先知技术社区

AI辅助还原Coruna漏洞利用链混淆代码

本文分析了SUCTF题目SU_jdbc-master的完整攻击链。利用Unicode字符ſ转大写为S的特性，绕过仅做小写匹配的Spring MVC鉴权拦截器；随后通过Jackson反序列化覆盖默认JDBC驱动为存在漏洞的Kingbase8，结合临时文件写入与文件描述符爆破，触发恶意Spring XML配置加载，最终实现命令执行回显。

本文是一篇探讨如何将AI（尤其是大语言模型）与Web3智能合约安全审计深度结合的技术实践与方法论文章。基于实际工作经验，提出在AI时代，真正高效的自动化代码审计不应依赖简单的指令或具体的漏洞案例，而应回归“提示词编写（Prompt Engineering）”的基本功。

1. 深度分析Dridex分析 2. 介绍分析过程中的各种技巧 3. 编写脚本提取C2

漏洞来源漏洞描述n8n 是一个开源工作流自动化平台。在 2.2.0 和 1.123.8 版本之前，拥有创建或修改工作流权限的已认证用户可以利用 git 操作链接“从磁盘读取/写入文件”节点，从而实现远程代码执行。攻击者通过写入特定的配置文件并触发 git 操作，即可在 n8n 主机上执行任意 shell 命令。此问题已在 n8n 2.2.0 和 1.123.8 版本中修复。用户应升级到这些版本或更

Smartbi的RMIServlet接口由于其方法调用的功能，出现过非常多漏洞，以这个接口为切入点，开始分析其出现过的部分历史漏洞。

OpenClaw作为最近爆火的AI应用，其设计者已深刻意识到了外部攻击面的风险，并构建了多层的静态防护机制，但当攻击者利用长上下文的认知负载和任务导向性等手段逐步诱导AI忽略安全边界时，AI 似乎难以始终守住边界，最终仍可能执行恶意命令。

该文章记录了jeecgboot两个0day漏洞的挖掘过程

总结来说，Auto Login Skill 不只是一个自动化工具，它更是一种 AI 技能在网络安全领域的落地实践。 从自动识别系统到智能纠错，再到多技能联动，它展示了 AI 在渗透测试等网络安全任务中的巨大潜力（还比如钓鱼很多场景提效）。

泄露的claude code分析完后刚好和我上一篇写的openclaw的防御分析连续起来，两个超级大热门一起进行分析

我们可以进一步利用CVE-2026-26023漏洞，在受害者查看历史聊天记录时触发恶意脚本，进而借助受害者浏览器的已授权上下文，调用Dify后端API，最终实现从中危XSS到窃取工作空间权限的危害提升

分享一下最近挖的两个0Day的思路

本文收集了软件安全赛2026线上初赛全部题的wp

2026 CISCN&长城杯半决赛 AWDP-PWN 题解

2026阿里CTF MHGA题解：基于ViburDBCP与HessianProxy的JNDI注入高版本绕过研究

edusrc漏洞挖掘常见思路

本文分析了 Qwik 框架 server$ RPC 机制中的不安全反序列化漏洞 CVE-2026-27971，通过构造恶意 application/qwik-json 请求并利用 QRL 对象 Hash 校验绕过逻辑，实现了未授权远程代码执行。文章详细拆解了从请求解析到动态模块加载的完整攻击链，揭示

题目质量还是很高的，很有新意

本文围绕 polarisCTF 的 9 道密码学题目展开，包含整体思路、解题关键与完整的解题脚本

仿真场景、内网渗透、横向移动、权限提升、权限维持、evasion、ATT&CK