先知技术社区

使用tabby分析rome反序列化链

在xxl-job中，普通用户本应该只能查看和执行他们分配到的执行程序上的任务，并且无法查看与执行未分配到的执行程序的任务。但在2.4.1版本中，普通用户可以通过在执行程序 A 上创建任务并使用子任务 ID，从而执行管理员权限才能执行的执行程序 B 上的子任务。

对近期卡饭上的一个样本进行分析

关于编写任何Codeql规则时经常会用到的一些类和谓词，以及数据流可能会出现的特殊情况的分析与解决

不出网渗透测试

一次为达目的，转走小路的SQL注入记录

小迪安全2024内网靶场-VPC1 & VPC2 & VPC3

模板补全（Template Completion）定义模板补全是一种针对大语言模型的黑盒越狱攻击方法。攻击者通过预定义一个看似无害的“模板框架”，将恶意问题嵌入其中，利用大模型对上下文模板的“逻辑补全”惯性，诱导模型生成违规内容。核心原理上下文误导：大模型（如ChatGPT）具有强大的上下文学习（In-context Learning）能力，会优先遵循输入文本的模板结构和隐含逻辑。攻击者通过设计特

文章主要对python中Bottle框架的模板引擎渲染的安全漏洞问题进行原理分析和利用

深入解析 Getter 方法的安全风险：源点调用与 JDBC 攻击

对bottle框架的渲染标识符的挖掘

大语言模型（LLMs）的最新进展极大地提升了各种自然语言处理（NLP）任务的性能。其卓越的泛化能力使得LLMs不仅在通用任务中表现出色，还为集成应用的开发提供了强大的技术支持。在这些集成应用中，LLMs通常作为骨干，通过附加工具或扩展文本信息来帮助用户完成复杂任务

Log4j WAF Bypass 技巧详细分析+总结

2025ciscn&长城杯 半决-pwn 部分解析

从RWX权限内存遍历到Dirty Vanity

frida分析ollvm字符串混淆

该漏洞是通过利用ssrf获取用户的 accessToken 进行的任意命令执行漏洞，命令执行部分与之前的默认accessToken的部分基本一致。

CVE-2025-25789 rce 漏洞分析

域靶机

在二进制漏洞挖掘和利用（Pwn）领域，手动分析和利用漏洞往往耗时且复杂。为了提高效率，自动化工具应运而生。PwnPasi 是一款基于 Python 的自动化漏洞利用工具，旨在帮助安全研究人员快速识别和利用常见的二进制漏洞，如栈溢出、格式化字符串漏洞等。本文将详细介绍 PwnPasi 的技术实现，包括如何自动识别溢出边界大小、自动识别漏洞类型、自动识别格式化字符串漏洞以及自动绕过 Canary 防护