先知技术社区

azure这一块 应用授权这一块 rbac这一块

2026年新春杯Misc方向所有题目的正反手解析

第四届阿里CTF官方writeup

复现最新的漏洞Dokploy RCE (CVE-2026-24841)

结合chrome-devtools-mcp的能力并加上Skill的规范，实现JSRPC+Flask+autoDecoder方案的前端JS逆向自动化分析，提升JS逆向的效率

本文介绍了Python中利用Unicode“斜体字符”（如数学字母符号）绕过安全检测的原理：这些字符虽视觉相似但编码不同，而Python在解析标识符时会隐式进行NFKC/NFKD规范化，将其等效为普通ASCII字符。若WAF未做相同处理，攻击者可用变体字符构造恶意代码（如prinᵗ(1)）实现绕过。该方法适用于函数名、变量名和字符串内容，但不适用于关键字，且在不同环境（如Web框架、JSON解析）

CVE-2026-23873 & CVE-2026-24479 审计过程

JDK17后的高版本触发toString整合

2026春秋杯wp

漏洞来源漏洞描述vLLM 是一个用于 LLM 推理和服务的库。vllm/model_executor/weight_utils.py 实现了 hf_model_weights_iterator 来加载模型检查点，该检查点从 Hugging Face 下载。它使用了 torch.load 函数，并且 weights_only 参数默认为 False。当 torch.load 加载恶意 pickle

OpenClaw1、OpenClaw🦞 介绍与准备内容最近各个平台大量出现的“🦞龙虾”，本质上指的就是 OpenClaw（原 Clawdbot / Moltbot）这一类具备高权限、可执行能力的 AI Agent。发现了有关API密钥的漏洞我们再去官网看看https://github.com/openclaw/openclaw我不确定我电脑能正常安装不，所以如果有关审计部分，先静态分析一波。1.1

yii2.0.x框架文件上传风险分析

VNCTF 2026 web方向部分解

禅道最新版的一个任意文件读取，两个任意文件删除

Nullbyte渗透靶场精讲，涉及信息收集，Hydra表单暴力破解，John md5哈希暴力破解，SQL注入多种利用，suid可执行文件利用提权，值得研究和学习。

结合AI从代码层面分析SolarWinds Web Help Desk 未授权远程代码执行漏洞

从0到1分析了该漏洞的核心原理，并纠正部分误区

漏洞描述N8N 是一个开源的工作流程自动化平台。在1.123.17和2.5.2版本之前，拥有创建或修改工作流权限的认证用户可以滥用工作流参数中的精心设计表达式，在运行n8n的主机上触发非预期的系统命令执行。这个问题已在1.123.17和2.5.2版本中得到修补漏洞影响评分：9.4版本：< 1.123.17； 2.x系列版本 < 2.5.2漏洞分析恶意请求构造后端触发链创建我们的恶意工作

该漏洞出自Xiaomi路由器BE10000 Pro 稳定版 存在授权后远程RCE漏洞

MHT：时间在流动！时间在流动！在跳舞！木大木大木大木大木大！