先知技术社区

ATT&CK实战框架-lab14 内网渗透、多层代理、横向移动、dumphash、ATT&CK、web渗透、权限提升

rustfs gRPC 身份认证绕过漏洞(CVE-2025-68926) 漏洞复现

2025年冬ciscn国赛初赛 pwn 题目easy_rw讲解

FoxCMS是一套可免费商用且开源的网站管理系统,采用PHP+MySQL架构。 FOXCMS黔狐内容管理系统存在服务参数注入漏洞，攻击者可利用该漏洞获取服务器控制权。

CVE-2025-4786, CVE-2025-4787, CVE-2025-4283, CVE-2025-4267, CVE-2025-4282.

JAVA源码审计

阿里集团集团安全部招聘高级风控安全工程师-漏洞挖掘方向

复现了2025ciscn暨长城杯初赛pwn方向，minihttpd这道题

本文讲解了如何从零分析webpwn，并且一点点做出来

阿里集团安全部招聘安全工程师-AI for security

初赛WriteUp

高版本Winos远控框架、伪装成火绒安装包传播

学习web入门的各类题型，辅助建立基础的web框架

一次项目上的快速代码审计

HKCERT CTF 2025 labyrinth反序列化学习——主要考察了hessian反序列化的利用

webredjs看到next.js框架，就很容易想到前段时间很火的CVE-2025-55182直接用网上现成的poc获取flagAI_WAF抓包，使用-1发现sql注入发现使用一些关键字会进行拦截尝试进行绕过，发现使用内联绕过可以成功，`/*!50000 */`ai会认为这个是被注释掉的，但是当前MySQL版本大于5.00.00版本，会执行注释中的语法，成功绕过测试发现第一个字段有回显获取所有表名

这个题被打穿了，我坐牢到2点多才出，其他题根本没时间看

第三届长城杯初赛 web部分赛题wp

记一次Java代码审计——LuckyFrameWeb-V3.1_Beta

随着Agentic AI（具备自主规划、工具调用与多步任务执行能力的智能体系统）在生产环境中的规模化应用，传统大语言模型（LLM）的安全防护机制已难以应对其独特的攻击面。这类系统通过多代理协作、外部工具集成和自主决策能力，在提升效率的同时，也引入了全新的安全风险——攻击者可利用提示注入、工具滥用等手段，绕过安全机制实现未授权访问、数据泄露甚至系统控制