先知技术社区

Mystic Stealer是 2023 年出现的一种信息窃取工具，主要攻击Web 浏览器和加密货币钱包，并具有重度的代码混淆特征。笔者详细对比了该软件的不同版本，指出其利用常量展开和多态技术来隐藏 C2 服务器等关键配置。通过对解密算法的深入剖析，笔者总结出对其批量化提取配置的脚本。

车联网安全基础：NFC中继攻击

简单分享一下自己在比赛中的解题过程和理解

之前2023年浙江省赛的一道Java题目，题目涉及的Java漏洞点挺多的，有关 ● springboot限定版本的%2e绕过Trick ● apache-ant的zipslip漏洞 ● Enjoy国产模板引擎注入 ● JDK18环境下的内存马打入

本文先分析Hessian1/2的序列化与反序列化过程，接着给出反序列化临时修复的代码，然后分析整理常见的Hessian反序列化利用链，最后补充其他的Hessian知识点。

阿里集团安全部招聘安全攻防工程师

结合代码分析：CVE-2026-27944（Nginx UI未授权备份下载与加密密钥泄露）漏洞

保姆级讲解CC1-7（跟踪代码调试+讲解）

本文基于一套经过实战验证的安全审计 Skill 体系的设计与重构经验，系统讲解如何编写高质量的代码审计 Skill。

报名开启｜2026阿里白帽大会议程发布

CVE-2026-30839（Wallos SSRF）——基于代码层面分析

本文为 Windows x64 ShellCode 开发系列第一章，讲解 x64 汇编基础与纯汇编实现ShellCode 编写流程。文章基于 NASM 汇编语法，从 TEB/PEB 遍历出发，手动定位 kernel32.dll 基址，解析 PE 导出表实现函数地址动态查询；适合 Windows 漏洞利用、ShellCode 开发学习。

一种通用的新的ssti利用方法

skill介绍、skill使用、开发属于自己的skill。

HisModules ERP 系统存在的严重安全缺陷

Bread 靶机渗透测试：利用 ACL/ACE 滥用攻击提权前言Bread 靶机是由 maze-sec 团队开发的 Active Directory (AD) 环境靶场，旨在模拟真实域环境下的权限提升场景。本文记录了从信息收集到域控提权的完整过程，重点聚焦于 Wegia CMS 的 SQL 注入漏洞利用、密码爆破，以及通过 bloodyAD 工具进行的 ACL/ACE 滥用攻击。该靶机强调 AD

漏洞来源一个评分十分的漏洞漏洞描述WeKnora 是一个基于 LLM 的框架，旨在实现深度文档理解和语义检索。在 0.2.12 版本之前，该应用程序的数据库查询功能存在远程代码执行 (RCE) 漏洞。验证系统未能递归检查 PostgreSQL 数组表达式和行表达式中的子节点，这使得攻击者能够绕过 SQL 注入保护。攻击者可以通过在这些表达式中嵌入危险的 PostgreSQL 函数，并将其与大型对象

array和mqtt题目讲解

本人也是小白，经过分析总结多位大佬的相关文章，总结了C3P0反序列化利用链，大佬轻喷！

逆向利用CFG绕过、堆栈欺骗、DLL Hollowing等技术的加载器