流量样本涉及到webshell流量、CS流量的识别、解密及分析,感觉跟实战很接近,和各位师傅分享下分析思路。
前几天都在研究高版本的fastjson,都知道高版本的fastjson对于@type多了非常多的限制,导致反序列化漏洞越来越难,特别是白名单让漏洞更难利用,不过需要探测 fastjson 是作为打入的第一道关卡,探测的手法也多种多样,下面来分析一个畸形 payload ,不符合 json 格式但是任然能够解析
漏洞原理介绍,exp分析,exp动态调试,漏洞复现
文剖析AI越狱的五类组合攻击技术,结合历史与政治敏感场景,揭示生成式AI安全机制的脆弱性及防御挑战。
Flowise 是开源的低代码/无代码工具,帮助用户快速构建和部署基于大语言模型(LLM)的应用程序。最近爆出了大量漏洞,来看一下
其实链子早就构造出来了,但是一直没有写文章的欲望,瞅见佬们公开的文章都只有链子没有详细解释以及构造过程,所以我还是来分享一下踩坑经验吧,有啥不太对的地方欢迎各位佬们指出。
发现了一个新的打内存马的方式
Llama-Factory 代码执行漏洞详细分析前言Llama-Factory 是一个开源的大语言模型(LLM)微调与训练工具箱,专门为像 LLaMA、ChatGLM、Baichuan、Qwen、Mistral 等开源模型提供一站式的微调、推理和部署支持。这个工具在进行模型数据集训练的时候还是比较好用的,前几天的长城杯初赛 AI 模块的数据投毒就可以通过这个工具进行微调投毒,我们可以在题目给的数据
前言:最近在翻github,发现并没有师傅编写提示词注入相关的工具,最后自己也是琢磨了几天,用python搓出来了两个相关工具,分别是检测器和生成器,。代码放在了github上了,代码写的比较菜,还望各位师傅轻喷。
JDBC 漏洞遇到了被 waf 了怎么办?好不容易找到一个可以 RCE 的口子,难道就要 GG 吗?各种绕过 waf 的手法对应着不同的 waf ,下面使用环境代码,调试分析调试绕过 waf 的手法
SPEL 漏洞挖掘之从sql插入到命令执行的奇思妙想
该漏洞源于ks.sys对KSPROPERTY_TYPE_UNSERIALIZESET处理不当,导致任意IOCTL执行,可实现权限提升。
发布投稿