先知技术社区

pwn的技巧都跟魔法一样，一瞬间，发生了很多事情，如果不了解原理，那真的很难理解了，这里和大家分享一下 强网杯S9 pwn-bph题目的魔法般的技巧（内含glibc-2.39源码&反汇编进行辅助讲解）

伴随GPT，Gemini，DeepSeek等大语言模型的兴起，新的安全挑战也随之而来。其中，提示词注入（Prompt Injection）已成为一个亟待关注的关键性安全漏洞。 提示词注入是一种针对大型语言模型的网络攻击手段。攻击者通过构建看似无害的输入（即“提示词”），来操纵或欺骗AI模型，使其偏离预设的指令，执行非预期的行为。 这种攻击利用了LLM在区分开发者设定的核心指令和用户提供的外部输入

NewstarCTF2025-Misc方向全部题目wp

受阿里 AI 挑战赛分享启发，结合 edusrc 漏洞规则实践，对校园 AI 提示词越狱的初探索

前言在现如今的互联网生态中，前端技术早已超越了简单的页面展示与用户交互，演变为一场复杂而精密的“攻防博弈”。随着数据价值的日益凸显，各大平台为了保护自身核心资源、防止自动化爬虫和恶意请求，纷纷在前端布下层层防护：从动态生成的加密参数、时间戳签名，到复杂的代码混淆（obfuscation）、环境校验乃至行为分析，安全策略不断升级，手段愈发隐蔽。面对这些精心设计的障碍，前端逆向工程成为理解系统逻辑、实

借助Triton符号执行提取AST，结合AI数学化简，还原OLLVM混淆的哈希算法。

模块传输通信算法、模块内存加载原理、通信数据包解密、技术原理对比

Frida与安卓应用反调试绕过实践前言 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。（本文仅用于交流学习），本文仅作技术研究。 ​ ​ 一、Frida基础与反调试原理 1. Frida简介 Frida是一款用于安卓应用的动态插桩工具，它允许开发者在应用程序运行时动态注入代码，监视和修改应用程序的行为，因

文件上传导致存储桶覆盖

关于JeecgBoot漏洞利用Tips

本文详解NTFS备用数据流特性，探讨其在隐蔽存储、绕过检测中的应用，并结合CVE-2025-8088分析通过WinRAR路径遍历实现ADS自动执行的方法。

详解LOLBAS特性，利用系统自带的合法功能来实施隐蔽操作

CVE-2025-22865、CVE-2024-44337

本文通过逆向分析Windows剪贴板机制，探索从内存中提取剪贴板历史数据的方法，并实现跨版本数据获取。

GreenCMS 存在一个安全漏洞，该漏洞影响版本 2.3.0603 及之前版本。

本文章中所有内容仅供学习交流，严禁用于商业用途和非法用途，否则由此产生的一切后果均与文章作者无关。前言在测试网站的过程中，存在很多的未授权接口，相信各位都知道findsomething这个插件，我再推荐一个雪瞳https://github.com/SickleSec/snoweyes 个人感觉也是非常不错的插件，话不多说直接上案例。案例在前台正常测试SQL、XSS、SSRF、业务逻辑等漏洞没有结果

漏洞描述该漏洞是 LlamaIndex DuckDBVectorStore 组件中的一个 SQL 注入漏洞。它存在于该组件的 delete 函数中。攻击者可以通过精心构造并传递恶意的 ref_doc_id 参数来利用此漏洞。可以利用此漏洞将允许攻击者在运行 LlamaIndex 应用的服务器上执行恶意的 SQL 命令。包括读取服务器上的任意文件、写入任意文件，甚至可以升级至远程代码执行 (RCE)

本篇文章记录了几次漏洞实战挖掘案例，里面还包括一些收获和感悟，希望可以给师傅们带了帮助，并且不断激励自己

IAST 能提供更高的测试准确性,并详细的标注漏洞在应用程序代码中的确切位置，来帮助开发人员达到实时修复。

shiro反序列化 结合CC5