先知技术社区

CVE-2025-4532 向日葵远程控制程序权限提升漏洞复现与分析

小程序,抓包,渗透测试

这篇文章源于之前做的一个项目，利用mitmproxy构造请求，根据报错信息判断不同的数据库，最后成功判断出是Oracle注入并绕过WAF的经历

本文详细介绍了FOFA-MCP服务的开发背景、技术架构、核心功能及其实现。FOFA-MCP服务通过简化API查询过程，提高数据获取与漏洞验证的效率。智能化助力攻防演练。

提到扩散模型（DMs）大家可能不太熟悉，但是提到AIGC、文生图、文生视频等关键词，大家应该都或多或少听说过。而扩散模型正是其底层的支撑技术。 比如最近在某音上很火的‘回答我’这个梗，背后也离不开扩散模型

有很多小伙伴对调试so文件都有疑惑，网上很多都是不是很全或者很复杂，这里详细说明到底如何能够调试起so文件。这里我们介绍如何调试so 文件：！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！一定要开启su权限！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

Android方向初赛题解

pbootcms前台sql注入XSS再到后台rce

emlog是一套基于PHP和MySQL的CMS建站系统。 emlog v2.5.3版本存在文件上传漏洞，该漏洞源于admin/plugin.php插件组件对上传的文件缺少有效的验证。攻击者可利用该漏洞上传恶意文件从而远程执行任意代码。

WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress插件WP Umbrella: Update Backup Restore & Monitoring存在本地文件包含漏洞，攻击者可利用该漏洞在服务器上包含和执行任意文件，从而允许执行这些文件中的任何PHP代码。目前，供应商

HessianServlet、HessianServiceExporter 在解析 Hessian 序列化数据时会进行一些协议头判断

篇文章将会针对CVE-2025-22228 Spring Security 超长密码处理不当漏洞进行分析，以及分享一些复现和分析漏洞的方法和经验。

介绍2025国赛暨长城杯零解题目AWDP-TimeCapsule的完整题解，包括Fix和完整的Break过程

最近通过Fake CAPTCHA传播各种恶意软件的攻击活动非常频繁，详细分析通过Fake CAPTCHA传播XWorm RAT远控样本整个攻击链过程。

在渗透测试和高级对抗技术中， 父进程欺骗就是一种经典的进程伪装手段，能够使恶意进程在被监控时看起来是由合法的系统进程，比如 由 TrustedInstaller.exe 或 explorer.exe 启动，从而绕过基于行为的安全检测与防御系统。

TGCTF web 全解

seacms(13.0版本)安装教程+漏洞点

私有云的对象存储系统的漏洞（可以导致任意覆盖写桶里面的文件）以及这个漏洞大模型AI场景利用挖掘以及影响。

Frida-Labs 0x8 - 0xB Native层操作大全，记录自己的思考和踩过的坑

剪枝相关原理和脚本