先知技术社区

洞挖掘有时候挖不到洞并不是你比别人差,可能是因为这个点你没有发现而已,适应的利用插件武装自身,用工具更好的发现问题才能让渗透事倍功半,企业SRC站点存在WAF选择性开启凭运气捡漏,安服渗透项目建议全部装载武装到牙齿。

分享一次护网中通过测试从而造成大量信息泄露案例,针对有价值入口点可以多深度利用一下往往会有意想不到的惊喜

堆喷你就喷吧，一喷一个不吱声

cve-2025-55182 漏洞分析

无

在ISCTF中出现了getter但黑名单许多常见的依赖都给禁用掉了，我们又该如何利用呢？

分析dewu官网的sign签名逻辑，并通过JSRPC+Flask+autoDecoder进行对抗，实现无感渗透

外联dropbox获取密钥、释放DWservice远控木马

主要从泄露的源码进行代码审计，拿到权限，然后对二进制文件进行分析，编写漏洞利用脚本

我们在本文里尝试根据之前调研的论文、实践，来尽可能系统地说明大模型面临的主要隐私攻击技术，包括训练数据提取攻击、成员推断攻击、属性推断攻击以及模型逆向工程等。这些攻击方式不仅威胁着用户的隐私安全，还可能导致模型知识产权的泄露。

今天一大早发现react的一个漏洞被刷屏了，并且各大cert纷纷跟进预警，于是也进入应急状态跟进，但是根据现在的分析发现，好像又是一起雷声大雨点小的漏洞。

2025四川省赛-Java题目see反编译 jar 包，只有一个 index 路由提示 debug log，再看依赖，log4j2 版本为 2.14.1，这个版本是存在 CVE-2021-44228 漏洞的但是不知道哪里注入点，先运行 jar 包，不断 fuzz 发现 cookie 引发的报错记录到了日志中，所以这里构造 poc成功弹出计算机不过这个只能打一次，因为这个错误只会记录一次。snake

前言Windows下创建任务计划的方式通常有三种：任务计划的GUI界面、任务计划的命令行工具schtasks.exe、Windows提供的API接口​本文会依次介绍这三种方式，并展示免杀效果，需要注意，Windows中任务计划相关的API是基于COM机制的，同时也会介绍COM机制相关内容，掌握了任务计划的API编程，也就掌握了COM编程，通过窥一斑而知全豹也能对COM机制有一定理解任务计划的GUI

环境搭建源码：https://gitee.com/y_project/RuoYi/tree/v4.8.1环境：mysql+IDEA新建数据库ry，导入ry_20250416.sql与quartz.sql文件，修改配置文件application-druid.yml账号密码本地环境搭建POCshiro利用漏洞点位置：com/ruoyi/web/controller/monitor/CacheContr

再次回看传统Web内存马时的理解与思考

电子取证大赛

东胜物流代码审计分析

一次比较简单的app渗透，原本主要目的是分析脱壳方面，但是这个360比较好脱壳，所以直接使用工具梭哈了，但是frida-dexdump就脱不了壳，猜测是做了frida的特征检测，可能需要使用魔改的frida才行。最后也是分析分析到后面发现短信验证码的缺陷导致严重漏洞产生

漏洞描述CVE-2025-55182 是 Next.js 中因 React Flight 反序列化机制未校验对象属性访问路径（如 __proto__、constructor）导致的高危 RCE 漏洞：攻击者可通过构造恶意 multipart 表单，利用 $B 引用结合可控的 _response._prefix 和被劫持为 Function 的 _formData.get，动态生成包含任意系统命令的

1、前言趁热热乎的，快来上一口昨日爆出的 CVE-2025-55182，CVSS 10.0 满分严重漏洞，影响 React 19 及所有 Next.js 15/16 项目。 核心问题是 React Server Components 的 Flight 协议存在不安全反序列化，无需任何认证，攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求，即可实现远程代码