先知技术社区

根据源码了解pwn的常见的框架的编写

第二届“启航杯”网络安全挑战赛应急溯源全解

re的进阶的知识，补充常见的理论以及新出现的wasm类型

2026年新春杯Misc方向所有题目的正反手解析

结合AI从代码层面分析SolarWinds Web Help Desk 未授权远程代码执行漏洞

结合chrome-devtools-mcp的能力并加上Skill的规范，实现JSRPC+Flask+autoDecoder方案的前端JS逆向自动化分析，提升JS逆向的效率

从0到1分析了该漏洞的核心原理，并纠正部分误区

第四届阿里CTF官方writeup

本次分析的 CVE-2025-64111是 Gogs 平台因CVE-2024-56731 补丁修复不完整引发的二次高危远程命令执行漏洞。该漏洞存在于 Gogs ≤0.13.3 版本，核心因UpdateRepoFile函数的.git 路径校验覆盖不全、isRepositoryGitPath校验函数的设计缺陷，导致攻击者可通过符号链接路径映射或直接操控原始路径的方式绕过防护，篡改仓库.git/conf

漏洞描述N8N 是一个开源的工作流程自动化平台。在1.123.17和2.5.2版本之前，拥有创建或修改工作流权限的认证用户可以滥用工作流参数中的精心设计表达式，在运行n8n的主机上触发非预期的系统命令执行。这个问题已在1.123.17和2.5.2版本中得到修补漏洞影响评分：9.4版本：< 1.123.17； 2.x系列版本 < 2.5.2漏洞分析恶意请求构造后端触发链创建我们的恶意工作

本文介绍了Python中利用Unicode“斜体字符”（如数学字母符号）绕过安全检测的原理：这些字符虽视觉相似但编码不同，而Python在解析标识符时会隐式进行NFKC/NFKD规范化，将其等效为普通ASCII字符。若WAF未做相同处理，攻击者可用变体字符构造恶意代码（如prinᵗ(1)）实现绕过。该方法适用于函数名、变量名和字符串内容，但不适用于关键字，且在不同环境（如Web框架、JSON解析）

对mssql&mysql一次简洁且详细的总结

2026春秋杯wp

Dokploy 命令注入漏洞分析 CVE-2026-24841

VNCTF2025-misc-V(N)Shell官方题解，详细解题思路

OpenClaw1、OpenClaw🦞 介绍与准备内容最近各个平台大量出现的“🦞龙虾”，本质上指的就是 OpenClaw（原 Clawdbot / Moltbot）这一类具备高权限、可执行能力的 AI Agent。发现了有关API密钥的漏洞我们再去官网看看https://github.com/openclaw/openclaw我不确定我电脑能正常安装不，所以如果有关审计部分，先静态分析一波。1.1

在渗透测试过程中，代理配置与 IP 管理是新手阶段经常遇到却又容易混淆的问题。本文从实际使用场景出发，介绍了代理池的基本搭建方法，并对上游代理与下游代理的概念进行了通俗说明，随后结合 BurpSuite 与 Yakit，详细演示了上下游代理的配置过程，帮助读者理清代理链中流量的走向。本文适合刚接触代理配置的安全学习者参考，旨在帮助新手快速理解并完成基础代理链的搭建与使用。

MHT：时间在流动！时间在流动！在跳舞！木大木大木大木大木大！

该漏洞出自Xiaomi路由器BE10000 Pro 稳定版 存在授权后远程RCE漏洞

本文介绍什么是 Agent Hook，以及如何借助 Hook 机制在 AI 编程助手中实现「规范注入 + 事前拦截 + 事后扫描 + 安全审计」的安全闭环，并对公司相关信息做了脱敏处理。