先知技术社区

当获取人员主机权限后，抓取通讯录与聊天记录可为后续横向移动打基础

长城杯半决赛三道 Web 赛题审计笔记——从 redis SSRF、ZipSlip 到 glibc iconv 溢出

PolarCTF2026春季个人赛 Web方向全解

对ivanti CVE-2025-0282进行漏洞复现包含详细的漏洞利用过程和exp

记录一次php代码审计

ciscn-web-isw

本文分析了SUCTF题目SU_jdbc-master的完整攻击链。利用Unicode字符ſ转大写为S的特性，绕过仅做小写匹配的Spring MVC鉴权拦截器；随后通过Jackson反序列化覆盖默认JDBC驱动为存在漏洞的Kingbase8，结合临时文件写入与文件描述符爆破，触发恶意Spring XML配置加载，最终实现命令执行回显。

中国电信大可实验室是中国电信集团直属分支机构，现开启校园招聘

CISCN&CCB 2026分区赛AWDP-Web部分的题目复现

fileury fury+IOUtils二次反序列化打aspectJweaver写jar包加载

本次项目依托AI来辅助学习，顺利完成Frida源码编译与简单魔改，并逐一排雷解决了环境配置、Patch冲突、编译缓存等实操过程中的典型坑点

Donut免杀以及进程空心化分析

本文分析帆软FineReport的channel接口反序列化漏洞（含TreeBag、ImmutableSetMultimap等多条利用链）、FineVis插件任意文件写入漏洞，并列举V8/V9老版本历史漏洞。

本文根据Python代码的特性尝试绕过WAF防护

记录第一次漏洞复现，巨新手，手把手

Agent Session Smuggling是一种针对AI代理间有状态通信的新型攻击。恶意代理利用A2A（Agent2Agent）协议的会话状态保持特性，在正常的代理间对话中隐蔽注入恶意指令实现恶意的目的执行

AI 原生应用运行时防护

漏洞描述该漏洞本质上是由于JeecgBoot内置的WAF存在逻辑缺陷，导致针对特定接口的SQL注入防护被绕过。影响版本: JeecgBoot 版本 3.9.1/3.9.0需要任意用户权限漏洞分析来到SysDictController.java入口路由为 GET /sys/dict/getDictItems/{dictCode}控制器直接将 dictCode 传入sysDictService.get

总结来说，Auto Login Skill 不只是一个自动化工具，它更是一种 AI 技能在网络安全领域的落地实践。 从自动识别系统到智能纠错，再到多技能联动，它展示了 AI 在渗透测试等网络安全任务中的巨大潜力（还比如钓鱼很多场景提效）。

本文章主要记录cyberstrikelab的Honeypot打靶过程