2025年终总结

哎呀呀，转眼又是一年的最后一天了，今年毫不意外地又咕咕咕了一整年，那么就按照惯例写一篇流水账给博客除除草，总结一下即将过去的 2025 年吧！

回顾 2025

学业

时间真的好快呀，不知不觉就已经大四了，本科生活也进入了倒计时阶段。

上半年顺利修完了推免前所需的全部课程，看了眼排名拿到推免资格应该是没问题了，剩下的就是找接收单位，首选肯定还是本校网安直硕。不过今年的保研之路可谓是一波三折，先是陆续有院校宣布取消夏令营，搞得一时风声四起、人心惶惶，甚至有传言说 SJTU 也要取消，好在夏令营通知最终还是发出来了，但整体进程比往年晚了一大截。接着由于今年是电院解体后的第一年夏令营，网安属于计算机学院了，谁也不知道夏令营会怎么搞，好在最后说还是会延续往年的形式。

六月份考完期末后就开始准备夏令营。虽说是本校，但感觉 SJTU 对本校学生并没有多少优待（至少在笔试上），优营是超发的，最后还是要按排名择优录取，每年本校翻车的也不少。网安这边是笔试（数学+专业课）和面试，考虑到面试应该没多大问题就重点准备笔试了。数学据说去年考的全是线性代数，往年还考了概统，然而这俩都是大一/大二学的，早就忘得差不多了，不得不翻出教材试图唤醒记忆，结合 B 站上的一些速通网课花了一周时间总算捡起来了，至少基本概念和常考的题型会做就行。至于专业课，据说考的内容很杂，本科上过的专业课都可能涉及，臭名昭著的网安法肯定会有，然而这玩意我实在是不想刻意去背，只好翻出 PPT 过了一遍混个眼熟。到了夏令营的前一天晚上，我鬼使神差地打开知乎搜到了之前某一年题目的回忆版，发现数学部分竟然还考了离散数学的归结推理、信息论的哈夫曼编码、信安数基的扩欧求逆，心想坏了现在复习这几门肯定来不及了，那就先把这几个知识点以及相关的知识点看一看吧。结果第二天笔试的时候，看到数学部分差点没绷住，扩欧求逆、哈夫曼编码、归结推理三道大题全考了，外加一道线代一道概统，简直神了！专业课部分感觉其实考的都是一些常识性的东西（比如什么是“零信任”），如果真的对安全感兴趣的话平时或多或少都接触过、有一些自己的理解，真没必要刻意去背诵。面试的话感觉挺轻松的，就聊聊天啥的，没什么压力，难绷的是英语考察环节竟然是用中文问了我一个问题，让我用英语回答一下就行，甚至不能称之为对话😂。最后本校夏令营就这么结束了，八月初查到排名非常靠前，学硕稳了，至此保研终于告一段落。本来还打算多投几个学校的，结果到最后就去了本校，出排名的那天复旦刚给我发了入营通知，于是爽快地拒绝了 hhhh（不过据说去年 SJTU 去了也是全军覆没）。

九月份开学后就是确认推免资格、走系统填报流程，尘埃落定。

大四上还有最后的三门课要修读，不过感觉挺水的，甚至有两门课的内容高度相似（栈溢出、格式化字符串），并且都没有考试，可以说是本科最空闲的一学期了。十二月的时候终于把 SJTU 毕业要求的游泳考试考过了。从小到大我有无数次学游泳的失败经历，已经给我整出心理阴影，今年上半年想着不能再拖了不然毕不了业啊，于是鼓起勇气选了个 8 周的体育（5）游泳课。虽然刚开始依旧很害怕，但慢慢地竟然适应了飘在水里的感觉，最后课上完虽然还不能连贯地游起来，但感觉自己已经进步很大了。下半年又自己练了大概十次，总算是能够连贯地游 50 米了，最后顺利通过了考试，离毕业又近了一步。

Hacking & Coding

又是在 Ph0t1n1a / 0ops 继续打 CTF 以及 HVV 的一年，学业上总算没那么忙了，有更多的时间投入到比赛中，感觉 CTF 这东西真是越打越上瘾。除了打比赛之外，也继续给校赛出了 2 道 Web 题，还给 0CTF 出了 2 道 Web 题和 1 道 Misc 题，看到大家对于题目质量的认可挺开心的，甚至 r3 还直接拿 PHP 0day 来打我出的 ezupload。

今年是 AI 崛起的一年，各种大模型层出不穷（谁能想到 DeepSeek 竟然是今年的事情），CTF 这边也受到了不小的冲击，至少 Web 方向中等及以下难度的题，试过 Claude Sonnet 4.5、Gemini 3 Pro 基本都能够秒杀，这对出题人以及选手来说都是新的挑战。给校赛出题时就发现，入门/简单难度的题目基本没法出，直接就被大模型秒了，这可能也是为什么 0CTF 2025 的 Web 题目难度普遍偏高的原因吧。在今年的 XCTF Final 中发现，AWD 赛制下大模型可以迅速发现代码中的明显漏洞，自动完成 EXP 编写和漏洞修补，从而抢占先机、尽早获得靶机的修补权限。可以预见的是，未来高质量的 CTF 比赛应该会越来越偏向于高难度、综合性的题目，鼓励大模型辅助选手分析，但避免大模型能够独立解出题目。至于某些禁止选手使用大模型的比赛么（知道我在说谁对吧）……那就见仁见智了吧。

今年在漏洞挖掘上也算是有些成果，虽然比较失败。10 月给某 Minecraft 启动器报了个洞，作者一开始甚至认为这不是漏洞。11 月底的时候给某 NAS 厂商报了 2 个 RCE（当然不是 PreAuth），不过他们的 PSIRT 至今未回应（猜猜明年会不会回应呢？）。12 月初的时候 React Server Components 出了一个核弹级的 RCE 漏洞，在研究的过程中我无意间发现了一个新的 DoS 漏洞（后来的 CVE-2025-55184），这个漏洞对于 Vercel 这种按 CPU 时间计费的 Serverless 平台来说影响还挺大的，我成功把自己的 Vercel 账号给打欠费了😂，这也是为什么我现在用着 Cloudflare Pages。

发现漏洞后我报告给了 React 团队，不过他们一直没有回应，直到 12 月 11 日 CVE-2025-55184 披露，才发现原来已经被别人抢先了，还是动作太慢晚了一步。

开源贡献方面，GitHub 小绿墙比去年又好了一点，不过依旧很多其实是课程大作业。其他主要就是稍微参与了一下社团自主研发的 Minecraft 启动器 SJMCL 的开发，写了一些 Web API 以及审了一些安全相关的 PR，欢迎大家来尝鲜以及提 Issue！

博客

博客 8 周年啦！来看看今年的统计数据吧！

今年 Hans362 's Blog 收获 3.58k 位独立访客 5.52k 次浏览，平均访问时间 36s。

今年发布了 2 篇文章，数量竟然和去年持平，猜猜明年会怎么样呢？（你还记得你去年说了啥，怎么回事呢） 要是还有你没读过的，不妨去看看吧。

访客们都喜欢用什么浏览器/OS/设备呢？

访客们都来自哪些国家/地区用哪里的魔法节点呢？

今年点击量排名前 5 的文章是哪几篇呢？

今年的访客都是从哪里发现本站的呢？

今年博客没有评论。

足迹

除了过年/中秋回老家，今年借着出差/比赛/旅游的机会，又去了不少地方，就按时间回顾一下吧。

3 月：杭州

去了杭电参加 CISCN & CCB 浙江赛区半决赛，感谢队友带飞，拿了第一名顺利晋级 CISCN 以及 CCB 全国总决赛。

4 月：福州

去数字中国峰会参加 CCB 全国总决赛，不得不说 CCB 真是太喜欢出谜语题了，一个不能列目录的 LFI 竟然让我猜 Flag 在哪，猜了半天最后发现 Flag 在 /flag.txt，真是服了，最后喜提二等奖。

7 月：郑州

去参加 CISCN 决赛。领取物料看到衣服上贴着亲子装没绷住。

今年国赛 Build 环节没啥好说的，一年不如一年了，今年是纯纯给永信至诚打黑工，我们全部丢给 AI 去做了，正好阿里云有一堆额度没用完，直接批量推理搞定，最后分数也还不错。这次综合渗透排名意外挺靠前的，可能是因为题目难度确实大，很多队伍基本就打了入口，我拿下了仅有 2 解的 Windows Apache CGI 利用，最后渗透单项应该是排名第二。队友也很给力，归一化后的综合排名还可以，拿到了靶场单项奖以及一等奖，算是弥补了去年的遗憾。

值得一提的是，比赛所在的中国网络安全科技馆还是有点意思的，有很多有趣的互动装置，比如一个酒店房间里装了几十个针孔摄像头，可以挑战一下找出它们的位置，再比如伪造来电显示。当然也有些装置就和网络安全没什么关系了😂，纯粹是给小孩子玩的，总的来说科普教育意义比较大，如果在附近并且对网络安全有兴趣的话可以来看看。

8 月：威海

依然是 8 月底错峰旅游，和家人去了威海。景色很不错，不过感觉海鲜真的不太行，不如南方的好吃，好在威海有很多韩料，价格也算实惠，可以爽吃。

9 月：深圳

刚开学没啥事，正好腾讯云黑客松学校 Agent 赛道队伍缺人，就去参加了一下，腾讯包交通和吃住，有奖金拿，还是很香的。比赛场地在深圳腾讯滨海大厦，真的好高，电梯在呼叫时就需要选择要去的楼层。Agent 赛道的要求是使用腾讯云智能体开发平台，在两天时间内搭建一个和心理健康相关的应用，最后一天在腾讯全球数字生态大会上路演。

不得不吐槽一下这种图形化的、组件拖拽连线的智能体开发平台（不单单是腾讯的），对于没有编程经验的用户来说可能很直观、容易上手，但对于有编程经验的人来说实现一些比较复杂的逻辑就会很折磨，甚至不得不大量使用 Python 代码节点来完成一些本应该很容易的事情。两天时间紧赶慢赶终于把应用做出来了，最后路演表现也还不错，拿到了二等奖。

路演结束后顺便在腾讯全球数字生态大会上逛了逛，集章领了很多周边。

在大模型安全展区看到了之前不知道谁留下的 XSS 测试记录，模型竟然也没回复，工作人员解释说为了防止出事，模型的回复都是提前预设好的🤣。

10 月：宁波

去打了 XCTF 线下决赛。

第一天解题+RW，Web 这边一道题直接用 AI 秒了，还有一道比较简单也很快做出来了，只有那道 PHP disable_functions 绕过卡了我一下午，期间还走了不少弯路（不过也不一定是坏事，谁能想到第二天 AWD 就用上了）。最后是队友发现可以用 Codegate 2025 gravelbox 的思路（一个 PHP 0day，似乎至今未修复）绕过 open_basedir 列目录读取 Flag，赛后才知道这道题别的队伍是用 curl 扩展加载 so 以及 PDO sqlite 加载 so 做的，也是学到了。第一天结束时是位居第一，不过 RW 题目能过夜，第二天被别的队伍赶超了。

第二天是 AWD 赛制，但没传统 AWD 那么混乱，只能提交修补包，不能访问自己的服务，平台会 check 以及部署修补包，流量以及补丁会延迟几轮公开。上来两道 Web 题我都用 AI 快速帮我找了个洞，获得了修补权限。然后就是不停地挖新洞、打&修，Web 这边感觉打到后面变成了大举办，挖不出新洞就都在举报别人通防/过度修补😂，比如有个后门我直接给干掉了，结果裁判过来说我上通防，后来才知道意思是要把后门留着，把能触发后门的条件给修了，也是挺无语的。总之就是到了比赛结束前两小时，Web 这边的分数感觉不怎么变化了，该打的都打了，该修的也都修了。就在这时我突然想到了第一天 PHP 那题走的弯路，利用 .htaccess 可以读文件啊，于是赶紧写 EXP 开始疯狂收割，要不是这个洞自己之前无意间修掉了，还能多收割几轮。PWN 那边队友也非常给力，即使比赛平台的 Bug 导致我们少了几万分，依然遥遥领先，大家都太厉害了。最后拿了冠军，也是 0ops XCTF 首冠。

12 月：北京

上一次去北京似乎还是小学的时候。这次被拉去某个比赛凑数，因为恰好后面还有事情也没有时间玩了，匆匆去匆匆回。尝了下庆丰包子，感觉一般般？🥶和平时吃的似乎也没啥不同。另外就是发现东航的空中快线现在可以全程免费用 Wi-Fi 基础版，路上的时间刷刷水源很快就过去了。

音乐

来看看今年的听歌报告吧！

没想到年度歌手变成羊文学了，ChiliChill 今年只能排第二啦。最初是因为买了索尼的耳机，在附带的 360 Reality Audio Live 的典型内容中发现了羊文学，一听就喜欢上了，尤其是很多歌里面的音墙听着特别爽。

展望 2026

呼，马上要 2026 啦！回看去年定下的小目标，除了博客没怎么更新之外，似乎基本都实现了！那么就再定一批小目标，希望 2026 年：

• 顺利毕业 & 续费 2.5 年
• 去更多的地方玩玩玩（最好能出一次国）
• 听一场 Livehouse
• 保持博客更新，经常来除除草（今年又双叒叕继续颓废了一年）
• 在成为大黑客的路上继续努力
• 身体健康，平安快乐

最后感谢读到这的你，新年快乐哟🥳，祝你的 2026 年一切如愿、更加精彩！