先知技术社区

对一次诈骗app渗透测试

刚睡醒，就看到群里都在转发一个洞，而且官方还很贴心，代码和思路都有，那就也来跟着学习思路了 1Panel hvv 倒是遇到了一些，不过确实没有打 https://github.com/1Panel-dev/1Panel

一步一步构建出C2，毫无保留！

由一道CTF题目展开对Nginx 解析漏洞实现路径绕过学习

2025春秋杯夏季赛云境靶场wp

从 mall 0day IDOR 挖掘看 Spring 权限管理

基于飞书云文档实现C2的流量转发(demo)

pickle配合types.CodeType实现接管任意函数，修改函数任意代码逻辑（类似内存马

2025年8月10日，用友官方发布关于NC系统ComboOperTools存在XML实体注入漏洞的修复通告，宣布修复了NC系统importCombo接口的XXE漏洞，攻击者通过构造恶意XML文件，利用 importCombo 接口上传并解析，实现任意文件读取或SSRF攻击等操作，进而可能导致敏感信息泄露或进一步的系统入侵。

本文从DownUnderCTF 2025的一道web题，通过深入HandleBars源码来研究AST树注入问题与相应的防御措施

java jdk17 反序列化 模块检测

这篇文章主要是给没有学习过js逆向的师傅学习的，分享一些js逆向基础知识，js实战断点调试技巧以及后面分享js逆向靶场搭建以及js逆向前端加密对抗，拿微信小程序常用的AES、RSA和明文Sign 签名校验绕过几个方面给师傅们分享下操作技巧。最后分享下企业SRC实战案例。

LLVM 是一种模块化编译框架，通过 IR 和 Pass 实现跨平台优化与扩展；OLLVM 则在此基础上通过自定义 Pass 注入控制流平坦化、虚假控制流、指令替换等手段实现代码混淆。 优化追求性能与简洁，而混淆则有意制造复杂度，用于提高逆向分析的难度。

该CTF题目通过​​笛卡尔积注入​​绕过SQL过滤获取管理员密码，随后通过​​环境变量注入进行RCE，全网首发wp。

第十届上海市大学生网络安全大赛 暨“磐石行动”2025第三届全国高校网络安全攻防活动

通过靶场掌握Host头漏洞原理

CCF智能汽车大赛（CCF Intelligent Vehicle Competition, CCF IVC）是中国计算机学会（CCF）主办的面向智能汽车领域的旗舰竞赛，每年举办一届，大赛旨在推进人才培养和个人成长。首届CCF智能汽车大赛（CCF IVC 2025）与第三届CCF智能汽车学术年会（CIVS 2025）同期举办。本届竞赛分为汽车安全攻防赛、自动驾驶仿真赛两个赛项。 本文是汽车安全攻防

通过Burp suite labs靶场来掌握JWT漏洞验证手法

前世Win32 APIWin32 API实现最简单的Shellcode Loader如下，代码中包含注释，可以看到每条语句的含义上述代码编译执行后，Meterpreter可成功收到反连，如下图通过PE-bear查看，可以看到IAT中存在之前用到的几个Win32 API，如下图LoadLibrary、GetProcAddress然后进化出通过LoadLibrary、GetProcAddress实现的

从理论到实践，从系统调用到自定义堆栈