Kimi Claw使用尝鲜
Intro 最近Kimi上线了Kimi Claw,可以关联自己的OpenClaw,能直接通过 Kimi 自由对话,自动配置 Kimi K2.5 Thinking 模型和实用技能库,支持多种聊天工具,主动完成各种任务。OpenClaw已经不算什么新东西了,但Kimi是我日用的AI之一。这代Kimi已经有了直接编写代码运行的能力,如果常用K2.5思考就能发现它很喜欢做各类数据分析图表。基模相比上一代K2也要强大不少。不过很多工具它仍然无法在WebUI或手机App上使用,如果能直接集成一个claw还是挺方便的。所以我准备配置一个,作为日常AI的能力扩展。 事前准备 购入Kimi会员并准备一台服务器,我的是hk 2c2g,应该够用了 安装 如果是全新机子,需要先安装nodejs v22+和npm,不过OpenClaw安装脚本已经集成了这一步 1curl -fsSL https://openclaw.ai/install.sh | bash hk的服务器按理说不会有网络问题,配置大部分都可以选择Skip,模型选择Kimi Code提供的K2.5或者其他厂商,我配置的是GLM。如果不配置模型...
Coding Plan汇总
Coding Plan汇总 更新于2026-02-13 本文只对市面上常见 Coding Plan 做汇总,仅供参考,不定期更新 国内厂商 厂商 名称 模型 价格 描述 链接 智谱(Zhipu) GLM Coding Plan GLM系列 49/149/469 RMB/月(Lite/Pro/Max) 每5小时限额,200K上下文 https://www.bigmodel.cn/glm-coding Kimi Kimi Code K2.5 49/99/199/699 RMB/月(Andante/Moderato/Allegretto/Allegro) 每5小时可用约300-1200次API请求,最高并发上限达30,有周额度,有Kimi App权益 https://www.kimi.com/code MiniMax MiniMax Coding Plan M2.5等MiniMax系列 29/49/119 RMB/月(Starter/Plus/Max) Starter次数较少,40 prompts 每5小时 https://platform.minimaxi....
VNCTF2026 HuntingAgent WP
HuntingAgent Intro misc唯一的ai题,还和隔壁阿里CTF撞题了,隔壁0解我1解😭😭😭 讲解PPT:点击下载 题目内容 Himekawa made a multi-agent auditing tool, but he found that it has many security issues… tips: You can only submit 2 tasks per minute. There is a simple filter when submitting code, and the Supervisor Agent will review your intentions and some code before the process. The Skill Agent doesn’t run every time, please make sure its status is not AFK Hint Hint 1: 完整的项目已经开源: https://github.com/hermit403/HuntingAgent 如果你确认...
Nixos+Hyprland安装与配置美化记录
这篇文章还在持续更新中。近期由于事情比较多,没什么时间来详细写记录。我的最终目的是为看到这篇文章的访客提供完整可用的配置文件(dotfiles)与详细的踩坑记录 Nixos 是什么? Nixos是一个基于 Nix 的 Linux 发行版,它最大的特点是系统通过 Nix 语言编写的中心化的配置文件进行管理,几乎一切都是可声明的。这也意味着你可以很轻松地迁移或复现某一状态——只需要确保配置文件相同再sudo nixos-rebuild switch即可。Nixos 在安装或升级一个软件包不会破坏其他软件包,同时也在启动时提供了回滚机制,从而确保了系统可靠性 前置条件 本次安装将使用ASUS Zenbook 14,搭载AMD Ryzen AI 7 H 350。同时我还将使用一块致态 Ti600 500GB PCle4.0的 m2 硬盘,出于可移动性考虑将安置在一个使用 RTL9210 主控的 ITGZ 硬盘盒内(实测在使用雷电 4 接口时传输速率可达 700MB/S),作为随身Linux使用(参考NixOS Manual) 安装 iso 镜像来自NixOS 官网,由于使用图形化安装...
CISCN2026 初赛 WP
wasm-login wasm逆向,下载附件得到build(wasm产物),一个js和一个index.html,此外,产物内除了wasm还有其对应的.wasm.map文件,即Source Map 可以在index.html所在目录下用python -m http.server开一个服务,防止CORS不允许访问wasm F12可以看到注释里写了 测试账号 admin 测试密码 admin 继续审计index内的源码,以及simulateServerRequest()函数源码,可以看到其调用了wasm中的authenticate函数,parse返回的JSON,然后把对象JSON.stringify后计算MD5,并用check.startsWith("ccaf33e3512e31f3")判断是否是正确的check值 审计wasm,只需将.map中的\n替换为扩展就能拿到源映射。分析代码,要用Date.now()作为签名secret,结合用户名和密码做HMAC-SHA256生成signature 我们知道了用户名和密码,要通过HMAC只需调用release.js已...
0CTF 2025 misc WP
0CTF 2025 部分 misc 的 WP Check-in 网页 F12 搜0ops可以得到第一部分 flag 为0ops{WelCome!4nd,加 discord 得到第二部分m4y_yoU_enjoY_the_0Ctf_2025} GhostDB 一个 vlang 编写的程序,V语言是一门新兴的、静态类型的编译型编程语言,专为构建可维护性高的软件而设计。在设计理念上与 Go 语言相似。 vlang审计,要求rows大于114514,但一开始的插入配额是60000,升级到Pro为无限 由于V语言是开源的,可以找到BSTree部分的源码:https://github.com/vlang/v/blob/master/vlib/datatypes/bstree.v BSTree(二叉搜索树)在remove操作时存在溢出点:删除拥有两个子节点的节点时会丢失右子树。故我们在不升级到Pro的情况下,可以先利用60000的插入配额上限构造一个尽可能大的二叉树,随后删除 Root,触发 Bug 导致整个右子树丢失,N = 58000,affected_rows = (...
玄机 0x401-TECI WP
All of this started with that website… After I ran that software, it was already too late…… This challenge needs reverse engineering skill. 所有 flag 不用包裹 例如 123 提交 123 即可 下载附件得到traffic.pcap流量包 步骤 1:钓鱼网站的端口是多少? (例: 1234) 追踪 http stream(tcp.stream eq 0) 12345678910111213GET /index.html HTTP/1.1Accept: text/html, application/xhtml+xml, */*Accept-Language: zh-CNUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoAccept-Encoding: gzip, deflateHost: 192.168.20.1:8080If-...
Mini V&N CTF 2025 - welcome.pdf
先放解题情况,其实解数是在预期之内的 Mini V&N CTF 2025 welcome.pdf WP 首先下载附件,zip 提示加密,里面有两个文件,分别是welcome.pdf和welcome.7z 第一步伪加密很简单,用010去压缩包尾部把全局方式位标记从09 00改成00 00即可,两个文件都需要修复 随后解压缩得到 pdf 和被加密的 7z 压缩包(这里选择了文件名加密,所以是看不到内容的) 观察pdf,在十六进制编辑器下出现了不少20和09数据,可以推测是使用了pdf隐写 这里补上相关的技术细节(来源于网络) 需要使用一个pdf隐写的工具wbStego4open,官网:https://www.bailer.at/wbstego/ 直接使用空密码Decode可以得到一个字符串,是7z压缩包的密码:fHsi9qhd#3 解压后得到四张JPG图片,ku ming yuan yang😮 看到这个标志性的角应该就知道是汉信码了,把四张图用PS拼一下,得到完整汉信码 但是由于深浅色对比反过来了,直接扫是扫不出来的,需要简单做一下处理(反向+拉高对比度...
AHUCTF2025 出题人 WP
Intro 一年过去了,今年我成出题人了 😋 为了让今年的比赛显得和往年有所不同,再加上最近赛事中人工智能安全相关内容也有了一定占比(当下趋势),我特地准备了一些 AI 方向的题目。同时为了防止有新生拿 AI 把题目通杀了,我的题目在上新前,都拿 AI 测试了一遍,保证不能被一把梭(两把梭的倒是有) 今年的 AI 实在是太强了,还是有些怀念去年,AI 连简单的 ret2shellcode 都做不出来,更没有那么多 MCP 和知识库用。同时,今年的 WP 中也少不了 AI 的痕迹,图寻和密码等更是 AI 的重灾区。有人愣是把大语言模型用成大预言模型——你本地跑过生成的脚本了吗,没跑就交???平均提交正解率仅有 15%,这个数字实在是有点低出预期了 不过要说不鼓励使用 AI 是不可能的。恰相反,在 AI 帮助下能极大地提高学习效率。希望过度依赖 AI 的各位在使用 AI 解出题后能真正理解为什么这样能打出 flag?,而不是解出->提交->AI 写个 WP,就此了事 Re 《CTF Days》 一个使用 Renpy 引擎打包的安卓视觉小说游戏(心跳文学部也是 Renpy...