先知技术社区

在一次闲来无事时，发现一款开源的java项目，于是打开idea进行一波漏洞挖掘。

文章主要对python中Bottle框架的模板引擎渲染的安全漏洞问题进行原理分析和利用

周末高强度比赛中发现一个质量较高的比赛

Apache Mina 是一款基于 Java 的高性能网络应用框架，其核心功能在于简化复杂网络通信的开发流程，同时确保具备可扩展性与高效性。

在一次项目中遇到某java开源系统，遂对其进行漏洞挖掘。

样本分析

无限接近真实系统的靶机环境

SwampCTF Re WP本周末的一个国际赛，ctftime rating挺高，质量还可以 SwampCTF第一题简单，剩下两道题都有一定难度，需要一定技巧，本文详细分析了后两题

APP资源提取思路分享

高度混淆的恶意BAT文件，通过AES加密、持久化及PowerShell执行恶意代码。

Vite 任意文件读取漏洞(CVE-2025-30208)

国外模型越狱实战

OT（Oblivious Transfer）是一种在密码学协议中广泛应用的技术，确保信息的选择性传输而不暴露选择意图。在 CTF 竞赛中，OT 机制常用于密码学攻击，尤其是基于 RSA 的变体（OTRSA），本文将对OT的原理展开详细的解释并应用于CTF解题中

在xxl-job中，普通用户本应该只能查看和执行他们分配到的执行程序上的任务，并且无法查看与执行未分配到的执行程序的任务。但在2.4.1版本中，普通用户可以通过在执行程序 A 上创建任务并使用子任务 ID，从而执行管理员权限才能执行的执行程序 B 上的子任务。

springSecurity框架在 WebFlux 下的权限饶过

本文探讨Rust编译环境安全漏洞的技术文章。分析了Rust生态中常见的安全威胁，以及在Cargo编译时的特性造成的逻辑漏洞，详细解析Cargo.toml文件的配置风险，包括依赖、路径穿越等，并展示通过一个模拟GitHub Action的CTF题目，展示了如何利用过程宏和路径穿越漏洞实现RCE。

SwampCTF is a student-run competition and hosted by the University of Florida Student InfoSec Team (UFSIT) a.k.a Kernel Sanders.

我们很多时候都轻视了任意文件读取漏洞，让我们一起从CVE-2025-30208深入看任意文件读取漏洞利用场景，一起从任意文件读取漏洞到GetShell！

具体分析了Hessian协议在序列化和反序列化的相关流程代码、并通过Rome链和JdbcRowSetImpl两个链进行了漏洞分析

深入解析：高版本 JRE 下 H2 RCE 绕过新思路