先知技术社区

webredjs看到next.js框架，就很容易想到前段时间很火的CVE-2025-55182直接用网上现成的poc获取flagAI_WAF抓包，使用-1发现sql注入发现使用一些关键字会进行拦截尝试进行绕过，发现使用内联绕过可以成功，`/*!50000 */`ai会认为这个是被注释掉的，但是当前MySQL版本大于5.00.00版本，会执行注释中的语法，成功绕过测试发现第一个字段有回显获取所有表名

初赛WriteUp

金眼狗（APT-Q-27）远控木马投递程序升级、相同数字签名、键盘记录功能dll、截屏功能dll、银狐系Winos木马

学校只有我一个pwn手，完全做不完当时，做这四个是极限了，剩下以后有空再去复现，stack那个是dockerfile有问题，泄露出来栈就基本差不多了。

关于htaccess文件的学习，学的时候发现还能绕过php8下的open_basedir

漏洞分析，exp构造，内核池

HKCERT CTF 2025 labyrinth反序列化学习——主要考察了hessian反序列化的利用

结合AI分析一下基于三个漏洞结合造成的史诗级漏洞CVE-2025-55182

这个题被打穿了，我坐牢到2点多才出，其他题根本没时间看

前言在当今移动应用安全领域，代码混淆技术已成为保护商业应用知识产权、抵御逆向工程的重要手段。其中，OLLVM（Obfuscator-LLVM）作为一款强大的开源混淆工具，通过多种高级混淆技术（如字符串加密、控制流程平坦化、指令替换等），显著增加了逆向分析的难度，使开发者能够有效保护核心算法与业务逻辑。然而，随着混淆技术的日益复杂，传统的静态分析方法往往难以奏效，需要借助动态分析工具进行辅助。Fri

仅有gets栈溢出漏洞的攻击方式

HW的时候抓到的一个漏洞通过SQL insert注入修改数据源，利用higo的jdbc连接配合文件上传加载图片进行RCE

本文介绍Gogs的Go环境搭建、Delve远程调试配置，并分析两个关键漏洞的触发机制与利用方式。

结合出题源码对应分析从小比赛到大比赛的shellcode类型考察点以及对应的解题思路，并且给出常用的对应的shellcode的套用模版

前言本文系统性地剖析了栈溢出漏洞及其衍生的初级ROP利用技术，从最基础的缓冲区溢出原理出发，逐步深入至返回导向编程（ROP）的各个层面。我们将通过实际案例展示如何通过精确计算偏移量覆盖返回地址实现控制流劫持，并在此基础上探索ret2text、ret2libc、ret2syscall、ret2csu以及栈迁移等核心技术。无论是32位还是64位环境，无论是动态链接还是静态编译，本文都将提供从理论分析到

本次分析过程并非没有人受伤,内容以技术分析为主，请仅用于学习与研究，不要用于非法用途。

学习web入门的各类题型，辅助建立基础的web框架

通过总结了三条Java基础CC反序列化的调用链，通过CTF题目DeserBug展示了在受限环境下如何创新组合已有组件实现攻击目标，灵活组合不同链的优点绕过限制。

一次项目上的快速代码审计

本文详解x86下通过修改fini_array劫持程序流，结合格式化字符串漏洞实现循环执行与ROP链部署的方法。