先知技术社区

基于自动化工具分析

0xGame2025的misc授课文案，week1到week4都有，知识讲解的都蛮细的，希望能帮助刚踏上ctf_misc的学弟学妹们轻松入门安全 作为出题人而言，这次出的题目感觉还好，比较侧重于原理知识，工具题几乎没有，然后大家可以前往ctf+平台进行复现学习

1. 重点介绍VMP壳如何Dump分析 2. 介绍如何抓重点在复杂的样本中寻找C2配置文件

在安全领域中，“数据安全”通常不是一个抽象的概念，而是一系列需要你通过黑客技术去发现、利用或修复的具体漏洞和挑战。它主要聚焦于“攻击视角”下的数据安全，即数据是如何因为不安全的实践而泄露或被篡改的。

强网杯

Django时隔一年爆出来的SQL注入漏洞，大概一看大概是别名引起的注入（毕竟别名是无法预编译的） 该漏洞影响 Django 框架中的 FilteredRelation 功能，当使用 QuerySet.annotate() 或 QuerySet.alias() 方法，并通过 Python 的字典扩展 (**kwargs) 提供列别名时，存在 SQL 注入风险。这是由于对字典键（即列别名）未进行充分

某管理系统源代码审计

shiro反序列化 结合CC5

关于JeecgBoot漏洞利用Tips

Java代码审计深度分析

受阿里 AI 挑战赛分享启发，结合 edusrc 漏洞规则实践，对校园 AI 提示词越狱的初探索

本文主要揭秘好靶场应急响应靶场制作遇到的一些坑，以及规避的方法。

GreenCMS 存在一个安全漏洞，该漏洞影响版本 2.3.0603 及之前版本。

一道IOT题目的复现

系统介绍了 Special Token Injection（STI）攻击技术，其核心在于利用大模型（LLM）在解析结构化对话模板时的漏洞，通过注入保留/特殊 token 控制模型行为。全文内容结构清晰，涵盖定义、成因、攻击实例及防御方法，配合示例代码与实验截图。

本文剖析PHP8环境下反序列化链的构造，利用__wakeup、__toString等魔术方法触发RCE，结合md5类型转换特性绕过强比较，并通过ArrayIterator、ReflectionFunction实现命令执行。

Go 代码混淆工具，使用 AST (抽象语法树) 技术实现跨文件的代码混淆，同时保证混淆后的代码可编译和可执行。

文件上传导致存储桶覆盖

jdk17-springboot原生链分析

PacketScope是一种基于eBPF的TCP/IP协议栈通用防御框架。通过在协议栈处理路径上动态观测、实时感知每一个分组单元在系统内的处理轨迹，绘制协议交互全景图，再辅助以大模型分析，PacketScope实现了协议栈内核级别的分组可视化、安全性分析与零延迟防御。