先知技术社区

关于ysoserial中的spring1、2链子分析和攻击面拓展

/

WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress插件WP Umbrella: Update Backup Restore & Monitoring存在本地文件包含漏洞，攻击者可利用该漏洞在服务器上包含和执行任意文件，从而允许执行这些文件中的任何PHP代码。目前，供应商

近期笔者发现了一种极为巧妙的网络钓鱼手法：攻击者滥用Google的OAuth应用授权机制，获取由Google系统发送且带有合法DKIM签名的电子邮件，然后对这封邮件进行重放攻击，使其看起来像是直接来自Google的安全通知。受害者收到邮件时，邮件通过了DKIM身份验证，发件人显示为no-reply@google.com等Google官方地址，一切看似正常，却引导用户访问伪造的Google支持页面窃

seacms(13.0版本)安装教程+漏洞点

应急响应 逆向

记一次DarkCrystal木马伪装成Solara编辑器进行投毒分析

很简单的题目），除了一道密码题和数据库题都做出来了

主要讲解CVE-2018-18708栈溢出漏洞的环境搭建、漏洞的复现、漏洞的利用以及漏洞原理讲解

Langflow RCE漏洞分析，Python装饰器的小技巧。

前言这篇文章是针对Go-Zero框架的代码审计。这个框架对于我来说也是一个“新”的框架，因为之前也没审过。那么我遇到一个新的框架的时候，我会用一个通用的方法去学习如何审计这个框架。即学习这个框架的项目结构，你需要了解这个框架的结构特性，以便你更好的找到你想要审计的接口。所以这篇文章会介绍Go-Zero框架的项目结构、以及为什么是这样的结构，以便你了解为什么要这样审计这个框架。Go-Zero介绍在了

在每次复现前我都会尽量把文章通过通俗易懂的方式展现出来，目的就是希望一些刚刚入门iot的师傅们能有个更好的观看体验，如果有师傅发现了其中的错误还请指出

Syscall（系统调用）是用户空间与操作系统内核之间的接口，它允许用户程序请求操作系统提供的服务

本次平航杯主要讲了起早王的爱恋故事

前言本次环境涉及反序列化漏洞、命令执行漏洞、Tomcat漏洞、MS系列漏洞、端口转发漏洞、以及域渗透等多种组合漏洞。环境搭建机器密码网络配置111网段是web的网卡，183网段是内网DC主机（Windows 2008）开机，提示密码过期，改为：Itchen123‍‍WEB主机（Ubuntu）docker启动服务：（这里有3个服务）查看是否启动成功：win7：‍web打点信息收集端口扫描：nmap扫

pbootcms前台sql注入XSS再到后台rce

提到扩散模型（DMs）大家可能不太熟悉，但是提到AIGC、文生图、文生视频等关键词，大家应该都或多或少听说过。而扩散模型正是其底层的支撑技术。 比如最近在某音上很火的‘回答我’这个梗，背后也离不开扩散模型

搞应用安全接触洞态的这个iast很久了，虽说知道是基于java agent 字节码技术。但是去分析具体漏洞误报和这个系统的优缺点，面临的问题就还是一知半解，趁着机会做下相关使用记录。本次主要是原理介绍吧，后面看情况有机会可以把遇到的java安全上真实案例给做下记录介绍。

本文介绍了CVE-2025-22223: Spring Security authorization bypass for method security annotations on parameterized types 漏洞的漏洞原理以及修复措施

ACTF2025 Web 全解