嗨,欢迎来玩。这里是我在计算机、网络安全和开源世界里的探索记录——写代码、打 CTF、做开源项目,还有偶尔的胡思乱想。
我是谁
我叫 Fisssssh,五个 s,太原理工大学 2025 级的本科生。目前大部分时间花在两件事上:Web 安全和写代码。
有人问过我:安全跟写代码不是两个方向吗?其实对我来说它们是一回事——都是想搞清楚”这东西到底怎么运作的”。安全的思路帮我拆解系统、找弱点,写代码的思路帮我把想法变成能跑起来的东西。比如学反序列化漏洞的时候,我不止是背 Payload,还会去想 PHP 为什么要设计这个机制、序列化的过程到底发生了什么——这种刨根问底的习惯,也让我写代码时更清楚自己在干什么。
我学编程是从高中开始的。最早是 Python——写爬虫抓小说、做 Discord 机器人、搞点自动化脚本。那时候完全不懂什么叫工程,就是单纯的”这东西能跑!好爽!”。后来慢慢接触了 Java、TypeScript、Electron,开始写一些正经的项目。回头看这个过程挺有意思的——从一行脚本到几千行的项目,从”能跑就行”到”这架构怎么设计比较好”,每个阶段都有不同的快乐。
2025 年 9 月进了太原理工大学。大学生活比我预想的更自由——课堂上学线代、离散数学、数据结构,课余时间写自己的开源项目、打 CTF、研究新框架。说实话,我觉得课上和课下学的东西是互相成就的:课上的理论给你底气,课下的实践给你直觉。
我会点什么
Web 安全 & CTF
- PHP / Java 代码审计
- 内网与域渗透
- CTF 竞赛(Web 方向为主)
- Burp Suite、SQLMap、nuclei 等工具
后端开发
- Java / Spring Boot
- Spring AI + MCP 协议
- Python 脚本与自动化
- RAG / Lucene / ES
前端 & 全栈
- TypeScript / React / Electron
- Vue 3
- Docker / Nginx / Linux
- GitHub 开源协作
我在做的项目
我喜欢把想法变成代码——不是为了交作业或者凑简历,就是觉得”这个东西没人做 / 做的不够好,我来试试”。
CodeStyle(码蜂)
目前花心思最多的项目。想法很简单:每个团队都有自己的代码规范和模板,但文档写了就没人看。能不能让 AI 在开发者写代码的时候,自动推荐匹配的规范和模板?
技术方案是用 MCP 协议搭桥——管理后台定义模板,MCP Server 索引到 Lucene,开发者在 IDE 里写代码时 AI 实时检索推荐。后端是 Spring Boot + Vue 3,检索用了本地缓存 + 远程仓库双层架构,支持增量同步和多版本管理。整个项目让我把”AI 工程化”这个词从概念落到了代码上。
FishMusic(MusicWave)
起因很朴素——我想听一首 B 站上的翻唱,但网上找不到音频。自己的需求自己解决:粘贴 BV 号 → 下载音频 → 转 MP3 → 本地歌单管理。
Electron + React + TypeScript 搭的桌面应用,用了 wavesurfer.js 做波形编辑,FFmpeg 做音频处理。无边框窗口设计,Ant Design 做界面。从第一行代码到能跑起来大概花了两周,期间跟 Electron 的主进程/渲染进程通信、FFmpeg 参数、状态管理的各种坑斗智斗勇。最后看到播放器流畅运行的那一刻——值了。
MCP Codestyle Server
CodeStyle 的 MCP 协议实现,基于 Spring AI。把代码模板检索封装成 AI 可以调用的工具,支持 stdio 和 HTTP 两种通信方式。做这个项目让我真正搞懂了——”AI 调用工具”这个看似简单的动作背后,涉及工具注册、参数校验、上下文传递、结果格式化一整套流程。Spring AI 封装的很好,但想用好还是得理解底层的 JSON-RPC 2.0。
UKFC 战队
UKFC 是我加的 CTF 战队,主攻 Web 方向。入队之前我自己也刷了不少题,但基本停留在”看得懂 Writeup”的水平。真正加入战队之后——每周训练、赛后复盘、打 live CTF 时那种倒计时的压迫感——进步速度完全不一样了。
我的训练路线大概是这样的:
- 入门(2025 年 9-10 月):补基础,PHP 语法、常见漏洞类型、用 dvwa 和 upload-labs 这类靶场练手。最大的收获是心里有了一张”漏洞地图”——SQL 注入、文件上传、命令执行、SSRF、反序列化,每种漏洞的触发条件和利用思路。
- 进阶(2025 年 10-12 月):大量刷题。复现了 NewStar CTF 2024 的 Web 题,在 BUU 上练习。开始接触各种”偏门”技巧——PHP 伪协议、session 反序列化、Git 泄露恢复、WAF 绕过。每道题不光是拿 Flag,更会花时间搞清楚背后的原理。
- 深入(2026 年 1 月至今):磕反序列化。从 __wakeup() 绕过到 POP 链构造,从原生类到 phar:// 协议。同时开始学内网渗透和域攻防,理解完整的攻击链。
训练记录都在 UKFC 日志 和 UKY 周报 里,每一步都写了。
关于这个博客
我写博客的出发点特别简单:学会的东西写下来,自己记得更牢,说不定还能帮到别人。有一次我凌晨三点 debug 一个 PHP 反序列化的题,最后在一篇不起眼的博客里找到了突破口——那一刻真切地感受到,分享知识这件事多么重要。
博客里大概有四类内容:
- 安全研究——漏洞分析、CTF 题解、渗透技巧。基本都是我实际卡住过的问题,所以会尽量把坑点和思路讲清楚。
- 技术文章——框架架构、工具链实践。这类写得最慢,因为要查源码、验证假设,但写完之后自己也通透很多。
- 学习日志——UKFC 周报、训练记录、阶段性总结。可能不够精致,但真实记录了一个菜鸟慢慢进步的过程。
- 知识整理——计算机基础教程的总结、读书笔记、实用资源。当你想快速入门某个领域时可以翻翻。
我不追求每篇都写到完美再发。写完了就发,有错就改——Done is better than perfect。
技术之外
不是所有时间都在写代码。以下是一些和工作无关但对我很重要的身份:
- 车万人(东方 Project 爱好者)——着迷于 ZUN 创造的幻想乡世界观和音乐。相比弹幕游戏本身,我更沉迷于东方的设定考据和同人创作生态。一个单人开发的游戏系列能撑起二十多年的同人热潮,这件事本身就值得研究。
- 独立游戏玩家——觉得独立游戏比 3A 有意思。小团队、有限资源、无限想法,这种约束下的创造力很打动人。而且说实话——独立游戏那种”用最小机制实现最大效果”的思路,和写代码时追求的简洁设计有微妙的相通之处。
- Minecraft 建筑师——在方块世界里花了很多时间。后来意识到 Minecraft 的创造模式其实训练了我的工程思维——先规划、再建造、不断迭代、遇到问题重新设计。红石电路简直就是可视化编程。
“Fisssssh” 这个 ID
之前用过的 ID 叫”咸鱼体验”——顾名思义,菜且佛系。后来觉得需要换个正式点的名字,就把 “fish” 改成了 “Fisssssh”——多加了几个 s,你可以数一下,五个 s,夹在 f 跟 h 中间。
这五个 s,是我给自己的五个提醒:
| Stay Curious | 保持好奇——新语言、新框架、新漏洞类型,永远有东西可学 |
| Stay Humble | 保持谦逊——知道的越多,越清楚自己不知道的还有多少 |
| Stay Sharp | 保持敏锐——安全研究里,有时决定成败的不是知识量,而是对异常的敏感 |
| Stay Hungry | 保持饥渴——不满足于”能用”,追求”做好” |
| Stay Foolish | 保持傻气——敢走不寻常的路,不怕犯错。承认自己会犯错的人,反而更少犯致命错误 |
以后想干什么
说实话,以下内容写下来更多是给自己看的——过两年回来看,看看做到了没。
- 安全上继续深入——从 CTF 慢慢过渡到真实场景的渗透测试。CTF 训练的是解题能力,但真实世界的安全更复杂、也更脏。计划在 2026-2027 年参与一些众测和漏洞申报。
- 把 CodeStyle 做大——目前还是个人项目,希望能吸引更多贡献者。一个好的开源项目需要社区,一个人搞总有天花板。
- 在”AI + 安全”上做出点东西——这个方向现在还很早期,大部分产品本质上只是给 ChatGPT 套了个壳。我想做真正有用的工具——不是替代人,而是放大人的能力。
- 坚持写博客——哪怕学业和项目再忙,希望至少每月能出一篇有质量的文章。写作本身是最好的思考方式。
聊聊呗
如果你对安全感兴趣、想交流技术、对我的项目有想法,或者纯粹想聊聊东方 Project——都欢迎来找我玩。
- 邮箱:fisssssh1977@163.com
- GitHub:github.com/ShanEior
- 博客:fisssssh.top
感谢你看完这么长一篇自我介绍。期待在某个时间点——也许是一篇文章的评论区、一封邮件、一个 GitHub Issue——跟你认识。