先知技术社区

复现了2025ciscn暨长城杯初赛pwn方向，minihttpd这道题

本文讲解了如何从零分析webpwn，并且一点点做出来

阿里集团安全部招聘安全工程师-AI for security

初赛WriteUp

高版本Winos远控框架、伪装成火绒安装包传播

学习web入门的各类题型，辅助建立基础的web框架

一次项目上的快速代码审计

HKCERT CTF 2025 labyrinth反序列化学习——主要考察了hessian反序列化的利用

webredjs看到next.js框架，就很容易想到前段时间很火的CVE-2025-55182直接用网上现成的poc获取flagAI_WAF抓包，使用-1发现sql注入发现使用一些关键字会进行拦截尝试进行绕过，发现使用内联绕过可以成功，`/*!50000 */`ai会认为这个是被注释掉的，但是当前MySQL版本大于5.00.00版本，会执行注释中的语法，成功绕过测试发现第一个字段有回显获取所有表名

这个题被打穿了，我坐牢到2点多才出，其他题根本没时间看

第三届长城杯初赛 web部分赛题wp

记一次Java代码审计——LuckyFrameWeb-V3.1_Beta

随着Agentic AI（具备自主规划、工具调用与多步任务执行能力的智能体系统）在生产环境中的规模化应用，传统大语言模型（LLM）的安全防护机制已难以应对其独特的攻击面。这类系统通过多代理协作、外部工具集成和自主决策能力，在提升效率的同时，也引入了全新的安全风险——攻击者可利用提示注入、工具滥用等手段，绕过安全机制实现未授权访问、数据泄露甚至系统控制

本文对一套混合架构的Java Web企业系统进行代码审计，发现任意文件读取、SSRF、文件上传、SQL注入等高危漏洞，并深入分析鉴权机制缺陷与绕过方法。

某低代码BPM 代码审计分析

主页涵盖常见绕过方法、实战存在场景及扩大危害利用手法

近期无论是对设备还是对传统WEB行业都所有企业都追随着AI大潮，在自身产品原有的基础上加入了AI智能体，所以笔者就在此聊聊关于OWASP LLM的漏洞TOP10。

最近要研究一些 AI 框架/组件漏洞，看了好多，于是来分析一些 ollama 的漏洞吧，还记得当时 deepseek 爆火的时候，因为访问特别的卡，所以网上一堆本地部署 deekseek 的教程，就是使用 ollama，但是 ollama 有一个未授权漏洞，当时就一堆人在白嫖算力，哈哈哈哈哈哈 看了先知社区上，竟然没有分析这个漏洞的，于是来分析一波，正好也是项目需要

复现 CVE-2017-17215：华为 HG532 路由器因 TR-064 服务对外暴露（常见 37215 端口），其 /ctrlt/DeviceUpgrade_1 的 DeviceUpgrade 动作对 SOAP 参数缺少过滤，攻击者可在 NewStatusURL/NewDownloadURL 中插入命令实现 远程命令执行（RCE）。本文给出仿真环境搭建与 PoC 触发验证思路，并从固件侧定位

简单的Python Flask