技术文章
AI安全-提示词注入
攻击技术分类高级 Prompt Injection 技术绕过与混淆策略防御机制与对抗策略攻防手册靶场练习一.攻击技术分类类型描述Prompt Injection利用精心设计的提示词操控模型行为,绕过安全限制。Output Hijacking诱导模型输出恶意代码或脚本,影响前端渲染或执行。Jailbreak绕过模型的内容审核和限制,获取违禁
投稿文章:从Shiro反序列到拿下域控
投稿文章:从Shiro反序列到拿下域控
行业聚焦 金融与银行服务 来自Exel 2025年年度威胁报告的网络安全趋势
根据《financial-banking-services-cybersecurity-trends-from-expels-2025-annual-threat-report-pdf-1-w-14921.pdf》的内容,金融与银行业的网络安全核心趋势和关键要点如下:1. 主要威胁趋势凭证泄露主导身份风险金融行业54%的安全事件源于凭证泄露,高于Expel客户平均水平(17% vs. 12%)。 风险
针对VT免杀的vs编译小tips
vs编写的马子编译后,上传VT检查一下查杀率时,VT 1/72,发现总是有一个Elastic阴魂不散。。Malicious (high Confidence) 为了达到纯绿VT0报毒(手动滑稽),针对此项报毒一直在尝试修改源代码 将主函数注释成空无果,依然是1/72 ???转变思路修改 vs编译时的参数总所周知:vs编译时 经常会修改编译器
Ingress NGINX - IngressNightmare 漏洞的 PoC 代码(CVE-2025-1097、CVE-2025-1098、CVE-2025-24514 和 CVE-2025-1974)
URL:https://github.com/hakaioffsec/IngressNightmare-PoC该项目针对 Kubernetes 的 Ingress NGINX Controller 中的关键未经身份验证的远程代码执行 (RCE)漏洞提供了攻击,统称为 IngressNightmare。(由Wiz研究)在最初的研究中,Wiz 团队没有提供 PoC 或功能漏洞,因此我们决定创建自己的并与社区分
小白求教bloodhound.py代理开tun模式SRV错误的问题
如题 我平时喜欢打打htb靶场 开了openvpn链接内网 tun模式代理加速 域内的时候用bloodhound.py 拿域内信息的时候 会报The DNS response does not contain an answer to the question: _ldap._tcp.pdc._msdcs.frizz.htb. IN SRV晓得这是dns查询也被代理到了代理服务器 没有解析到域 所以应该怎么不让tun
投稿文章:www.wifi-soft.com unibox路由器存在 test_userlogin.php 命令执行漏洞
投稿文章:www.wifi-soft.com unibox路由器存在 test_userlogin.php 命令执行漏洞
记录一次真实信息泄露
获取prod-web-auth-api/gateway/commonPostLogin 接口类似于获取信息的登录接口遍历username字段,可以获取到对应身份证号的人姓名、手机号和小程序鉴权值获取到小程序session,可以任意越权其他功能用其他数据包证明session可利用遍历username字段,根据id字段可以证明数据量200万+,可以获取上两百万
抛砖引玉,权限提升中的几个自动化枚举工具
整理了几个在Linux权限提升中的自动化枚举工具.其他更好用的工具也欢迎各位师傅留言.LinPeas: https://github.com/carlospolop/p ... tree/master/linPEAS]LinEnum: https://github.com/rebootuser/LinEnum]LES (Linux Exploit Suggester): https://github.com/mzet-/linux-exploit-suggester]Linux Sm
bypass 360报毒QVM202
360 QVM202 报毒是启发式静态扫描,修改文件资源伪造成正常文件一样即可绕过。(前提是你的源码本身具备免杀静态扫描能力)添加签名、文件名、图标、属性信息、资源...通过手动使用ResourceHacker修改资源可以达到绕过效果,但对于我这种脚本小子来说 好累啊...【QVM250】 自动伪造资源添加图标和版本
