Aggregator

AMSI对抗技术

通过Attach API动态注入Agent，利用ASM在字节码层面改写目标类的方法体，实现认证逻辑的运行时绕过、业务逻辑的精确篡改，以及Agent自身的无痕持久化。

在野银狐样本分析

分析最近 Gemini App 的两个间接提示词注入漏洞，总结间接提示词注入实战攻击手法

Defender与svchost

文字来自本人实战经历（已修复）

Copy Fail (CVE-2026-31431) 是 Linux 内核身份验证加密模块中的一个逻辑错误。它允许**非特权用户向任意可读文件的页缓存中写入 4 字节的任意数据，并且支持多次写入**

云 AccessKey 利用工具集投毒

在日常渗透测试与安全测试中，前端加密（尤其是登录参数的加密）是绕不开的一类场景。 通过本文的实践,你将看到：一句自然语言 + 一个 MCP 环境 + 一套代理链路，如何将原本至少需要几十分钟的 JS 逆向工作，压缩到几分钟内完成。

一张看起来人畜无害的PNG，像素里藏着完整的shellcode。不触磁盘，从图片解码到内存执行一步到位。

本文是 HackTheBox Horizontall 靶机的详细渗透测试记录。通过端口扫描发现 Web 服务，在前端 JS 文件中提取出隐藏子域名 api-prod.horizontall.htb，识别出 Strapi CMS（3.0.0-beta.17.4）。利用 CVE-2019-18818（NoSQL 注入重置管理员密码）获取管理员权限，再结合 CVE-2019-19606（插件安装命令注入

1978 年，DEC 发布了 VT100 终端。为了让这台"哑终端"能显示彩色文字、移动光标、清屏，他们设计了一套控制序列——以 ESC（0x1B）开头的字节序列。这就是 ANSI 转义序列的源头。近半个世纪后，现代终端模拟器依然忠实地解析这些序列。

本文从一个安全从业者的视角，探讨 AI 在渗透测试中的真实落地方式。作者基于开源项目 AI Burp Copilot v2 的实践，分享了"LLM 负责理解、规则引擎负责执行"的分层架构设计，以及在这一过程中遇到的三个真实困境——LLM 的不一致性、业务逻辑漏洞的规则覆盖难题。旨在为同样在探索 AI + 安全的同行提供一些务实参考。

This publication provides your organization with additional details on frontier AI, the associated risks and suggested mitigation measures to enhance your cyber security posture.

用多 Agent 分工处理安全任务，用 Docker 沙箱约束工具执行，用持久化事件和上下文投影保证任务过程可恢复、可审计、可复盘。

A threat actor using the alias Moelester claims to be selling a dataset allegedly originating from Swiss Medical, a major Argentine private healthcare and health-insurance company.

Hyperjail 靶机考点为无认证 libvirt 远程管控，依托存储池任意目录挂载实现公钥注入拿用户权限，篡改 doas 配置完成本地提权，再通过挂载 QCOW2 磁盘镜像打通虚拟机内外权限。

本文为 ISCC 2026 移动安全赛题的全套题解，涵盖五道 Android 逆向题目，每道题均从 APK 结构分析入手，逐步拆解 Java 层逻辑、native 层校验链及密码学方案，并给出完整 exp。

本文讨论的是 CTF、靶场、本地实验和授权安全研究场景下的大模型使用方法。核心目标不是绕过安全边界，而是在合法环境中把大模型从聊天助手调成“会拿证据、会调用工具、会及时在一个方法上停下止损的大手子”。

A threat actor using the alias ChimeraZ claims to have leaked a database allegedly belonging to Amepi (Amanda), described as the leading French cooperative platform for sharing exclusive listings among real-estate agencies.