先知技术社区

分析高版本Fastjson组件getter调用过程中的限制成因，以及一步步尝试探索通过动态代理技术代理安全接口，规避Fastjson对危险类的黑名单检查，使反序列化时通过代理接口转发调用到恶意类的getter方法（如TemplatesImpl的getOutputProperties），从而绕过黑名单限制触发漏洞。

2025ISCCpwn合集

Alibaba Sentinel 是一款面向分布式、多语言异构化服务架构的流量治理组件，本文着重于分析其SSRF漏洞点，以及进行相应的分析，初次投稿此类文章，请各位多多包容。

关于项目Echo的2.3版本审计

信息收集端口扫描使用nmap进行端口探测，发现存在22，80，443，41525等端口开放。然后探测具体协议。Web页面访问web页面。发现存在web-INF接口。目录爆破使用工具爆破目录。CVE漏洞搜索发现存在cve-2023-49070漏洞，漏洞原因是：Apache Ofbiz 18.12.09 中的预认证 RCE。这是由于 XML-RPC 不再维护而仍然存在。此问题影响 Apache OF

mobileISCC mobile 邦布出击安装apk点击右下角的按钮，进入图鉴界面，百度各种邦布的种类，一个一个试，可以得到三段base64加密的文本邦布图鉴 - 绝区零WIKI_BWIKI_哔哩哔哩然后将三段base64拼接起来，循环解码三次base64得到一串明文尝试打开解压得到的db文件，提示非数据库文件，经查询是经过sqlcipher加密，那么此前得到的明文应该就是解密的keyflag是

自动化加解密

基于EKKO的一种睡眠变种

虽然网上存在许多hook Javanative反序列化的文章，然而却没有针对Hessian反序列化的。本文探究了一种通用性的方式，能够在awdp等线下赛中针对Hessian反序列化进行高效快速的修复。

一次恶意挖矿样本分析到捕获矿池地址

第二届“Parloo 杯”-CTF 应急响应挑战赛，是由“知攻善防实验室”、“OneFox 安全团队”、“Solar 应急响应团队”联合承办，思而听(山东)网络科技有限公司协办，大赛以“提升应急响应能力、强化安全防护”为宗旨，通过构建高度还原的真实网络安全应急场景，全面检验参赛选手在漏洞挖掘、攻击溯源、事件处置、协同攻防等核心领域的实战能力。

基于RPC的计划任务维权分析学习

tcp流10

reverse

有关CVE-2025-1584的原理及利用

MCMS是一款基于SpringBoot 2架构的内容管理系统，它主要用于管理和监控计算机网络中的各种设备和资源，MCMS可以帮助管理员轻松地配置、监视和维护网络设备，提供网络拓扑图、设备状态、流量监控、安全性管理等功能

本文介绍如何使用NASM汇编编写linux shellcode，同时也补充了Windows Reverse Shell shellcode的实现

Bucket 是一台中等难度的 Linux 靶机，特点是使用了 LocalStack，它模拟了一个本地的 AWS 环境。Web 应用运行在 Apache 服务器上，文件托管在一个开放的 S3 存储桶中，我们可以上传一个恶意的 PHP 文件，从而获得反向 shell。 在用户的 home 目录中，发现了一个未完成的项目，它使用了 DynamoDB 作为数据库。通过枚举 DynamoDB，可以发现可

本文系统介绍了伪随机数生成器MT19937的工作原理，及存在的逆向和随机数预测操作。此外分析了python中random库，并实现了对random库的逆向。

如果堆栈不存在的话，就没有必要伪造堆栈了 : )