8D%E7%8E%B0/使用字符串文法来表示多种含义的方式通常暗藏一些漏洞，比如这里，进入这个if语句需要满足三个条件：Tue, 24 Sep 2024 16:00:00 GMTHTB-captionhttps://0xfelix.li/posts/2024/caption/https://0xfelix.li/posts/2024/caption/http://10.10.11.33:8080/admin/dbviewerFri, 20 Sep 2024 16:00:00 GMT应急响应https://0xfelix.li/posts/2024/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/https://0xfelix.li/posts/2024/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/攻防演练是指模拟真实的网络攻击事件，对网络安全防御能力进行检验和提升的一种训练活动。攻防演练的目的是检验网络安全防御体系的有效性，发现安全漏洞，提高网络安全防御能力。攻防演练的主要内容包括网络攻击、网络防御、网络监控、网络溯源等。Wed, 18 Sep 2024 16:00:00 GMTwindows基础-NTFS 与共享权限https://0xfelix.li/posts/2024/windows%E5%9F%BA%E7%A1%80/https://0xfelix.li/posts/2024/windows%E5%9F%BA%E7%A1%80/Microsoft 在使用 Windows 的桌面操作系统上拥有超过 70% 的全球市场份额。这解释了为什么大多数恶意软件作者选择为 Windows 编写恶意软件，以及为什么许多人认为 Windows 不如其他操作系统安全。从商业角度来看，恶意软件作者花费资源编写 WindowsTue, 17 Sep 2024 16:00:00 GMTHTTP基础https://0xfelix.li/posts/2024/http%E5%9F%BA%E7%A1%80/https://0xfelix.li/posts/2024/http%E5%9F%BA%E7%A1%80/今天，我们使用的大多数应用程序（包括 Web 和移动应用程序）都不断与 Internet 交互。大多数 Internet 通信都是通过 HTTP 协议通过 Web 请求进行的。HTTP 是用于访问万维网资源的应用程序级协议。该术语代表包含指向其他资源的链接的文本和读者可以轻松解释Sun, 15 Sep 2024 16:00:00 GMT学会SSH端口转发https://0xfelix.li/posts/2024/%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91/https://0xfelix.li/posts/2024/%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91/本地端口转发(Local Port Forwarding) ， :logbook: CLOCK: [2024-09-13 Fri 11:06:21]--[2024-09-13 Fri 11:06:22] = 00:00:01 CLOCK: [2024-09-13 Fri 11:0Thu, 12 Sep 2024 16:00:00 GMT渗透测试https://0xfelix.li/posts/2024/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/https://0xfelix.li/posts/2024/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/信息安全（infosec）是一个广阔的领域。该领域在过去几年中取得了长足的发展和发展。它提供许多专业，包括但不限于：Wed, 11 Sep 2024 16:00:00 GMT安全运营思维导图https://0xfelix.li/posts/2024/%E5%AE%89%E5%85%A8%E8%BF%90%E8%90%A5/https://0xfelix.li/posts/2024/%E5%AE%89%E5%85%A8%E8%BF%90%E8%90%A5/以下是对文档《安全运营之路》的总结：Mon, 09 Sep 2024 16:00:00 GMT网络安全面试题https://0xfelix.li/posts/2024/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E9%9D%A2%E8%AF%95%E9%A2%98/https://0xfelix.li/posts/2024/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E9%9D%A2%E8%AF%95%E9%A2%98/网络安全面试常见问题汇总，涵盖漏洞原理、渗透测试思路、WAF绕过、系统提权、工具使用等核心知识点。Mon, 09 Sep 2024 16:00:00 GMT态势感知安全检测https://0xfelix.li/posts/2024/%E6%80%81%E5%8A%BF%E6%84%9F%E7%9F%A5%E5%AE%89%E5%85%A8%E6%A3%80%E6%B5%8B/https://0xfelix.li/posts/2024/%E6%80%81%E5%8A%BF%E6%84%9F%E7%9F%A5%E5%AE%89%E5%85%A8%E6%A3%80%E6%B5%8B/该文档中提到的具体措施包括：Sat, 07 Sep 2024 16:00:00 GMT绕过下一代防火墙https://0xfelix.li/posts/2024/bypassthenextfirewall/https://0xfelix.li/posts/2024/bypassthenextfirewall/防火墙是网络安全的关键部分，它充当受信任的内部网络和不受信任的外部网络（如 Internet）之间的屏障。根据预定义的安全规则监控和控制传入和传出的网络流量。Wed, 04 Sep 2024 16:00:00 GMTCVE-2021-44228https://0xfelix.li/posts/2024/cve-2021-44228/https://0xfelix.li/posts/2024/cve-2021-44228/该漏洞的主要原因是log4j在日志输出中，未对字符合法性进行严格的限制，执行了JNDI协议加载的远程恶意脚本，从而造成RCE。这里面有一个关键点就是，什么是JNDI,为什么JNDI可以造成RCETue, 03 Sep 2024 16:00:00 GMTCISCN2021总决赛babypythonhttps://0xfelix.li/posts/2024/ciscn2021-%E6%80%BB%E5%86%B3%E8%B5%9Bbabypython/https://0xfelix.li/posts/2024/ciscn2021-%E6%80%BB%E5%86%B3%E8%B5%9Bbabypython/伪造session，获取flagTue, 03 Sep 2024 16:00:00 GMTBurpSuite指南https://0xfelix.li/posts/2024/burpsuite-%E6%8C%87%E5%8D%97/https://0xfelix.li/posts/2024/burpsuite-%E6%8C%87%E5%8D%97/BurpSuitePro.vmoptionsMon, 02 Sep 2024 16:00:00 GMT成为赏金猎人的第一步https://0xfelix.li/posts/2024/%E6%88%90%E4%B8%BA%E8%B5%8F%E9%87%91%E7%8C%8E%E4%BA%BA%E7%9A%84%E7%AC%AC%E4%B8%80%E6%AD%A5/https://0xfelix.li/posts/2024/%E6%88%90%E4%B8%BA%E8%B5%8F%E9%87%91%E7%8C%8E%E4%BA%BA%E7%9A%84%E7%AC%AC%E4%B8%80%E6%AD%A5/欢迎来到惊心动魄的漏洞赏金狩猎世界 - 在这里，发现软件中的故障不仅是一种爱好，而且是通往潜在财富和认可的门户！想象一下，成为一名数字侦探，解开大多数人甚至不会注意到的谜团，并因此获得奖励。在本指南中，我们将揭示漏洞赏金猎杀的基础知识，逐步演练如何挖掘常见漏洞，并分享一些不错的资Mon, 02 Sep 2024 16:00:00 GMTfilter设计缺陷导致的权限绕过https://0xfelix.li/posts/2024/xctf-filter%E8%AE%BE%E8%AE%A1%E7%BC%BA%E9%99%B7%E5%AF%BC%E8%87%B4%E7%9A%84%E6%9D%83%E9%99%90%E7%BB%95%E8%BF%87/https://0xfelix.li/posts/2024/xctf-filter%E8%AE%BE%E8%AE%A1%E7%BC%BA%E9%99%B7%E5%AF%BC%E8%87%B4%E7%9A%84%E6%9D%83%E9%99%90%E7%BB%95%E8%BF%87/通过路径穿越绕过Java Filter权限校验，利用URL中的../实现未授权访问受保护资源。Wed, 28 Aug 2024 16:00:00 GMT基线检查表https://0xfelix.li/posts/2024/%E5%9F%BA%E7%BA%BF%E6%A3%80%E6%9F%A5%E8%A1%A8/https://0xfelix.li/posts/2024/%E5%9F%BA%E7%BA%BF%E6%A3%80%E6%9F%A5%E8%A1%A8/防火墙策略调研表Sun, 11 Aug 2024 16:00:00 GMTCISCN Web unzip writeuphttps://0xfelix.li/posts/2024/ciscn-web-unzip/https://0xfelix.li/posts/2024/ciscn-web-unzip/ln -s var/www/html linkTue, 06 Aug 2024 16:00:00 GMTCode_devhttps://0xfelix.li/posts/2024/code-dev/https://0xfelix.li/posts/2024/code-dev/1 、身份认证安全 1.1、暴力破解在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。简单的验证码爆破。Sun, 04 Aug 2024 16:00:00 GMT混合加密https://0xfelix.li/posts/2024/for-trust-performance/https://0xfelix.li/posts/2024/for-trust-performance/我们喜欢公钥加密。它使我们能够安全地交换机密并对数据进行数字签名。但是，在实际加密大量数据时，它并不那么有效。Sat, 03 Aug 2024 16:00:00 GMTV&N2020-公开赛CHECKINhttps://0xfelix.li/posts/2024/ctf-2020%E5%85%AC%E5%BC%80%E8%B5%9Bcheckin/https://0xfelix.li/posts/2024/ctf-2020%E5%85%AC%E5%BC%80%E8%B5%9Bcheckin/拿到一个linux labFri, 02 Aug 2024 16:00:00 GMThackthebox-IClean-walkthroughhttps://0xfelix.li/posts/2024/hack-the-box-iclean/https://0xfelix.li/posts/2024/hack-the-box-iclean/IClean 获取flag ===Thu, 01 Aug 2024 16:00:00 GMTjava-unserializehttps://0xfelix.li/posts/2024/java-unserialize/https://0xfelix.li/posts/2024/java-unserialize/https://vulhub.org/ /environments/fastjson/1.2.24-rce/Wed, 31 Jul 2024 16:00:00 GMT什么是SSL证书https://0xfelix.li/posts/2024/whatissslcert/https://0xfelix.li/posts/2024/whatissslcert/SSL（安全套接字层）以及此协议的升级版本，称为TLS（传输层安全性），是一种构建加密Web 浏览器和服务器之间的连接。Tue, 30 Jul 2024 16:00:00 GMT业务逻辑漏洞的挖掘https://0xfelix.li/posts/2024/bussiness_logic_bug/https://0xfelix.li/posts/2024/bussiness_logic_bug/1 、身份认证安全 1.1、暴力破解在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。简单的验证码爆破。Sun, 28 Jul 2024 16:00:00 GMT文件包含https://0xfelix.li/posts/2024/%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB/https://0xfelix.li/posts/2024/%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB/CTF文件包含Sun, 28 Jul 2024 16:00:00 GMThackthebox-GreenHornhttps://0xfelix.li/posts/2024/hackthebox-greenhorn/https://0xfelix.li/posts/2024/hackthebox-greenhorn/hackthebox-GreenHornSat, 27 Jul 2024 16:00:00 GMTLLM与0day安全https://0xfelix.li/posts/2024/weixin-passage/https://0xfelix.li/posts/2024/weixin-passage/基于大型语言模型（LLM）的代理能力越来越强，现在可以解决像解决现实世界的 GitHub 问题一样复杂的任务。随着这些 AI 代理能力的增加，它们用于恶意应用程序（例如网络安全黑客攻击）的潜力也在增加。事实上，我们实验室的研究表明，当给出漏洞的描述（一天设置）时，人工智能代理Sat, 27 Jul 2024 16:00:00 GMThackthebox_unified解题https://0xfelix.li/posts/2024/hackthebox-unified/https://0xfelix.li/posts/2024/hackthebox-unified/hackthebox unified解题思路Sat, 27 Jul 2024 16:00:00 GMTbuuoj-强网杯-2019https://0xfelix.li/posts/2024/buuoj-%E5%BC%BA%E7%BD%91%E6%9D%AF-2019/https://0xfelix.li/posts/2024/buuoj-%E5%BC%BA%E7%BD%91%E6%9D%AF-2019/[强网杯 2019]高明的黑客 =======Thu, 25 Jul 2024 16:00:00 GMTCTFShow_web10https://0xfelix.li/posts/2024/ctfshow-web10/https://0xfelix.li/posts/2024/ctfshow-web10/玩玩web ===Thu, 25 Jul 2024 16:00:00 GMTCTFShow Web9https://0xfelix.li/posts/2024/ctfshow-web9/https://0xfelix.li/posts/2024/ctfshow-web9/没事打打CTF 也是一种乐趣，这里记录一下一些Web方向的题目，以及解题思路。Wed, 24 Jul 2024 16:00:00 GMTCTFShow Webhttps://0xfelix.li/posts/2024/ctfshow-web/https://0xfelix.li/posts/2024/ctfshow-web/没事打打CTF 也是一种乐趣，这里记录一下一些Web方向的题目，以及解题思路。Tue, 23 Jul 2024 16:00:00 GMTisinstanccehttps://0xfelix.li/posts/2024/isinstance/https://0xfelix.li/posts/2024/isinstance/isinstance 是 Python 编程语言中的一个内置函数，它用于检查一个对象是否是指定类或者是该类所定义的类的实例。Sat, 30 Mar 2024 16:00:00 GMT如何理解python中的异步https://0xfelix.li/posts/2024/%E5%A6%82%E4%BD%95%E7%90%86%E8%A7%A3python%E4%B8%AD%E7%9A%84%E5%BC%82%E6%AD%A5/https://0xfelix.li/posts/2024/%E5%A6%82%E4%BD%95%E7%90%86%E8%A7%A3python%E4%B8%AD%E7%9A%84%E5%BC%82%E6%AD%A5/在等待上一个任务完成之前，下一个任务无法开始，这就是阻塞，我需要上一个程序的值或者释放资源，Thu, 21 Mar 2024 16:00:00 GMTKeep Healthy and Optimisichttps://0xfelix.li/posts/2024/keep-healthy-and-optimisic/https://0xfelix.li/posts/2024/keep-healthy-and-optimisic/how to keep healthy and optimisicWed, 13 Mar 2024 16:00:00 GMTSome Books for CShttps://0xfelix.li/posts/2024/some-books-for-cs/https://0xfelix.li/posts/2024/some-books-for-cs/一些开源书籍，供大家学习使用。建议支持正版。Mon, 04 Mar 2024 16:00:00 GMT八股文https://0xfelix.li/posts/2024/%E5%85%AB%E8%82%A1%E6%96%87/https://0xfelix.li/posts/2024/%E5%85%AB%E8%82%A1%E6%96%87/title: 八股文 categories: [resource, CS] tags: [Interview]Mon, 04 Mar 2024 16:00:00 GMTCVE-2022-24112https://0xfelix.li/posts/2024/cve-2022-24112/https://0xfelix.li/posts/2024/cve-2022-24112/Apache Apisix是美国阿帕奇（Apache）基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现，具备动态路由和插件热加载，适合微服务体系下的 API 管理。 Apache APISIX中存在远程代码执行漏洞，该漏洞源于产品的bSun, 03 Mar 2024 16:00:00 GMTCVE-2014-3529https://0xfelix.li/posts/2024/cve-2014-3529/https://0xfelix.li/posts/2024/cve-2014-3529/必须要公网IP,目标主机可以访问到你的机器给你发送数据Sat, 02 Mar 2024 16:00:00 GMTCVE-2022-30887https://0xfelix.li/posts/2024/cve-2022-30887/https://0xfelix.li/posts/2024/cve-2022-30887/多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口，客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库，并根据到期、产品等各种参数提供各种报告。该CMS中php action/editProduFri, 01 Mar 2024 16:00:00 GMTCVE-2023-27372https://0xfelix.li/posts/2024/cve-2023-27372/https://0xfelix.li/posts/2024/cve-2023-27372/SPIP Cms v4.2.1之前版本允许通过公共区域中的表单值远程执行代码，因为序列化处理不当。Thu, 29 Feb 2024 16:00:00 GMTsum of two numbershttps://0xfelix.li/posts/2024/twosum/https://0xfelix.li/posts/2024/twosum/leetcode 1. 两数之和Tue, 27 Feb 2024 16:00:00 GMTCVE-2013-2134https://0xfelix.li/posts/2024/cve-2013-2134/https://0xfelix.li/posts/2024/cve-2013-2134/如果在配置 Action 中 Result 时使用了重定向类型，并且还使用 ${param name} 作为重定向变量，例如：Tue, 20 Feb 2024 16:00:00 GMTCVE-2022-32991https://0xfelix.li/posts/2024/cve-2022-32991/https://0xfelix.li/posts/2024/cve-2022-32991/该CMS的welcome.php中存在SQL注入攻击。Mon, 19 Feb 2024 16:00:00 GMTCVE-2022-23134https://0xfelix.li/posts/2024/cve-2022-23134/https://0xfelix.li/posts/2024/cve-2022-23134/Zabbix Sia Zabbix是拉脱维亚Zabbix SIA（Zabbix Sia）公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。 Zabbix 存在安全漏洞，该漏洞源于在初始设置过程之后，setup.php 文件的某些步骤不仅可以由超级管理员Sun, 18 Feb 2024 16:00:00 GMT