Aggregator

ClipBucket 5.5.0 - Arbitrary File Upload

Microsoft Windows Server 2025 Hyper-V NT Kernel Integration VSP - Elevation of Privilege

Ilevia EVE X1/X5 Server 4.7.18.0.eden - Reverse Rootshell

Dev3000 是一款开源工具，用于辅助 AI 调试。它自动监控服务器日志、浏览器事件、网络请求及截图，并构建时间线供 AI 分析，提升调试效率。支持主流前端框架，可通过 MCP 协议连接 AI 助手如 Claude Code 或 Cursor。

2025年11月1日起施行。

本文以 CTF 靶场为例，介绍 PHP ReflectionClass 机制，含核心能力、基础使用，还分析其被恶意利用的风险及对应的防御措施。

本文系统复盘了一次微信小程序请求签名机制的逆向分析过程。从静态代码分析入手，通过关键词检索定位可疑函数，利用动态调试还原签名生成的完整流程，并构建最小化验证脚本复现核心逻辑。研究发现该签名机制存在随机数生成缺陷、参数序列化不一致等安全问题，文末给出针对性的安全改进建议，为小程序开发者提供参考。

PacketScope是一种基于eBPF的TCP/IP协议栈通用防御框架。通过在协议栈处理路径上动态观测、实时感知每一个分组单元在系统内的处理轨迹，绘制协议交互全景图，再辅助以大模型分析，PacketScope实现了协议栈内核级别的分组可视化、安全性分析与零延迟防御。

详细分析JRASP的原理和相关hook实现

2025年网络安全技能竞赛“观安杯”管理运维赛 WEB/PWN wp

这篇文章呢，主要是我在微信公众号通过关注的一些大牛子师傅发的公众号，文章写的关于spring-blade后台框架系统的menu接口存在的1day漏洞，一些sql注入和未授权漏洞等，然后写了相关魔改后的blade的漏洞的打法，对blade比较感兴趣的我，也就开始踏上了blade漏洞挖掘的不归之路了！

某融媒体系统审计记录

前段时间先知社区一波 spring 的原生 AOP 链子很火，因为解决了在 Spring 条件下尽可能少依赖的一条链子，最近又来了一条仅仅只需要 SPring，不再需要任何其他的依赖的一个 RCE 链子，而且是高版本的 JDK 一样通杀的，java 届要变天了，网上这条链子看了好多公众号都在传，今天我们好好分析一下，java 的反序列化的通杀链子 有一说一，这条链子就是一个神，首先只需要 JDK

LitCTF2025 re wp

一篇新手向的文章，读完这篇文章能够了解shiro550反序列化的原理和利用，CB链原理和利用，spring内存马注入原理和利用。整个文章深入浅出，同时也可以根据我给的代码，一起完成整个分析和复现。

Cybercrime Group ShinyHunters Advertises 160 Million Stolen Records
Vietnam's central bank is probing a hack attack that breached its credit reporting division, exposing personally identifiable information. The cybercrime group ShinyHunters claimed credit for the breach, advertising on a cybercrime forum 160 million stolen records for $175,000.

Live Hacking Event Offers New Insights Over Traditional Testing
In today's threat landscape, as attackers grow more sophisticated, organizations are finding that direct collaboration between ethical hackers and development teams offers advantages traditional testing methods can't always match.

Will Funding Offset Bigger Cuts Planned for Rural Health Under Big Beautiful Bill?
The Department of Health and Human Services has rolled out a $50 billion grant program to "transform" rural healthcare. The program - authorized under the "Big Beautiful Bill" - includes investment opportunities related to IT and cybersecurity. But is it nearly enough?

Crooks stole personal data of millions of Gucci, Balenciaga, and Alexander McQueen customers: parent firm Kering confirmed the breach. Hackers stole private data of millions of Gucci, Balenciaga, and Alexander McQueen customers, including names, contacts, addresses, and spending details. The parent company, Kering, confirmed the security breach and notified data protection authorities. The firm did […]