先知社区更新日志(2025-03-29)
先知社区更新日志(2025-03-29)
先知技术社区
TPCTF2025复现(全)
1 day ago
重新回味一下当时做出的,品鉴当时没做出的
Fastjson 1.2.68 AutoCloseable 利用链深度分析
1 day 1 hour ago
Fastjson 1.2.68 AutoCloseable 利用链深度分析前言众所周知 fastjson 反序列化最主要就是绕过 checkAutoType() 函数,前面无非是通过黑名单以外的类以及 map 缓存来进行利用,但是随着后续版本加入判断反序列化类是否继承或者实现 ClassLoader、DataSource、RowSet 类或接口,大大加深了 jndi 利用的难度。而浅蓝师傅换了条挖
某数字藏品app逆向
1 day 3 hours ago
某数字藏品app逆向
睡眠混淆技术分享(sleep obfuscation)
1 day 4 hours ago
sleep obfuscation
spring 下的 SSRF 漏洞绕过分析以及成因
1 day 4 hours ago
spring 下的 SSRF 漏洞绕过分析以及成因
一文学会Java类加载
1 day 4 hours ago
在加载阶段(Loading),它是 Java 将字节码数据从不同的数据源读取到 JVM 中, 并映射为 JVM 认可的数据结构(Class 对象),这里的数据源可能是各种各样的形态,如 jar 文件、class 文件,甚至是网络数据源等;如果输入数据不是 ClassFile 的结构,则会抛出ClassFormatError。
Spring-AOP下toString新触发
1 day 4 hours ago
Spring-AOP下toString触发链绕过黑名单,通过JdkDynamicAopProxy调用目标对象方法时抛出异常进行对象拼接触发
Hessian反序列化流程及漏洞浅析
1 day 4 hours ago
具体分析了Hessian协议在序列化和反序列化的相关流程代码、并通过Rome链和JdbcRowSetImpl两个链进行了漏洞分析
TamuCTF2025(Web全)
1 day 4 hours ago
周末高强度比赛中发现一个质量较高的比赛
第十八届软件系统安全赛攻防赛半决赛-Razorcor Writeup
1 day 4 hours ago
第十八届软件系统安全赛攻防赛半决赛-Razorcor Writeup
2025 数字中国创新大赛数字安全赛道数据安全产业积分争夺赛初赛
1 day 4 hours ago
2025 数字中国创新大赛数字安全赛道数据安全产业积分争夺赛初赛题解
移动互联网(APP)安全积分争夺赛 RE(部分解)
1 day 4 hours ago
CTF
浅析CCSSSC软件攻防赛druid+Hsql依赖题解
1 day 4 hours ago
在druid+Hsql依赖下,禁用了一堆类,能否利用springAOP链子来攻击成功呢?
内核提权案例分析一
1 day 4 hours ago
分析内核提权中uaf和rop用法
springSecurity框架在 WebFlux 下的权限饶过
1 day 4 hours ago
springSecurity框架在 WebFlux 下的权限饶过
Apache mina反序列化漏洞
1 day 5 hours ago
Apache Mina 是一款基于 Java 的高性能网络应用框架,其核心功能在于简化复杂网络通信的开发流程,同时确保具备可扩展性与高效性。
一次JAVA项目的漏洞挖掘
1 day 5 hours ago
在一次闲来无事时,发现一款开源的java项目,于是打开idea进行一波漏洞挖掘。
基于VxWorks的固件分析-修复篇
1 day 5 hours ago
VxWorks的固件分析 由于binwalk无法直接解包出 需要手动提取 并且包括符号表修复过程
Cyber Apocalypse CTF 2025 部分web wp
1 day 5 hours ago
总的来说前面的题太简单了,后面的有点挑战性
Checked
6 hours 9 minutes ago