先知技术社区

HKCERT CTF 2025 labyrinth反序列化学习——主要考察了hessian反序列化的利用

记一次Java代码审计——LuckyFrameWeb-V3.1_Beta

阿里集团安全部招聘安全工程师-AI for security

2025年冬ciscn国赛初赛 pwn 题目easy_rw讲解

初赛WriteUp

本文章中所有内容仅供学习交流，严禁用于商业用途和非法用途，否则由此产生的一切后果均与文章作者无关。

哈希爆破 Word 密码，绕过加密宏的两种思路

某项目App渗透测试，主要针对于数据包签名进行逆向分析以及App其本身的配置错误导致的漏洞，当然还有最基础的与web一样的渗透测试，不过只能通过App运行的方式才能进行抓包看数据啥的，其实相对来说比较简单，并没有涉及太多的代码混淆解密，hook逆向以及其他比较复杂的技术，笔者本篇文章所涉及的基本上就是一般App的测试流程，稍微复杂一点的可能就要进行App脱壳和代码混淆解密啥的，这里不做深入讲解。

弄懂最基本的栈，学会不依赖ai手搓逆向脚本。网上没有给新手介绍所以然的，我把学习一年后的心得详细分享

主页涵盖常见绕过方法、实战存在场景及扩大危害利用手法

minithhpd详解

仅有gets栈溢出漏洞的攻击方式

记一次j2eefast-1.6.0审计

通过总结了三条Java基础CC反序列化的调用链，通过CTF题目DeserBug展示了在受限环境下如何创新组合已有组件实现攻击目标，灵活组合不同链的优点绕过限制。

讲解一下栈上遇到的很多特殊的小题型（0$shell 32位srop ret2libc环境配置 修改libc中的got表 利用环境变量泄露栈地址 64位连续srop）

结合iscc一道决赛题目hachimi进行讲解

随着Agentic AI（具备自主规划、工具调用与多步任务执行能力的智能体系统）在生产环境中的规模化应用，传统大语言模型（LLM）的安全防护机制已难以应对其独特的攻击面。这类系统通过多代理协作、外部工具集成和自主决策能力，在提升效率的同时，也引入了全新的安全风险——攻击者可利用提示注入、工具滥用等手段，绕过安全机制实现未授权访问、数据泄露甚至系统控制

web

AI Agent 的核心竞争力之一，在于其通过上下文（Context）技术实现的动态适配能力 —— 无论是上下文学习（ICL）中通过示例快速掌握任务，还是多轮对话中记忆用户偏好，上下文都像是 Agent 的 “短期记忆”，支撑着灵活交互与精准响应。但这份 “记忆” 恰恰是安全风险的重灾区：从敏感信息泄露到任务逻辑篡改，从权限边界突破到供应链攻击，上下文技术的每一个应用场景，都可能成为攻击者的突破口

以蜜与金属为食，以零与一为息。 综合内网、内网渗透、权限提升、横向移动、权限维持、多层代理、数据库渗透