![[I Am I 年度简报] - 2023](https://img.5ime.cn/cover/18.jpg)
[I Am I 年度简报] - 2023
过去都是假的
回忆是一条没有归途的路
写在前面
今年是从疫情走出来的第一年,戛然而止的新冠病毒,仿佛不存在的时空一般。疫情结束之后,似乎一切都变得明朗了起来,但好像又是假象,好多互联网企业开始降本增笑…
WebSite
数据统计截止于 12/25 12:00,整体来看数据呈上升趋势,具体请看下面朴实无华且枯燥的数据以及一些感想(去年明明说过不统计站点数据了)。
Blog
| 平台 | IP | 访客 | 浏览量 | 跳出率 | 平均访问时长 |
|---|---|---|---|---|---|
| 百度统计 | 20,170 | 20,928 | 58,674 | 58.43% | 03分47秒 |
今年,我投入了大量时间参加比赛,因此写了很多 Writeup 类型的文章。尽管我的博客已经包含在 Arctic Code Vault 计划中,并且互联网上还有 WayBackMachine 这样的网页时光机,但还是感觉还是差了点什么…
于是我改变了博客的提交方式,从 本地编译提交 变为 远程自动编译提交,并将博客的主体文件存储在 Github Repo 中,以达到另类 永存 ,详情请看:Github Actions 自动化部署 Hexo。
另外,今年我在 X 上发现了 xLog,这让我眼前一亮。它几乎满足了我对博客的所有幻想,只是缺少了评论提醒功能。但这个小瑕疵并不能掩盖它的优点。我正在考虑今年是否应该将我的博客迁移到区块链上。
那么,话说回来。本年度本博客最受欢迎文章如下,由 TenAPI 衍生出来的文章未统计(如:TenAPI Update 2.0),往年发表文章未统计,仅统计当年文章。
| 标题 | 链接 | 数据来源 TOP3 |
|---|---|---|
| 陇剑杯 2023 Writeup | https://5ime.cn/longjiancup-2023.html | 百度第一 |
| CTF线下赛AWDP总结 | https://5ime.cn/awdp.html | 百度第二 |
| 校友邦小程序签到加密逻辑解析 | https://5ime.cn/xybsyw-re.html | 百度第三 |
另外,由于今年一直在配置环境,所以导致系统经常性的崩溃。在多次重装系统的过程中,我总结出了一篇 从0开始的Windows环境配置之路,以及一个自动化脚本 Kali 中 CTF 环境配置
TenAPI
| 平台 | IP | 访客 | 浏览量 | 跳出率 | 平均访问时长 |
|---|---|---|---|---|---|
| 百度统计 | 71,561 | 76,813 | 155,797 | 66.04% | 03分39秒 |
今年一开年便对 TenAPI 进行了彻底的重构,详见 TenAPI Update 2.0,同时文档也用 Github Actions 实现了自动部署,仓库地址:TenAPI 食用文档,另外通过文档的 更新页面 也可以看到,今年上半年一直在频繁的进行维护,但随之时间的增加,后面不怎么维护了,博主实在是心力交瘁。
首先,不少数据源站已经宣布了关闭或转移的计划,在 TenAPI Update 2.0 中也有提到。例如:音悦台, 轻视频, Vue Vlog, 小咖秀, 巴塞视频, before避风等平台相继关闭。再例如:抖音, 快手, 蓝奏云等平台防护反爬规则更新频繁且越来越强大,愈发感觉 TenAPI 要走到生命的尽头了。
今年博客大部分的留言均和 聚合短视频去水印 / 聚合短视频去水印 有关,不过博主已经不打算维护衍生出的 Github 项目了,仅作自用。
回顾 TenAPI 历程,起源于 2018 年 4 月,当时由于腾讯云策划重大失误,所有用户均可免领取 700 元无门槛代金券。记得那天腾讯云官网宕机,支付系统和订单系统都爆了…博主趁机薅了几年域名,同时借助腾讯云学生计划推出的服务器 1H1G1M 的 1元 服务器 TenAPI 横空出世。
这里感谢妖帝让我白嫖服务器好久,当年没有学生身份无法购买,另外使用国内服务器需要备案,年龄不够无解,后发现备案检测只检测 80 端口,可以通过使用 443 端口绕过,就这样凑合了差不多两年。直到 2019 年 9 月甲骨文推出了永久免费服务器,账号靠一张虚拟信用卡存活至今。
今年 TenAPI 迎来了第五年,也大概率也是最后一年了。
Lab
| 平台 | IP | 访客 | 浏览量 | 跳出率 | 平均访问时长 |
|---|---|---|---|---|---|
| 百度统计 | 182,197 | 187,682 | 349,431 | 73.77% | 04分16秒 |
今年使用 Vue3 + Vite 对实验室进行了重构,同时通过 Github Actions 自动编译部署到 Github Pages,同时新增了两个工具 微博图片溯源 和 Curl2Requests
Coding
今年,断断续续烂尾了不少项目,主要原因在于太忙了,很多项目都停留在脑海中了,连文件夹都未新建…
在烂尾的项目中,首当其冲的是 MoeCTF。开发历程详见:从0开始的MoeCTF开发之路,当时正好毕业准备实习,打算写写项目稍微丰富简历,找个开发的工作,所以草草收了工 Push 到了 Github Repo,其实一开始写的时候就想到要前后端分离,所以后端都是返回的 json,前端使用 ajax 请求渲染,但当时为何没落实下来早已忘记。
3月 的时候开始着手进行 前后端分离,前端使用 Element 进行开发,后端未进行任何修改,没时间写了一半又弃坑了。
5月 和公司项目经理聊了聊打算把项目留给公司的开发来做了,未果。后因为校赛缘故,又拿出来更新了一番,但细节和渲染上终究是不尽人意。
12月 和默笙聊了聊,最后决定使用 Vue3 + Naive + ThinkPHP8 进行重构,另外 动态靶机 实现决定通过 Flask 进行 API 的开发,相对其他语言来比 Python 操作 Docker 的第三方库比较丰富且博主相对熟悉该语言。
另外一个烂尾项目为 Loki-Labs。作为我 Web安全课程 的配套靶场,也是同样的情况,虽然同类型的靶场还是不少,例如 DVWA / Pikachu 等等,但感觉和我想要的效果还是差点。7月 开始开发,后因比赛外加对外培训较多也是烂尾了…仅仅完成了 1/2。
这里附 MoeCTF 和 Loki-Labs 图几张,希望半年内可以完工。
前面说了这么多,下面简单贴一张本年度 Github 总结,从热力图可以看到,今年代码贡献量是随时间递减的,年初由于新冠肺炎疫情刚刚放开以及局势不明朗,且博主又双叒叕阳了多次,没着急找工作,赋闲在家时一直在写代码,年后找到工作后基本和开发没啥关系了,所以渐渐不怎么写代码了。不过今年 Github 数据还是有些变化的。
1 | |
| 项目 | 说明 | 状态 |
|---|---|---|
| 5ime/Confetti | 🎉 Confetti 带来有仪式感的鼓励 | Public |
| 5ime/CRC32_Tool | CRC32 Tool,一个可以帮你自动化碰撞CRC32的工具。 | Public |
| 5ime/CS_Decrypt | CobaltStrike流量解密脚本 | Public |
| 5ime/Seek | 批量同IP站点查找和域名信息查询工具 | Public |
| 5ime/Loki-labs | 针对学习Web安全的练习靶场 | Private |
| 5ime/MoeCTF-theme | MoeCTF 前端 | Private |
关于我
你可以通过点击 🕹️ 来滚动出一个我的 2023 年度标签。
🕹️
今年,原意是不打算写总结的了,正如 阿加莎·克里斯蒂 在《帷幕》中说的:
你回首往事的时候总会热泪盈眶地说:”哦,那些快乐的日子啊。那时我多么年轻。”但实际上呢,我的朋友,你那个时候也不像你现在认为的那么快乐。
回忆总是在记忆中被美化,与当下产生对比后都是忏悔和痛苦,但收到了好多朋友的鼓励,还是决定写一下。
今年,在元旦那天,卖掉了吃灰已久的 树莓派。19年 买的,加上各类配件花费应该在 350元 左右,刚买的时候还是比较喜欢折腾的,衍生出了一些文章,详见 树莓派。后来和绝大部分的人一样树莓派开始吃灰,不过趁着树莓派溢价,最终 560元 出手了。
我宣布树莓派为最佳理财产品🤤,不过在年中的时候树莓派价格已经回落了。
今年,我的粉丝突然销声匿迹了😭。去年末说是我 bigger fan,年初的时候也一直在给我提网站优化建议。
今年,入职了某安全公司。也算正式踏足了 信息安全 领域,入职后大部分时间都在忙活 护网 相关的事情以及应网信办要求挖掘省内企业的漏洞,然后上报,为此还衍生出一个项目 Seek - 同IP站点和域名信息查询工具。其他时间就是应公司要求挖掘 某摄像头 漏洞,达到控制摄像头的目的(公司觉得我会吗😅?),或者外出打一些渗透项目或攻防演练。
另外据我观察,公司研发写的项目基本都是 网页版PPT ,靠着 click 事件以及各种 切片 来实现网络安全互动体验之类的项目(唯一的互动就是点击鼠标)… 甲方领导还异常满意,对此,我大为震撼。突然想转研发了🤩…
附某摄像头主板图片一张,当时只挖出来一个信息泄露以及 RTSP 未授权访问漏洞。
今年,从 4月 被公司派到安徽某高校做护网蓝中培训开始,一直在做 PPT。同时在护网招募时面试了很多高校的学生,深深感受到了国内信安专业教育的现状,貌似普通院校信安专业起步都很坎坷。不少院校还用着十年前的教材,拿着 DVWA 靶场做演示。
今年,一直在打各类比赛,往年因为新冠疫情的原因很少去线下赛,每次线上赛都会被各种 神级选手 搞得焦头烂额。不过今年因为疫情放开,线下赛也成了常态,想起自己一直线上赛被压制,想去线下看看大家水平如何。
6月 的时候自费(自费原因详见 CISCN 2023 Writeup )前往 合肥 参加了 CISCN 分区赛,竞赛内容详见 CTF线下赛AWDP总结,发觉原来我的水平也还算可以。至此我才深刻体会到国内网络安全大赛现状:py风气很严重,原来大家线上都是人脉型选手,线下是厕所战神。
当然以上这些博主不做评价。对与错,每个人都有自己的理解。
值得一提的是今年认识且在几次线下赛中面基了不少师傅,也一起组队参加了些比赛。比如 陇剑杯 2023 等等…不过由于当时正值入职培训,未前往线下,导致队伍缺一人😭。
今年,一直被催更,不过最近突然发现了一个 clown ,搁这给我自导自演呢。(你身份证🃏和证件照🤡掉了)
今年,收到了 Ser3n7ty 的留言后,突然意识到好像 关于我 停留在 2018/1/1 好久没动过了,不过我觉得除了 中学生 需要改成 社会闲散人员 貌似也没什么要改的地方,所以干脆就这样吧。
不过确确实实 关于我 页面,误导了好多人(仅仅贴了几张最近的留言,不过我也没说过我的性别啊?),我摊牌了,我是沃尔玛购物袋,今年6岁了,上小学一年级。
今年,共计收到了近 900元 的赞赏,部分赞赏来源于对 I Am I の 实验室 的支持,更多的赞赏是想加博主的微信…
其实,大家也必要为了加博主微信而赞赏,博主有一种当***卖门槛的感觉。另外,赞赏里博主只能看到微信昵称,看不到你的微信号。所以你不在留言里写名微信号的话,博主也加不上你。
附今年最大赞赏金额截图,500元 😁。
未来展望
虽然每年都会写明年的计划,但每年都完不成。
今年技术无成长,停滞不前,工作之后,越来越没有精力去接触新的领域了。
在 #Coding 里面也提到了,很多项目都 胎死腹中,所以就明年而言,还是写更多的代码吧,比赛什么的先放一放(先夯实一下基础,感觉基础还是不行)。
写在后面
道阻且长,行则将至。
最后,祝各位新年快乐。