先知技术社区

本文系统梳理了 CTF Pwn 题目的完整出题流程，从本地开发到 Docker 容器化部署，旨在填补现有教程在“端到端实践”方面的空白。文章以主流开源项目 ctf_xinetd 为基础，详细讲解如何通过 Dockerfile 构建安全、隔离的题目环境，并特别强调 32 位程序依赖库缺失这一常见陷阱及其解决方案——通过 ldd 分析依赖并在镜像中显式安装 :i386 包。 文中深入解析了影响 Pwn

伴随GPT，Gemini，DeepSeek等大语言模型的兴起，新的安全挑战也随之而来。其中，提示词注入（Prompt Injection）已成为一个亟待关注的关键性安全漏洞。 提示词注入是一种针对大型语言模型的网络攻击手段。攻击者通过构建看似无害的输入（即“提示词”），来操纵或欺骗AI模型，使其偏离预设的指令，执行非预期的行为。 这种攻击利用了LLM在区分开发者设定的核心指令和用户提供的外部输入

本文章中所有内容仅供学习交流，严禁用于商业用途和非法用途，否则由此产生的一切后果均与文章作者无关。前言在测试网站的过程中，存在很多的未授权接口，相信各位都知道findsomething这个插件，我再推荐一个雪瞳https://github.com/SickleSec/snoweyes 个人感觉也是非常不错的插件，话不多说直接上案例。案例在前台正常测试SQL、XSS、SSRF、业务逻辑等漏洞没有结果

NHA靶场记录，包含ACL、委派、ADCS等域内攻击方式。

FLIRT（Fast Library Identification and Recognition Technology）是 IDA Pro 的一项核心功能，它通过模式匹配技术来识别二进制文件中由编译器生成的标准库函数和自定义库函数。

随着互联网、车联网、物联网、人工智能、无人机等新一代信息技术与人类生产、生活的深度融合，关键信息基础设施面临的网络攻击趋于复杂化、智能化和隐蔽化，传统安全范式难以应对持续演进的新型威胁，构建韧性安全的新一代数字化底座成为迫切需求。 为系统应对互联网、车联网、物联网、人工智能、低空经济等融合场景下的安全挑战，同时选拔培育网安实战人才、推广网络安全理念，第八届“强网”拟态防御国际精英挑战赛在紫金山实验

NewstarCTF2025-Misc方向全部题目wp

前言在现如今的互联网生态中，前端技术早已超越了简单的页面展示与用户交互，演变为一场复杂而精密的“攻防博弈”。随着数据价值的日益凸显，各大平台为了保护自身核心资源、防止自动化爬虫和恶意请求，纷纷在前端布下层层防护：从动态生成的加密参数、时间戳签名，到复杂的代码混淆（obfuscation）、环境校验乃至行为分析，安全策略不断升级，手段愈发隐蔽。面对这些精心设计的障碍，前端逆向工程成为理解系统逻辑、实

任意文件上传漏洞复现及防御分析

一次SM4加密认证系统的暴力破解实战分析

S9强网

借助Triton符号执行提取AST，结合AI数学化简，还原OLLVM混淆的哈希算法。

基于自动化工具分析

0xGame2025的misc授课文案，week1到week4都有，知识讲解的都蛮细的，希望能帮助刚踏上ctf_misc的学弟学妹们轻松入门安全 作为出题人而言，这次出的题目感觉还好，比较侧重于原理知识，工具题几乎没有，然后大家可以前往ctf+平台进行复现学习

1. 重点介绍VMP壳如何Dump分析 2. 介绍如何抓重点在复杂的样本中寻找C2配置文件

在安全领域中，“数据安全”通常不是一个抽象的概念，而是一系列需要你通过黑客技术去发现、利用或修复的具体漏洞和挑战。它主要聚焦于“攻击视角”下的数据安全，即数据是如何因为不安全的实践而泄露或被篡改的。

强网杯

Django时隔一年爆出来的SQL注入漏洞，大概一看大概是别名引起的注入（毕竟别名是无法预编译的） 该漏洞影响 Django 框架中的 FilteredRelation 功能，当使用 QuerySet.annotate() 或 QuerySet.alias() 方法，并通过 Python 的字典扩展 (**kwargs) 提供列别名时，存在 SQL 注入风险。这是由于对字典键（即列别名）未进行充分

某管理系统源代码审计

shiro反序列化 结合CC5