Aggregator

AAA'26这道题的wp

只丢一个 JAR 进类路径，不用改代码、不用配配置、不用碰应用，就能悄无声息偷走数据库密码、植入 Web 后门？

CDG文件服务器的 uploadSoftWareFile 接口存在路径遍历漏洞和目录控制绕过漏洞。攻击者通过构造特殊请求参数，可以绕过目录访问限制，将恶意文件写入服务器任意可写目录，最终实现远程代码执行（RCE）。

针对LitCTF2026中密码方向的题目进行详细分析和解答

提供 Flatpak 打包应用的 Linux 应用商店 Flathub 更新了其生成式 AI 政策，事实上禁止 AI 生成应用。Flathub 声明：不允许提交包含 AI 生成或 AI 辅助代码、文档或其它内容的应用。提交 AI 应用会直接被拒绝而无需进一步审查。屡次违反政策会导致被永久禁止提交应用。开发者表示他们受够了此类应用，但以前递交和批准的 AI 辅助编程应用不会被追溯，仍然可以正常使用。

lit_ezsql一个SQL注入，正常查询的话id=1或id=2能查询出数据，下面我们测试一下闭合常见的几种组合都没有报错，并且能正常返回查询的数据，下面测试一些特殊的组合这些都返回了id=2的数据，说明对传进去的参数进行了处理，下面我们尝试一下宽字节注入用sqlmap指定宽字节注入就能注出来下面介绍一下手注的流程测试 payload：其中：%bf 是宽字节前导%27 是单引号 '后面拼接 OR

Linux中的java内存马排查

通过构造恶意的中转站来劫持 opencode，claudecode，openclaw 从而实现命令执行，乃至于上线 c2

CVE-2025-39682漏洞分析

A new threat actor tracked as JINX-0164 has been running calculated attacks against cryptocurrency organizations, using LinkedIn profiles to lure developers into downloading custom macOS malware. Active since at least mid-2025, the group has combined social engineering, credential theft, and supply chain sabotage into a seamless operation that puts the entire software development pipeline at […]

The post JINX-0164 Threat Actor Using LinkedIn Social Engineering to Deploy Custom macOS Malware appeared first on Cyber Security News.

LitCTF2026webwp，这次比赛题目质量比较高，好好学习，天天向上

Google 从本世纪初开始就支配着搜索引擎市场。为了让自家内容被搜索到所有媒体都要遵守 Google 制定的规则并以此进行优化，但如果有一天搜索引擎只为自己优化？这一天已经到来，Google 上周宣布将使用 Gemini 处理所有搜索查询。此前 Google 已经通过 AI Overview 冲击了所有媒体，导致它们的流量下降了四分之一之多。如今搜索巨人准备完全切断新闻业的生存之道。Facebook 和 X 等社媒平台通过限制链接（throttling links）确保用户留在自己的网站上而不是点击链接离开。通过转向 AI 搜索 Google 正在拥抱这一趋势，让用户在获取信息上更依赖机器而不是真人。鉴于 Google 的无处不在和无法避开，它正引领科技行业贬值人类的思想和人类本身。Google 恨你也恨我。

A wave of sophisticated supply chain attacks has put millions of software developers on high alert, with threat actors turning everyday developer tools into weapons for stealing credentials, cloud tokens, and source code. What makes these campaigns especially alarming is how they exploit the very systems developers trust most: their editors, automated pipelines, and version […]

The post Attackers Abuse Trusted Developer Tooling to Exfiltrate Source Code and Secrets appeared first on Cyber Security News.

基于高度混淆的JavaScript脚本，对比网页AI与AI IDE的JS逆向分析能力

ISCC-2026-区域赛练武wp详解，可以供各位师傅进行赛后复盘参考

第一次做这种类型的，大体记录一下过程

自动化越狱提示词的生成

一文讲明js原型链污染原理及概念误区，包含常见绕过思路

结合代码分析CVE-2026-33439 OpenAM 反序列化漏洞

该漏洞存在于大模型推理引擎 SGLang 中（影响 v0.5.9 及以下版本）。其核心逻辑非常直接：SGLang 在处理 /v1/rerank 请求时，会读取 GGUF 模型文件中的 tokenizer.chat_template 字段，并将其放入一个无沙箱限制的 Jinja2 环境中进行渲染。