2023-01-01 00:00   2022年终总结    #leavesongs #安全文章 现在是2022年12月31日晚上8点43分，还有3个多小时今年就过完了，就如同某个其他公司的年终总结一样，这一年发生了太多的事情。但是这些事情距离我是遥远与模糊的，这里还是用简短的篇幅说点和自己相关联的。生活距离我发表《出中国记》一年左右，新加坡的物价以肉眼可见的速度上涨，已不太适合在国内事业稳定的人前往。而我属于随遇而安的人，到哪里就在哪里躺下，已经逐渐习惯新加坡的生活。说起物价，不得不提

2022-12-20 17:00   iOS备用机自动充电方案    #leavesongs #安全文章 搬到新加坡以后，我拥有了很多张手机卡：1张国内的电话卡，回国时使用1张新加坡电话卡，本地使用1张马来西亚电话卡，去马来西亚旅行时使用1张英国电话卡，去欧洲旅行时使用相对应的，我需要有备用机来运行这些号码。正好手上有一台旧的iPhone XR，于是我就把其中两张卡插到了这个手机里。但随之而来的是另一个问题，手机长期插电对电池非常不友好，很有可能导致备用机电池彻底废掉。垃圾佬的家里从来

2022-11-02 04:00   2022年欧洲游记    #leavesongs #安全文章 这篇文章记录了我和三个小伙伴在法国、瑞士旅行的经历。我大概是在今年7月做了去欧洲旅行的计划，说是“计划”也不太贴切，只是几个朋友搜了一下比较合适的机票以后，就决定要来了。类似的“计划”之前也发生过，有时候甚至是买好机票才喊人，不得不说我的很多决定是草率的，但这就是我。准备签证由于这次旅行是放在新加坡公共假期“屠妖节”的那一个礼拜（10月底），所以我就在8月份去申请了签证。我们的第一目的地

2022-10-16 07:00   PaaS服务从Heroku迁移到fly.io小计    #leavesongs #安全文章 今年8月得知了Heroku将要在今年11月彻底下线免费服务，我只有少量服务放在Heroku上，所以没有太在意，直到10月感觉到不得不开始做迁移相关的工作了，于是开始着手准备，并有了这篇文章。这篇文章纯属是事后记录的一些流水账，可能缺少截图和代码片段，全当是作为一个故事看，可能不具备参考性。为什么选择PaaS服务从很久以前开始接触“虚拟主机”这个行业开始，我经历了虚拟主机、VPS、云主机、Pa

2022-08-20 11:00   从偶遇Flarum开始的RCE之旅    #leavesongs #安全文章 

2022-07-25 03:00   使用Minisforum UM560小主机办公一周体验    #leavesongs #安全文章 本文推荐的UM560非与厂商合作推广，仅为我自己的使用体验。我大四买了人生里第一台Macbook pro，从那会开始Mac卡顿的问题就一直困扰我到现在。当然这也可能是我自己的问题——我没钱买顶配Macbook，以前公司发的也是低配Macbook pro，我甚至用8G内存的13寸Mac直到2018年才换。来新公司以后总算摸到了15寸Mac，但还是16G内存Intel芯片的老电脑，被Burps

2022-07-18 04:00   XRay三周年活动寄语    #leavesongs #安全文章 上周XRay做了一次三周年活动，简单写了一段寄语，记录于博客。大家好，我是phith0n，安全社区有很多人叫我P师傅，以前很抗拒这个称呼，总是给人一种互相吹捧的感觉，不过后来我换了一个角度理解这个称呼——以前坐公交车不认路的时候，我们上车时总会问司机：师傅，这个车到不到国贸大厦？这么多年过去了，大部分人用上智能手机，搜索引擎，很少再有人会再问出这类问题。但是我还是愿意当一个普普通通的司机师傅

2022-06-19 04:00   我自己博客的一个XSS的故事    #leavesongs #安全文章 今天晚上收到几个提醒，打开一看是有人在我博客评论区测试XSS：本来这种测试司空见惯了，而且此人也没成功找到XSS，放以前我多半就关掉页面了。不过我今晚不知为何临时起意，就顺势看了一下自己写的代码，居然被我自己找到一个XSS漏洞：原因是什么呢？0x01 开发历史介绍我当时在开发这个回复按钮的时候，为了方便，直接用JavaScript伪协议来调用reply_to函数，比如：reply

2022-04-20 23:01   2022年我为什么订报纸    #leavesongs #安全文章 前两天我在收拾屋子。我家是个很典型的单人公寓，由于女朋友还没到新加坡来，现在的屋子一个人住恰到好处。不过一个人住总是一个熵增的过程，所以我会隔段时间收拾一下屋子，把一些不想要又舍不得丢的东西塞进我家里的一个“黑洞”里，这样外面看起来仍然是整齐的。这个“黑洞”是一个正经防空洞——新加坡大部分民宅都配有一个防空洞，面积大概一两个平米，所以大部分人会选择将这个房间作为杂物间。我就是在走进这个杂物间

2022-04-05 04:01   Vulhub万赞纪念与抽奖    #leavesongs #安全文章 不知不觉离我所主导的开源项目Vulhub的第一个提交已经快5年了，Vulhub俨然已经成为我生活中的日常。就像我生活中的另外几个日常代码审计星球、Sec-News一样，他们并不是我刻意要去完成的一项工作，而成为了我现实中的“回调函数”。用回调函数来形容这件事听起来很独特，但仔细想想确实如此——我会在分析最新漏洞后将其做成Vulhub环境提交到Github，我会在读到不错文章后点击浏览器上的按钮将

2022-03-19 21:01   新加坡企业是怎么做实名认证的？    #leavesongs #安全文章 三月是国内个税申报的月份，也是新加坡个税申报的月份，前几天收到一封信，告诉我应该填写个税申报的表格了。在这封信里，提到了下面这段话：To file your Income Tax Return, log in to myTax Portal with Singpass.这里面有说到一个东西叫Sinpass，在我来新加坡的这几个月里，几乎可以把Sinpass看成新加坡政府数字化建设的核心

2022-03-01 05:01   分享下我 Github 被封的经历    #leavesongs #安全文章 最近好像又有人 Github 被封，每隔一段时间就有。分享下我自己的经历吧，好几年以前了，也许还是有点参考价值。账号被封，查找原因那是 2017 年 12 月，有天早上起来突然发现自己的号phith0n登不上去了，具体的表现是：账号登录不上，登录以后明确告诉我我好被封了Github 个人页面访问显示 404我自己名下所有项目，访问都是 404但是我创建的 Group 还是好的，没有受

2022-02-20 04:01   我是如何利用环境变量注入执行任意命令    #leavesongs #安全文章 

2022-01-09 23:01   出中国记（下）    #leavesongs #安全文章 这篇文章是出中国记的下半部分。继续插播广告：我们团队（Shopee Security Team）正在大力招聘，相关介绍和岗位JD见这里：https://www.leavesongs.com/PENETRATION/singapore-shopee-security-team-recruitment.html离我抵达新加坡已经接近两个月了，想一想两个月前的今天我仍然在北京的家里，这一段时间仿

2022-01-07 00:01   GoAhead环境变量注入复现踩坑记    #leavesongs #安全文章 昨天关注到了GoAhead的环境变量注入漏洞，主要是下面这两篇文章：PBCTF 2021 - RCE 0-Day in Goahead WebserverCVE-2021-42342 GoAhead 远程命令执行漏洞深入分析与复现实际上已经是几个月前的漏洞了，但是因为这段时间漏洞管制比较严格，导致信息闭塞了不少，才进行了复现。漏洞原理GoAhead曾经出现过一次环境变量注入漏洞，建议