先知技术社区

JDK 9 引入 Java Platform Module System（JPMS），把 JDK 内部实现按模块划分，用 exports 和 opens 两个指令控制包的可见性。JDK 16 将 --illegal-access 默认值改为 deny，JDK 17 直接移除该选项。到 JDK 21，强封装已成为不可逆的既成事实。

WebShell 免杀

针对LitCTF2026中密码方向的题目进行详细分析和解答

Linux中的java内存马排查

本文是 HackTheBox Horizontall 靶机的详细渗透测试记录。通过端口扫描发现 Web 服务，在前端 JS 文件中提取出隐藏子域名 api-prod.horizontall.htb，识别出 Strapi CMS（3.0.0-beta.17.4）。利用 CVE-2019-18818（NoSQL 注入重置管理员密码）获取管理员权限，再结合 CVE-2019-19606（插件安装命令注入

LitCTF2026webwp，这次比赛题目质量比较高，好好学习，天天向上

基于高度混淆的JavaScript脚本，对比网页AI与AI IDE的JS逆向分析能力

讲述如何在Coze空间部署cs流量转发

本文记录了 HackTheBox Shibboleth 靶机的一次完整渗透测试过程。文章首先通过 TCP 全端口扫描确认目标主要暴露 80/tcp 服务，并从 Web 重定向、页面源码、目录枚举和页面页脚信息中提取出 Zabbix 与 Bare Metal BMC 线索；随后结合 UDP 623 扫描与虚拟主机爆破，定位到隐藏的 Zabbix 登录入口以及 IPMI 服务暴露面。在初始访问阶段，文

CDG文件服务器的 uploadSoftWareFile 接口存在路径遍历漏洞和目录控制绕过漏洞。攻击者通过构造特殊请求参数，可以绕过目录访问限制，将恶意文件写入服务器任意可写目录，最终实现远程代码执行（RCE）。

在日常渗透测试与安全测试中，前端加密（尤其是登录参数的加密）是绕不开的一类场景。 通过本文的实践,你将看到：一句自然语言 + 一个 MCP 环境 + 一套代理链路，如何将原本至少需要几十分钟的 JS 逆向工作，压缩到几分钟内完成。

本文讨论的是 CTF、靶场、本地实验和授权安全研究场景下的大模型使用方法。核心目标不是绕过安全边界，而是在合法环境中把大模型从聊天助手调成“会拿证据、会调用工具、会及时在一个方法上停下止损的大手子”。

聚焦于AI供应链中的新型高危威胁API中转站投毒（Relay Station Poisoning）。研究不可信中转节点如何利用其对HTTP/SSE流的完全控制权，在Claude Code等AI Agent场景中实现从“数据窃取”到“远程命令执行（RCE）”的完整攻击链，以及如何防御，防御有什么缺陷

Apache Camel JMS 反序列化(CVE-2026-40860)漏洞分析漏洞概述Apache Camel 的核心目标是把各种不同的系统、协议和数据格式“粘合”在一起。它实现了著名的企业集成模式（Enterprise Integration Patterns, EIP），比如拆分消息、聚合消息、动态路由等。受影响版本中，JmsBinding.extractBodyFromJms() 方法在

在 Markdown、公式渲染等富内容处理场景下，由于第三方组件与浏览器底层（HTML、URL、JS 解析器）在实体解码、协议提取和规范化处理上存在机制差异，极易引发解析层面的语义错位，导致了XSS防御体系的 Bypass

Defender与svchost

类属性污染实现全局权限提升、__globals__ 劫持覆盖 Flask SECRET_KEY 实现会话伪造、以及全局变量篡改实现 RCE。

面向大模型隐私推理的安全协议-MPC与ZK的角色分工

通过精心构造 php://filter 链，在不写入任何文件的前提下，将一个普通的本地文件包含（LFI）漏洞直接升级为远程代码执行（RCE）。

记录一条新的hessian二次反序列化链的完整分析过程