先知技术社区

JDK 高版本下 JNDI 注入深度剖析JDK 高版本 JNDI 注入限制rmi 协议限制测试 poc直接定位到 RegistryContext#decodeObject 方法，看到在调用 NamingManaget.getObjectInstance 方法前有个 if 条件判断，如果符合这三个 if 条件就会抛出异常，而 jdk 高版本中默认 trustURLCodebase 为 false，然

JAVA代码审计——Echo4.2

在加载阶段（Loading），它是 Java 将字节码数据从不同的数据源读取到 JVM 中， 并映射为 JVM 认可的数据结构（Class 对象），这里的数据源可能是各种各样的形态，如 jar 文件、class 文件，甚至是网络数据源等；如果输入数据不是 ClassFile 的结构，则会抛出ClassFormatError。

本文讨论软件供应链安全的重要性，并重点关注Python里PyPI生态中的具体风险。然后通过本地实验演示了四种常见的攻击手法：利用 setup.py 在安装时执行恶意代码、利用 __init__.py 在导入时执行恶意代码、通过域名仿冒（Typosquatting）诱导用户安装拼写错误的恶意包，以及利用星标劫持（Star Jacking）在github等托管平台伪造项目流行度以欺骗开发者。

clickhouse数据库基本使用与sql注入手法总结

入门逆向题

struts2框架下的漏洞分析，一步步代码分析struts2漏洞到RCE

某数字藏品app逆向

工作需要，咱们研究研究Java内存马来~~~

物联网流量分析

本文全面介绍了开源情报分析（OSINT）的核心技术与实战方法，涵盖信息收集的各个环节，包括搜索引擎高级语法、反向图片搜索、EXIF数据解析、社交媒体情报分析、电子邮件地址挖掘、密码泄露检测等。文章还详细讲解了如何构建匿名身份（马甲）以保护隐私，并提供了大量实用工具和网站的推荐，如Hunter.io、Dehashed、HaveIBeenPwned等。无论是CTF选手、安全研究人员，还是对OSINT感

先知社区运营规则V2.0

CicadasCMS是用springboot+mybatis+beetl开发的一款CMS，支持自定义内容模型、模板标签、全站静态化等功能。

之前做了VNCTF gets师傅出的一道house of muney后发现自己对ret2dlsolve中的知识点理解的不是很透彻，加上之前接触过的house of banana也是一知半解。所以决定重新学习一下dlresolve，再去深入house of muney和house of banana。同时也想扭过自己对ret2dlsolve的认知（以前一直觉得是板子题，根本不看的。现在看来其实还是有

Spring-AOP下toString触发链绕过黑名单，通过JdkDynamicAopProxy调用目标对象方法时抛出异常进行对象拼接触发

周末高强度比赛中发现一个质量较高的比赛

SwampCTF is a student-run competition and hosted by the University of Florida Student InfoSec Team (UFSIT) a.k.a Kernel Sanders.

具体分析了Hessian协议在序列化和反序列化的相关流程代码、并通过Rome链和JdbcRowSetImpl两个链进行了漏洞分析

今年线上线下ctf比赛都出现了很多取证题，在此拿一道题来进行分析，并讲述工具利用

Lumma Stealer；反混淆；