Frequent verification codes may appear for non-Mainland China IP visits. If visitors are severely affected, please send [IP|ASN](44.220.249.141|AS14618) to the bottom mailbox to add to the whitelist
文章列表
2023-01-01 00:00 2022年终总结 #leavesongs #安全文章 现在是2022年12月31日晚上8点43分,还有3个多小时今年就过完了,就如同某个其他公司的年终总结一样,这一年发生了太多的事情。但是这些事情距离我是遥远与模糊的,这里还是用简短的篇幅说点和自己相关联的。生活距离我发表《出中国记》一年左右,新加坡的物价以肉眼可见的速度上涨,已不太适合在国内事业稳定的人前往。而我属于随遇而安的人,到哪里就在哪里躺下,已经逐渐习惯新加坡的生活。说起物价,不得不提
2022-12-20 17:00 iOS备用机自动充电方案 #leavesongs #安全文章 搬到新加坡以后,我拥有了很多张手机卡:1张国内的电话卡,回国时使用1张新加坡电话卡,本地使用1张马来西亚电话卡,去马来西亚旅行时使用1张英国电话卡,去欧洲旅行时使用相对应的,我需要有备用机来运行这些号码。正好手上有一台旧的iPhone XR,于是我就把其中两张卡插到了这个手机里。但随之而来的是另一个问题,手机长期插电对电池非常不友好,很有可能导致备用机电池彻底废掉。垃圾佬的家里从来
2022-11-02 04:00 2022年欧洲游记 #leavesongs #安全文章 这篇文章记录了我和三个小伙伴在法国、瑞士旅行的经历。我大概是在今年7月做了去欧洲旅行的计划,说是“计划”也不太贴切,只是几个朋友搜了一下比较合适的机票以后,就决定要来了。类似的“计划”之前也发生过,有时候甚至是买好机票才喊人,不得不说我的很多决定是草率的,但这就是我。准备签证由于这次旅行是放在新加坡公共假期“屠妖节”的那一个礼拜(10月底),所以我就在8月份去申请了签证。我们的第一目的地
2022-10-16 07:00 PaaS服务从Heroku迁移到fly.io小计 #leavesongs #安全文章 今年8月得知了Heroku将要在今年11月彻底下线免费服务,我只有少量服务放在Heroku上,所以没有太在意,直到10月感觉到不得不开始做迁移相关的工作了,于是开始着手准备,并有了这篇文章。这篇文章纯属是事后记录的一些流水账,可能缺少截图和代码片段,全当是作为一个故事看,可能不具备参考性。为什么选择PaaS服务从很久以前开始接触“虚拟主机”这个行业开始,我经历了虚拟主机、VPS、云主机、Pa
2022-08-20 11:00 从偶遇Flarum开始的RCE之旅 #leavesongs #安全文章
2022-07-25 03:00 使用Minisforum UM560小主机办公一周体验 #leavesongs #安全文章 本文推荐的UM560非与厂商合作推广,仅为我自己的使用体验。我大四买了人生里第一台Macbook pro,从那会开始Mac卡顿的问题就一直困扰我到现在。当然这也可能是我自己的问题——我没钱买顶配Macbook,以前公司发的也是低配Macbook pro,我甚至用8G内存的13寸Mac直到2018年才换。来新公司以后总算摸到了15寸Mac,但还是16G内存Intel芯片的老电脑,被Burps
2022-07-18 04:00 XRay三周年活动寄语 #leavesongs #安全文章 上周XRay做了一次三周年活动,简单写了一段寄语,记录于博客。大家好,我是phith0n,安全社区有很多人叫我P师傅,以前很抗拒这个称呼,总是给人一种互相吹捧的感觉,不过后来我换了一个角度理解这个称呼——以前坐公交车不认路的时候,我们上车时总会问司机:师傅,这个车到不到国贸大厦?这么多年过去了,大部分人用上智能手机,搜索引擎,很少再有人会再问出这类问题。但是我还是愿意当一个普普通通的司机师傅
2022-06-19 04:00 我自己博客的一个XSS的故事 #leavesongs #安全文章 今天晚上收到几个提醒,打开一看是有人在我博客评论区测试XSS:本来这种测试司空见惯了,而且此人也没成功找到XSS,放以前我多半就关掉页面了。不过我今晚不知为何临时起意,就顺势看了一下自己写的代码,居然被我自己找到一个XSS漏洞:原因是什么呢?0x01 开发历史介绍我当时在开发这个回复按钮的时候,为了方便,直接用JavaScript伪协议来调用reply_to函数,比如:reply
2022-04-20 23:01 2022年我为什么订报纸 #leavesongs #安全文章 前两天我在收拾屋子。我家是个很典型的单人公寓,由于女朋友还没到新加坡来,现在的屋子一个人住恰到好处。不过一个人住总是一个熵增的过程,所以我会隔段时间收拾一下屋子,把一些不想要又舍不得丢的东西塞进我家里的一个“黑洞”里,这样外面看起来仍然是整齐的。这个“黑洞”是一个正经防空洞——新加坡大部分民宅都配有一个防空洞,面积大概一两个平米,所以大部分人会选择将这个房间作为杂物间。我就是在走进这个杂物间
2022-04-05 04:01 Vulhub万赞纪念与抽奖 #leavesongs #安全文章 不知不觉离我所主导的开源项目Vulhub的第一个提交已经快5年了,Vulhub俨然已经成为我生活中的日常。就像我生活中的另外几个日常代码审计星球、Sec-News一样,他们并不是我刻意要去完成的一项工作,而成为了我现实中的“回调函数”。用回调函数来形容这件事听起来很独特,但仔细想想确实如此——我会在分析最新漏洞后将其做成Vulhub环境提交到Github,我会在读到不错文章后点击浏览器上的按钮将
2022-03-19 21:01 新加坡企业是怎么做实名认证的? #leavesongs #安全文章 三月是国内个税申报的月份,也是新加坡个税申报的月份,前几天收到一封信,告诉我应该填写个税申报的表格了。在这封信里,提到了下面这段话:To file your Income Tax Return, log in to myTax Portal with Singpass.这里面有说到一个东西叫Sinpass,在我来新加坡的这几个月里,几乎可以把Sinpass看成新加坡政府数字化建设的核心
2022-03-01 05:01 分享下我 Github 被封的经历 #leavesongs #安全文章 最近好像又有人 Github 被封,每隔一段时间就有。分享下我自己的经历吧,好几年以前了,也许还是有点参考价值。账号被封,查找原因那是 2017 年 12 月,有天早上起来突然发现自己的号phith0n登不上去了,具体的表现是:账号登录不上,登录以后明确告诉我我好被封了Github 个人页面访问显示 404我自己名下所有项目,访问都是 404但是我创建的 Group 还是好的,没有受
2022-02-20 04:01 我是如何利用环境变量注入执行任意命令 #leavesongs #安全文章
2022-01-09 23:01 出中国记(下) #leavesongs #安全文章 这篇文章是出中国记的下半部分。继续插播广告:我们团队(Shopee Security Team)正在大力招聘,相关介绍和岗位JD见这里:https://www.leavesongs.com/PENETRATION/singapore-shopee-security-team-recruitment.html离我抵达新加坡已经接近两个月了,想一想两个月前的今天我仍然在北京的家里,这一段时间仿
2022-01-07 00:01 GoAhead环境变量注入复现踩坑记 #leavesongs #安全文章 昨天关注到了GoAhead的环境变量注入漏洞,主要是下面这两篇文章:PBCTF 2021 - RCE 0-Day in Goahead WebserverCVE-2021-42342 GoAhead 远程命令执行漏洞深入分析与复现实际上已经是几个月前的漏洞了,但是因为这段时间漏洞管制比较严格,导致信息闭塞了不少,才进行了复现。漏洞原理GoAhead曾经出现过一次环境变量注入漏洞,建议