先知技术社区

如何在不影响功能的情况的基础上不上漏洞

重新手搓了两个pwn的脚本，作用写在注释里面了

记录一次php代码审计

在litellm-1.82.8、litellm-1.82.7包的proxy_server.py代码中存在多段不同的b64_payload代码载荷，推测其是历史版本载荷。

漏洞来源一个评分十分的严重漏洞漏洞描述SandboxJS 是一个 JavaScript 沙箱库。在 0.8.34 版本之前，可以获取包含 Function 数组，从而导致沙箱逃逸。如果拥有包含 Function 的数组和 Object.fromEntries，就可以构造 {[p]: Function}，其中 p 是任何可构造的属。此漏洞已在 0.8.34 版本中修复漏洞原理CVE-2026-269

溯源流量题目：traffic_hunt

fileury fury+IOUtils二次反序列化打aspectJweaver写jar包加载

AI辅助还原Coruna漏洞利用链混淆代码

CVE-2026-31975：Cloud CLI WebSocket Shell OS命令注入漏洞分析

更近一步的针对protobuf协议分析的技巧的总结

本文旨在研究 PDF 解析器 Xpdf 中的深度递归漏洞（CVE-2019-13288）。通过使用 AFL++ 模糊测试工具对 Xpdf 3.02 进行压力测试，成功捕获了由于畸形 PDF 文件引起的拒绝服务（DoS）崩溃

CVE-2026-27966是Langflow平台中一个严重程度为高危的远程代码执行（RCE）漏洞。Langflow作为一个开源的AI工作流构建平台,允许用户通过可视化界面创建和管理AI驱动的自动化流程。该漏洞存在于CSV Agent组件的代码执行配置中，Langflow在其CSV Agent组件中显式把LangChain Experimental CSV Agent的危险代码执行能力打开了。攻击

Mystic Stealer是 2023 年出现的一种信息窃取工具，主要攻击Web 浏览器和加密货币钱包，并具有重度的代码混淆特征。笔者详细对比了该软件的不同版本，指出其利用常量展开和多态技术来隐藏 C2 服务器等关键配置。通过对解密算法的深入剖析，笔者总结出对其批量化提取配置的脚本。

分析了当下最火的openclaw的防御模式

01 前言Winget钓鱼是一种容易被防御者忽视的钓鱼方式，以至于公开的文件滥用后缀中并没有它：https://filesec.io/本文会详细介绍这种新的钓鱼伪装技术，包括漏洞复现、涉及的概念，如何一步步构造及原理02 漏洞复现压缩包内有Lnk文件jianli.lnk双击jianli.lnk后可以看到成功弹出了伪装的pdf文档，并下载执行了putty.exe03 前置知识3.1 Powershe

kali mcp服务部署，利用claude调用mcp服务，实现自动化渗透

ciscn-web-isw

车联网安全基础：NFC中继攻击

2026数字中国创新大赛数字安全赛道暨 三明市第六届“红明谷”杯 pwn 全解解析 附带附件

仿真内网、内网渗透、横向移动、权限维持、多层代理、evasion