先知技术社区

文章详细分析了钓鱼样本执行从上线到维权，最后拿到CS的shellcode，文末有彩蛋

有关于两个linux常见终端文本编辑器的漏洞分析....

本文介绍利用 WireGuard 组建加密隧道并结合 Caddy 实现应用层 TLS 卸载的流量重定向架构。通过配置反向代理规则将特定路径流量转发至内网 C2 服务器，有效隐藏真实 IP 并伪装业务流量特征。该方法相比传输层透传更能规避防火墙对非标准加密流量的检测。

2026阿里白帽大会 - Agent安全(智能体时代的攻防新范式)

Spring AI SpEL 注入 RCE

这篇文章总字数：10795个，写到这里这篇关于Claude Code相关操作以及一些自己总结的学习思路方法都已经汇总了，这篇文章主要是给大家介绍目前主流的Claude Code在我们本地搭建部署，我们配合CC-Switch可以很便捷的使用AI大模型，包括后面的各种AI Agents skills编写、claude提示词相关作用和后面的MCP服务器管理。主要还是根据自己的一个需求进行调配使用。

WEBbabydc网络 桥接靶机：10.190.20.23Workgroup/Domain Name: XMCVEHostnames: CASTLEVANIADomain Controllers: XMCVEActive Directory（活动目录）的 Windows 域环境内网1 台 DC 域控（核心，存所有账号、哈希、权限）多台 成员服务器（Web、邮件、数据库等）一堆 Win10/Win1

OpenClaw作为最近爆火的AI应用，其设计者已深刻意识到了外部攻击面的风险，并构建了多层的静态防护机制，但当攻击者利用长上下文的认知负载和任务导向性等手段逐步诱导AI忽略安全边界时，AI 似乎难以始终守住边界，最终仍可能执行恶意命令。

本文围绕 polarisCTF 的 9 道密码学题目展开，包含整体思路、解题关键与完整的解题脚本

架构及其全面，比起寻常的webpwn的proxy之类更加接近实战

Hack for a Change 2026 March: UN SDG 3 Writeup

本文深度分析分析以太坊高级竞猜蜜罐合约。攻击者以看似白给的链上明文答案引诱受害者，实则利用隐蔽的内部交易暗中修改答案哈希。结合管理员Mempool抢跑篡改答案与提取资金，及强制EOA调用阻断合约防御等高危手段，精心构筑出受害者必败的高级“局中局”骗局。

Langflow未授权端点经exec()执行攻击者注入的组件代码，实现远程命令执行。

泄露的claude code分析完后刚好和我上一篇写的openclaw的防御分析连续起来，两个超级大热门一起进行分析

本文围绕2026年3月31日axios在npm上发生的供应链投毒事件展开分析，系统梳理了恶意版本 0.30.4 与 1.14.1 的发布时间线、投毒方式及完整攻击链，说明攻击者如何在未修改axios主体运行时代码的情况下，通过新增恶意依赖 plain-crypto-js 并利用postinstall脚本在 Windows、macOS 和 Linux 平台拉取并执行二阶段载荷。文章进一步拆解了 se

本文将介绍 VEGA—— 一个基于 iFlow CLI 构建的智能化漏洞赏金挖掘系统。VEGA 采用多 Agent 协同架构，通过自进化机制持续积累测试经验，实现"越用越强"的效果。

该文章记录了jeecgboot两个0day漏洞的挖掘过程

2026 CISCN&长城杯半决赛 AWDP-PWN 题解

PolarisCTF招新赛web部分wp

漏洞来源漏洞描述n8n 是一个开源工作流自动化平台。在 2.14.1、2.13.3 和 1.123.27 版本之前，拥有创建或修改工作流权限的已认证用户可以利用 XML 和 GSuiteAdmin 节点中的原型污染漏洞。攻击者通过在节点配置中提供精心构造的参数，可以将攻击者控制的值写入 `Object.prototype`。攻击者可以利用这种原型污染漏洞在 n8n 实例上执行远程代码。该问题已在