先知技术社区

曼彻斯特编码的详细过程，三种编码模式的剖析，编码、解码过程的详细py脚本，在ctf中的应用 - 差分曼彻斯特编码 - IEEE 802.3 - G.E. Thomas

本文价绍了WebFlux集成Spring-Security受限静态资源访问授权绕过（CVE-2024-38821）

本文介绍了CVE-2025-22223: Spring Security authorization bypass for method security annotations on parameterized types 漏洞的漏洞原理以及修复措施

Langflow RCE漏洞分析，Python装饰器的小技巧。

某info开源系统是一款开源的php程序，主要用于官网搭建，系统采用自研的架构。

HotSwappableTargetSource+XString利用分析前言：为什么 XString 需要配合 HotSwappableTargetSource 进行利用而不能直接单独使用由 equals 调用到 tostring 方法。XString 构造这里先尝试只用 XString 来进行构造看能不能调用到 tostring 方法，拿调用 JsonObject#toString 来实验，那么

本文探讨CS4.11更新的Eaf_Bypass在UDRL中的实现

ACTF2025 Web 全解

foritgate 后利用

介绍了CreateProcess注入的基本框架，基于此框架介绍四种不同的注入实现，最后给出检测和对抗方案。

最近闲来无事，突然想到了dvwa中的api模块还没有完成

此漏洞源于 Ollama 处理 `/api/push` API 请求时对用户提供的模型名称缺乏充分的验证和清理。当用户尝试推送一个模型时，Ollama 服务器会检查该模型是否存在。如果模型名称被构造成一个文件路径（例如，使用路径遍历序列如 `../../..`），服务器的响应（或缺乏错误响应）可以间接揭示该路径在服务器上是否有效。文章详细解释了漏洞的原理以及从爬取模型信息到分析响应的利用过程。

前言这篇文章是针对Go-Zero框架的代码审计。这个框架对于我来说也是一个“新”的框架，因为之前也没审过。那么我遇到一个新的框架的时候，我会用一个通用的方法去学习如何审计这个框架。即学习这个框架的项目结构，你需要了解这个框架的结构特性，以便你更好的找到你想要审计的接口。所以这篇文章会介绍Go-Zero框架的项目结构、以及为什么是这样的结构，以便你了解为什么要这样审计这个框架。Go-Zero介绍在了

WebYWB_Web_xff打开靶机发现是一个登录界面，根据题目内容提示，是ip绕过，查看源码，发现php代码根据代码意思，只有我们的ip是2.2.2.1时才能输出flag利用hackbar工具或者bp，将X-Forwarded-For的ip设为2.2.2.1，点击登录即可得到flagYWB_Web_未授权访问根据题目提示，让我们以管理员身份访问网站，打开靶机，在cookie这里发现一个特别代码，

取证题目环境为windows，第一题涉及证书，第二题涉及防火墙，第三题涉及RDP凭据，第四题涉及用户创建以及密码爆破

近期笔者发现了一种极为巧妙的网络钓鱼手法：攻击者滥用Google的OAuth应用授权机制，获取由Google系统发送且带有合法DKIM签名的电子邮件，然后对这封邮件进行重放攻击，使其看起来像是直接来自Google的安全通知。受害者收到邮件时，邮件通过了DKIM身份验证，发件人显示为[email protected]等Google官方地址，一切看似正常，却引导用户访问伪造的Google支持页面窃

web安全

主要讲解CVE-2018-18708栈溢出漏洞的环境搭建、漏洞的复现、漏洞的利用以及漏洞原理讲解

Cdp协议深度应用与探索

主要讲述了模型whisper这一种新型的隐写技术