某会员专属靶场—Delegation

靶场地址:https://vip.bdziyi.com/bc/入口信息收集C:\Users\35031\Desktop>fscanPlus_amd64 -h 10.10.0.10 -p 1-65535

红队利用 VSCode 扩展插件实现钓鱼功能

1. 引言在最近一次红队行动中，MDSec 受命策划一次用于获取初始访问权限的网络钓鱼活动。特殊之处在于，被选中的钓鱼对象是开发人员，其技术能力远高于普通用户。因此，他们不太可能落入常见的载荷与陷阱。

php 文件上传不含一句 php 代码 RCE 最新新姿势

前言学到这个 trick 的时候只能说，php 是最好的语言，还没有落幕，每次看到 php 的新 trick 都不得不为之震惊，如何没有 php 代码做到代码执行，实战价值很大，看下面分析Deadse

DC-9靶机复现

查看靶机ip：arp-scan -l端口扫描nmap -sV -p- 192.168.130.150目录扫描dirsearch -u 192.168.130.150 -i 200这次好像没有啥有用的文

哥斯拉的连接流程分析以及实现自己的魔改webshell

项目配置一般看网上的教程是反编译jar包,然后配置启动类,配置依赖库,就完成了,这里教程不做赘述贴个反编译的网站: Java decompiler online还有一种办法是去GitHub搜别人上传好

2025年网络威胁态势持续恶化，勒索软件激增179%，凭证窃取暴涨800%

（图片来源：Shutterstock）根据Flashpoint最新威胁情报报告显示，2025年前六个月，信息窃取恶意软件激增、漏洞披露延迟以及创纪录的勒索软件攻击已让全球防御者疲于应对。网络犯罪分子已

不忘历史—对岛国网站的sql注入

了解历史，铭记 731 部队的罪行，是每个中国人乃至全世界热爱和平的人都应坚守的历史认知。这不仅是对无数受害者的告慰，更是防止历史悲剧重演的重要前提。731 部队是日本帝国主义在第二次世界大战期间，在

AI成功绕过"人机验证"系统，ChatGPT智能代理突破CAPTCHA验证

（图片来源：Reddit）验证机制遭遇AI挑战Cloudflare推出的Turnstile CAPTCHA功能旨在实现自动化验证，减少传统基于图像选择或点击验证带来的操作障碍。理论上，这套机制应该能够

GitHub全球核心服务中断事件全过程

全球性服务中断2025年7月28日，GitHub发生大规模服务中断，影响全球数百万依赖该平台的开发者和组织。此次事件波及API请求、问题跟踪和拉取请求等核心功能，暴露出全球软件开发所依赖的云端协作工具

Wiz级多云安全平台，资产真实风险一张图看清，正式开放使用！

云安全太复杂？5 分钟实现 Wiz 式扫描技术创新主要功能威胁情报和指标多云资产统一真实风险评估图形查询攻击路径云上入侵处置合规性报告常见问题长期平台规划2025年7月攻防演练期间， 安多多宣布正式推

原创 | 《茶汤与月光》

茶汤与月光——记一个夜班之后的清晨凌晨四点，我拎着医院门口五块钱一杯的豆浆，站在公交站牌下。豆浆已经凉了，像这四年来所有赶早班的日子。我老婆在急诊室干了四年，白大褂的袖口洗得发白。去年新来的小张，三

谷歌Chromium输入验证零日漏洞正遭攻击者利用

美国网络安全与基础设施安全局（CISA）发布紧急预警，威胁攻击者正在积极利用谷歌Chromium浏览器引擎中的高危漏洞（CVE-2025-6558）。该漏洞影响所有基于Chromium内核的浏览器，包

JavaScript 库高危漏洞致数百万应用面临代码执行攻击风险

漏洞概述广泛使用的 JavaScript form-data 库近日曝出高危安全漏洞（CVE-2025-7783），可能导致数百万应用程序面临代码执行攻击风险。该漏洞源于该库使用可预测的 Math.r

原创 | 浮生若梦，逆天成仙

在浩渺的仙侠世界里，《仙逆》宛如一颗璀璨的星辰，以其跌宕起伏的情节、深刻的情感羁绊和对人性的细腻刻画，深深吸引了我。这部国产动漫不仅展现了绚丽的仙侠画卷，更以其独特的魅力，让我在观剧后久久沉浸其中，难

清华大学招聘漏洞挖掘工程师

清华大学招聘漏洞挖掘工程师和漏洞挖掘博士后（薪酬面议，base北京）浪师父认为：稳定、体面和福利好的工作到哪里找：与清华大学签订正式合同，工程师序列职工，在清华大学校内工作，办理清华大学工作证，享受清

原子级 macOS 信息窃取程序升级：新增后门实现持久化控制

臭名昭著的 Atomic macOS Stealer（AMOS，原子级 macOS 窃取程序）恶意软件近期完成危险升级，全球 Mac 用户面临更严峻威胁。这款与俄罗斯有关联的窃密程序首次植入后门模块，

护网交流加群

护网 | Nacos攻击面、配置文件攻防思路及技巧

0x01 前言 当渗透测试遇到成百上千的Nacos节点，你会怎么做？99%的人只会盯着RCE漏洞，却忽略了真正的漏洞利用点——配置文件！笔者亲历证明：集群环境下配置分析的漏洞深度利用危害极高。本文揭秘

护网 | xxl-job漏洞综合利用工具

这次团队在某市州护网，分享一点实战心得，这个工具值得大家收藏，相信浪师父。声明：仅用于授权测试，用户滥用造成的一切后果和作者无关 请遵守法律法规！0x01 工具介绍 xxl-job-attack一款针

浅谈SSO认证原理及常见安全问题

前言在一次测试过程中，遇到了一个公司的应用全部采用SSO登录的情况，所以就了解了一下SSO系统的原理以及可能存在的安全问题。简介单点登录是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应

Jeecg-boot常见漏洞汇总

前言jeecg-boot漏洞笔记记录一下，大佬勿喷。小白可以直接收藏下来学习一下很多poc我都直接给出来了，基本就是我的笔记。如果，有不对的可以指正一下，一起学习。jeecg-boot介绍JeecgB

原创 | 给徒弟们的一封信！

徒弟们，我们聊聊未来！时光荏苒，转眼间我们一起走过了三年的时光。看着你们从青涩懵懂逐渐成长为如今的模样，我的心情无比复杂。今天，我想和你们好好聊聊，关于未来，关于学习，关于人生。先说说学习这件事吧。

Cdp协议深度应用Web渗透加解密

渗透测试与加解密作为一个苦逼的安服仔，在不断接收全国各地的奇奇怪怪的安服项目的洗礼后，这些奇奇怪怪项目一开始只是简单的web加解密签名，再到小程序加解密，最后是APP的加解密。有些时候会真的很疑问，这

DES 加密解密实现之旅

1. 概述本文将记录从某次渗透实战登录遇到的des加密，分析 des.js 和 login.jsp 文件到成功实现加密解密功能的全过程。通过这一过程，不仅深入理解了 DES 加密算法的实现细节，还成功

shiro反序列化漏洞原理分析

前言：本文不包含CB链分析，只是单纯的漏洞序列化和反序列化的超详细分析。漏洞分析：序列化过程：1.调用convertPrincipalsToBytes方法并传递数组类型的实例accountPrinci

2025年“净网”“护网”专项工作部署会召开

2025年“净网”“护网”专项工作部署会20日在京召开。会议强调，要坚决贯彻落实党中央决策部署，按照公安部党委要求，坚持以打开路、生态治理、主动防范、合成作战，始终保持严打高压态势，依法严厉打

使用分支对抗进行webshell bypass

前言对于webshell免杀来说，类绕过是最有效果且不易被检测出来的，那如果我们对类进行操作，在类里面加入一些算法和混淆代码，让代码逻辑变得十分混乱，不易读，甚至读不懂，但是却能够执行命令，可以rce

罚单|多家银行出现网络安全与数据安全问题

06月18日 17:24 广东6月17日，中国人民银行辽宁省分行对部分金融机构的网络安全与数据安全问题进行了处罚。此次涉及的处罚决定包括辽银罚决字〔2025〕7-8号、9-811号和12-13号，主要

php代码审计篇 - 信呼OA 前台注入

信呼OA v2.6.7 SQL注入漏洞系统介绍信呼，免费开源的办公OA系统，包括APP，pc上客户端，REIM即时通信，服务端等，让每个企业单位都有自己的办公系统。官网：http://www.rock

php代码审计篇 - Dedecms 后台任意代码执行分析

序言之前突然有想法打算拿一个dedecms的cnvd高危证书于是开始了下面的审计。下面这两个漏洞都是围绕makehtml_homepage.php文件中 SetTemplet()方法和SaveToH