先知技术社区

近日，作者收集到一批恶意钓鱼邮件，大多数由html，pdf，svg的文件格式上传发送至企业邮箱中，通常情况下大多数恶意邮件都会被outlook，gmail等放入垃圾箱，但这些附件却顺利进入到了企业员工的收件箱中，经过作者研究是进行了混淆技术的复用与重定向，绕过了邮箱检测机制，下面针对svg格式的附件技术细节进行阐述

TGCTF-misc全解

讨论了AI大模型越狱的机制、攻击方式及其防御方法

Wiener's Attack详细原理

渗透测试

这篇文章主要分享在实际项目中各类SQL注入漏洞形成的原因，并且使用了较多企业使用的开源项目jeecg-boot为例子，从而进一步理解SQL注入漏洞是如何形成以及为什么会出现sql注入漏洞。

AI赋能逆向工程，仅需要一条命令即可完成自动化逆向分析。

一、WEB打点这是一次很普通但又很幸运的渗透过程，某次闲来无事跟好兄弟在某网站进行渗透测试，发现该网站属于某CMS，然后我们紧接着就搜索到该CMS存在文件上传漏洞。然后，我跟好兄弟立马复制了数据包进行测试，发现成功jsp文件。（这里浅浅放一张打了很多码的图片，毕竟漏洞细节还是不公布了）然后马不停蹄的赶紧上传了一个webshell上去，使用工具连接，因为前期信息收集我们知道了使用Tomcat中间件，

杭州师范大学第六届网络与信息安全竞赛

利用bss段伪造堆块泄露libc

Vite任意文件读取（CVE-2025-32395）漏洞描述在 Vite 中发现一个缺陷。此漏洞允许通过特制的 HTTP 请求（在请求 URL 中包含 # 字符）访问任意文件。当服务器在 Node.js 或 Bun 上运行并暴露在网络上时，会出现此问题。对无效请求行的不当处理使这些请求能够绕过限制文件访问的安全检查。参考：https://access.redhat.com/security/cve

学习一下Tomcat中和组件内存马不一样的马。用java-object-searcher构造回显，defineClass加载恶意Executor or WebSocket达到反序列化利用

Nacos derby命令执行的详细分析以及不出网注入任意内存马的技巧

本清单涵盖了从用户交互界面、客户端组件、服务插件，到多 MCP 协作机制及特定领域（如加密货币场景）的安全要点，旨在帮助开发者系统性地识别潜在风险并及时加以防范。

Base64题目描述：如题 flag格式为HZNUCTF{}给ai写的HZNUCTF{ad162c-2d94-434d-9222-b65dc76a3最后加个2}2是手动爆的蛇年的本命语言题目描述：如题...flag的格式为HZNUCTF{}pyinstxtractor加uncompyle6组合拳得到源码解z3注意到显然是以字符＋字频格式排列的，共36个字符111111116257645365477

Frida-labs 1到7，在Java层的操作大全，记录自己的操作以及遇到的一些坑

本篇文章主要填补历史遗留下来的坑——XXL-JOB中的"xxl.job.accessToken"导致的命令执行漏洞分析，此前看到这个漏洞预警时就看了一眼感觉和那个Shiro的密钥硬编码大差不差的，有点雷同，而且网上大多都是复现的并没有什么分析为啥会造成命令执行以及基本的原理，都是齐刷刷的利用，最近在翻笔记的时候发现之前遗留的只有标题的空白的文章，于是补一下坑

SQCTF万文题解

对二进制安全中的沙盒原理进行解析，并且集合了常见的ORW攻击脚本

Java Agent 注入 WebSocket 篇