关于我

你好，我是 Zimo。

这个博客主要记录我在 Web 安全、CTF、Java 安全和渗透测试学习里的复现笔记。内容大多来自实际题目、靶场、源码审计和漏洞调试过程，所以它不会太像一本从零开始的教程，更像是一份持续更新的个人战术手册：遇到什么、怎么判断、哪里卡住、最后怎样打通。

我比较关注这些方向：

• Web 安全与 CTF：文件上传、反序列化、SSTI、SSRF、RCE、SQL 注入、请求走私、解析差异。
• Java 安全：反射、ClassLoader、FastJson、反序列化链、内存马和框架漏洞。
• PHP / Python / Node.js 安全：围绕语言特性、框架行为和常见 CTF 利用链做整理。
• 渗透与应急响应：靶机流程、信息收集、权限提升、挖矿排查和日志分析。

我写文章的习惯是先把能复现、能验证的东西记下来，再慢慢补全原理。很多笔记会保留当时的思考路径，因为真实排查和比赛不是从“标准答案”开始的，更多时候是从一个报错、一段源码、一张截图、一个奇怪的响应里往前推。

如果你也在学安全，希望这里的文章能给你一点参考：不一定每篇都精致，但尽量真实、可复现、有痕迹。

博客内容

目前主要有几类文章：

• CTF：比赛复现、Web 题解和常见技巧。
• JAVA安全：Java 安全学习笔记和漏洞链分析。
• 渗透：靶场、机器和实战流程记录。

后续我会继续把零散笔记整理成更清晰的文章，也会删掉太碎、价值不高的内容，让这个博客更像一个能长期回看的知识库。

联系

如果文章里有明显错误，欢迎指出。安全学习这件事，本来就是在不断修正理解。

• 邮箱：zimo@stu.scu.edu.cn
• 备用邮箱：2893492895@qq.com