先知技术社区

本文全面介绍了开源情报分析（OSINT）的核心技术与实战方法，涵盖信息收集的各个环节，包括搜索引擎高级语法、反向图片搜索、EXIF数据解析、社交媒体情报分析、电子邮件地址挖掘、密码泄露检测等。文章还详细讲解了如何构建匿名身份（马甲）以保护隐私，并提供了大量实用工具和网站的推荐，如Hunter.io、Dehashed、HaveIBeenPwned等。无论是CTF选手、安全研究人员，还是对OSINT感

YARA是一种恶意软件模式匹配的工具

某数字藏品app逆向

Qt利用poolparty+计划任务进行断链，隐藏真实意图

直接修改金币和修改汇编代码

本文介绍了如何运用C++和纯汇编开发Shellcode

JAVA代码审计——Echo4.2

本文探讨Rust编译环境安全漏洞的技术文章。分析了Rust生态中常见的安全威胁，以及在Cargo编译时的特性造成的逻辑漏洞，详细解析Cargo.toml文件的配置风险，包括依赖、路径穿越等，并展示通过一个模拟GitHub Action的CTF题目，展示了如何利用过程宏和路径穿越漏洞实现RCE。

hrms中存在未授权获取信息漏洞，该漏洞是由于系统在数据库查询时权限验证存在缺陷，攻击者通过构造 cookies 绕过权限验证，从而造成未经授权访问漏洞。

Kubernetes中发现了一个安全问题，在某些情况下，可以访问pod网络的未经身份验证的攻击者可以在ingress nginx控制器的上下文中执行任意代码。

简单讲述了研究沙箱和对抗沙箱与杀软检测的初尝试

sleep obfuscation

spring 下的 SSRF 漏洞绕过分析以及成因

APP资源提取思路分享

IIS下web.config利用

PicHome是一款功能强大的开源网盘程序，它不仅能高效管理各类文件，还在图像和媒体文件管理方面表现出色。其亮点包括强大的文件共享功能和先进的AI辅助管理工具，为用户提供了便捷、智能的文件管理体验。

无限接近真实系统的靶机环境

从getter到jndi之LdapAttribute反序列化链前言如果现在可以调用 getter 方法但是在 jdk 高版本中 TransformerImpl 因为模块化无法使用我们还能有什么 sink 点呢，这就不得不提今天的主角 jdk 原生类 LdapAttribute 了，这个类存在 getter 方法可以打 jndi 注入。调试分析定位到 LdapAttribute#getAttribu

这个漏洞比较老了，而且复现起来没有特别复杂，漏洞编号是`CVE-2017-17215`,`CVE-2017-17215`是`CheckPoint`团队披露的远程命令执行（`RCE`）漏洞，存在于华为`HG532`路由器中。

GL-iNet 路由器 CVE-2024-39226经典路由器漏洞复现