白帽技术与网络安全

原创 短信验证码防泄漏安全机制逆向分析

通过 JADX 逆向Mms.apk（63MB，Android 15），完整还原 ColorOS 短信验证码的五层纵深防护体系：从 NLP 智能识别、通知内容遮蔽、ContentProvider 隔离存储、权限控制的系统广播分发，到 7 天定时自毁清理。的合法应用（短信备份、企业管理等）带来了兼容性问题，但从安全角度看，它有效地将验证码从一个"所有应用可读的明文字符串"升级为"系统级保护的安全凭据"，显著提升了用户账户安全水位。（值为 1）是安全防护的核心——标记为此类型的短信将进入最严格的保护模式。

原创 无需前端技能！用Chainlit 10分钟搭建生产级AI聊天应用

Chainlit是一个专为Python开发者设计的开源框架，能快速将LLM应用转化为交互式聊天界面。它解决了开发者面临的前端开发难题，通过简单的Python装饰器实现零前端代码的ChatGPT级交互体验。核心功能包括实时流式输出、推理过程可视化、异步多用户支持，并能与主流AI框架无缝集成。Chainlit适用于文档问答助手、客服机器人、教育工具等多种场景，让开发者专注于业务逻辑而非界面开发。其开箱即用的特性使Python开发者能在几分钟内构建出生产级AI应用，极大降低了LLM应用开发门槛。

原创 Phone Control - 高效的 Android 设备群控解决方案

Phone Control是一款基于Tauri 2框架开发的跨平台桌面应用，专为高效管理多台Android设备而设计。该应用支持连接多个ADB服务器，提供实时投屏预览、智能设备管理和批量操作功能，可同步执行点击、滑动、输入等操作。采用React 19前端和Rust后端技术栈，通过异步架构和图像优化确保性能。适用于应用测试、自动化演示和设备管理等场景，显著提升多设备操作效率。项目开源，未来计划扩展iOS支持和云端管理功能。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 当 AI 开始 “摆烂“：GitHub 7.5k 星项目用职场 PUA“鞭策“AI 编程Agent

深夜 Debug，你把报错甩给 Claude，它满口答应 "马上修复"，结果在同一个错误的命令上重复跑了三次，最后冷冰冰地回一句："This seems to be an environment issue, please check manually."（这好像是环境问题，你自己检查吧。纯粹的心理施压如果缺乏科学的方法论支撑，很容易导致模型陷入过度焦虑的 "幻觉" 循环。这一步骤旨在打破模型的 "局部注意力视野"，强制其进行模式识别，找出多次失败背后的共同技术盲点，从根本上杜绝 "无效忙碌"。

原创 我用 AI 写了一个 Android 群控工具，从零到可用只花了一个下午

手头有十几台 Android 测试机，之前一直用 Python + PyQt5 写的群控工具凑合着用。界面丑、响应慢、截屏卡顿，PyQt5 在 macOS 上的兼容性也越来越差。"，AI 分析出是截屏数据太大导致 WebView 内存溢出，改成 JPEG 压缩 + 缩放，数据量降低了 30-50 倍。打包后的 app 只有 10MB 左右，内存占用是 Electron 方案的 1/5。上周试着让 AI（Claude）帮我重写，结果从架构设计到完整可用，实时截屏预览，10+ 台设备同时刷新不卡顿。

原创 红日安全红队靶场（三）一次简单的内网渗透

1、靶场介绍及设置这是红日团队的第三套靶场（靶场下载地址见文末），本次靶场渗透涉及敏感信息泄露、暴力破解、脏牛提权、内网穿透、端口转发、以及域渗透等多种知识点。该靶场环境由5台机器组成，其...

原创 2020我终于成功搭建了Metasploitable3靶机

0x00前言在学习metasploit时我们往往需要一个靶场，下面为大家介绍一下如何在虚拟机中安装metasploitable 3靶场。Metasploitable3是Metasploitable2的升级版本，它是一个虚拟靶机系统，里面含有大量未被修复的安全漏洞，它主要是用于metasploit-framework测试的漏洞目标。不过Metasploitable3的好处是除了是升级版之外，还可以生成Windows版本和Linux版本，具体就是指可以生成windows_2008_r2和ubuntu_140

原创 给大家总结的一份白帽子成长进阶指南（内附学习资源）

首发公众号：白帽技术与网络安全前言最近翻知乎看到了好多人问如何入门成为一名光荣的白帽子，在这里我将一些大佬的回答再加上我自己的想法进行了系统性的梳理，希望对刚入门的小萌新有一些帮助。入坑前你必须了解的事法律法规道路千万条，安全第一条。在深入学习之前我们必须要知道在什么框架下行事《中华人民共和国刑法》 《中华人民共和国网络安全法》 《网络安全等级保护制度2.0》什么是...

原创 配置DOSBox操作目录

第一步：打开DOSBox的安装目录，找到DOSBox 0.74-3 Options.bat文件后编辑它第二步：在弹出配置选项文本文档，找到[autoexec]选项在下面添加如下字段：MOUNT C D:\masmproset PATH=$PATH$;D:\masmpro注：将D:\masmpro替换成你自己提前新建的操作目录就好...

原创 小程序云开发中的正则表达式

什么是正则表达式？正则表达式描述了一种字符串匹配的模式，可以用来检查一个串是否含有某种字串、将匹配的子串替换或者从某个串中取出符合某个条件的字串等。云开发中的正则表达式对象在云开发中正则表达式的对象有两种写法如下：原生正则对象/miniprogram/i 云开发中构建的db.RegExp对象db.RegExp({ regexp: 'miniprogram', ...

原创 NodeMCU入坑指南-低成本打造零舍友闻风丧胆WiFi断网神器

前言最近对IoT方面比较感兴趣，所以在某宝上入手了一块NodeMCU的开发板，至于为什么我选择这块开发板呢？嘿嘿，当然是因为便宜啊????！在学习IoT的闲暇之余我了解到这个板子竟然还能制作成令舍友闻风丧胆的WiFi断网神器！哈哈，必须搞他！这次我们要用到的是spacehuhn开源项目，通过这个spacehuhn项目任何人都能够将自己的esp8266模块打造成wifi干扰器，利用802.11wif...

原创 [CTF]攻防世界web高手进阶区Writeup(更新ing)

baby_webEMMMM，这就是一个签到题~解题方法：F12→Networks→刷新抓包→完成Training-WWW-Robots 看题目可以知道这道题考的是爬虫协议（robots.txt文件）的知识打开网页，果然~他在网页里还暗示了一下，Sometimes these files reveal the directory structure instea...

原创 记一次不正经的爬虫学习经历

0x00前言大家好，相信点进来看的小伙伴都对爬虫非常感兴趣（绝对不是因为封面~）， 博主也是一样的。 最近由于疫情的原因，大家都不能出门玩耍，所以博主准备分享一些有趣的学习经历给大家。 昨天，博主逛B站时偶然（非常偶然~）发现了一个不同寻常的教程 揍是下面这个 教程链接： https://www.bilibili.com/vide...

原创 NodeMCU入坑指南-烧写固件并连接WIFI

写在前面今天入手了一个NodeMCU的板子，准备学习一下物联网相关的知识。不过由于博主学艺不精，在第一步烧写固件上就踩坑了，所以就想着把自己的踩坑经历写出来分享给大家，希望能有一些帮助~ 材料准备硬件：NodeMCU开发板*1（某宝指导价15.8元！）软件：自定义固件网站：https://nodemcu-build.com/NodeMCU2.0固件库：http://pan...

原创 win10更新后VM 与 Device/Credential Guard 不兼容。在禁用 Device/Credential Guard 后，可以运行 VM 的方法

今天win10更新后vm竟然不能使用了，报错如下：VMware Workstation和Device / Credential Guard不兼容。禁用Device / Credential Guard后，可以运行VMware Workstation。这个错误也是老朋友了，我是清楚的我的Device/Credential Guard是早就已经禁用了，所以就应该是Windows系统的Hyper-...

原创 8086汇编语言操作数的寻址方式

原创 8086汇编语言操作数的七种寻址方式

原创 DEBUG常用命令总结

DEBUG下最常用的调试指令为六个一、常用DEBUG命令(1)R ：查看更改cpu寄存器内容(2)D：查看内存中内容(3)E：改写内存中内容(4)U：将内存中机器指令翻译成汇编指令(5)T：执行一条机器指令(6)A：以汇编格式在内存中写入一条指令二、常用命令的使用1.R命令：查看 更改CPU寄存器内容输入r后回车，会显示所有寄存器的数值如果修改寄存器数据 如ax寄存器数值...

原创 oracle 字符集修改 AL32UTF8 改为 ZHS16GBK

在使用ORACLE的过程中,会出现各种各样的问题,各种各样的错误,其中ORA-12899就是前段时间我在将数据导入到我本地机器上的时候一直出现的问题.不过还好已经解决了这个问题,现在分享一下,解决方案;出现ORA-12899,是字符集引起的,中文在UTF-8中占3个字节,ZHS16GBK中占2个字节,而源dmp文件字符集是ZHS16GBK库里倒出来的数据,现在要导入到目标字符集为UTF-8的库里...

原创 Python爬虫下载视频文件部分源码

分享一下我自己整理的代码，改两个参数就可使用(扫描下方二维码获取python学习资料)import requestsimport time headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome...

原创 爬虫学习分享Python下载mp4文件（源码）

给大家分享一个能直接下载mp4的python源码~import requestsimport time headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Sa...

原创 重大消息！Let’s Encrypt CA将要撤销超过300万个TLS证书

由于用于在颁发证书之前验证用户及其域的软件中的漏洞，Let’s Encrypt certificate authority (CA)今天将吊销300万个证书。Let's Encrypt的证书颁发机构（CA）软件中的一个错误，称为Boulder，导致对某些证书的正确验证。该错误影响了Boulder实施CAA（证书颁发机构授权）规范的方式。CAA安全功能允许域所有者阻止证...

转载 安全资讯|SurfingAttack –通过超声波入侵手机

SurfingAttack是一种黑客技术，可以看到以超声波编码的语音命令以无声方式激活手机的数字助理。该技术可用于执行多种操作，例如拨打电话或阅读短信。SurfingAttack技术已于...

原创 安全资讯|Firefox默认为美国用户通过HTTPS打开DNS

Mozilla已经开始默认为美国所有用户在其Firefox浏览器上推出使用DNS overHTTPS（DoH）协议，以增强他们在网络上的隐私和安全性。Mozilla本周表示：“部署将在...

原创 安全资讯|所有版本的Apache Tomcat都受到Ghostcat漏洞的影响

Apache Tomcat的所有版本都受到名为Ghostcat的漏洞的影响，攻击者可以利用该漏洞读取配置文件或在易受攻击的服务器上安装后门程序。该漏洞跟踪为CVE-2020-1938，影...

原创 安全资讯|Android恶意软件可以窃取谷歌认证器的2FA代码

新版本的“Cerberus”安卓银行木马将能够窃取谷歌认证应用程序生成的一次性代码，并绕过受2fa(双因素认证)保护的账户。安全研究人员称，安卓恶意软件现在可以提取并窃取通过谷歌认证器生...

原创 一篇有点长的HTTP协议详解

一、HTTP简介01.什么是HTTPHTTP(HyperText Transfer Protocol ,超文本传输协议),是一个基于请求与响应的，无状态的，应用层的协议，常基于TCP/IP协议传输数据，互联网上应用最广泛的一种协议，所有的WWW文件必须遵守这个标准。HTTP协议的设计初衷是为了提供一种发送和接受HTML页面的方法02.HTTP发展史HTTP/0.9版本（1991年...

原创 Burpsuite pro v2020.1最新版上线（附安装包）

简介Burp Suite 是用于攻击web 应用程序的集成平台，包含了许多工具。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 前几天刚出了Burp Suite Pro 2020.1版本已经被**了。现我还是按原来的操作引入keygen文件跟汉化文件。&nb...