伴随GPT,Gemini,DeepSeek等大语言模型的兴起,新的安全挑战也随之而来。其中,提示词注入(Prompt Injection)已成为一个亟待关注的关键性安全漏洞。 提示词注入是一种针对大型语言模型的网络攻击手段。攻击者通过构建看似无害的输入(即“提示词”),来操纵或欺骗AI模型,使其偏离预设的指令,执行非预期的行为。 这种攻击利用了LLM在区分开发者设定的核心指令和用户提供的外部输入
1. 重点介绍VMP壳如何Dump分析 2. 介绍如何抓重点在复杂的样本中寻找C2配置文件
0xGame2025的misc授课文案,week1到week4都有,知识讲解的都蛮细的,希望能帮助刚踏上ctf_misc的学弟学妹们轻松入门安全 作为出题人而言,这次出的题目感觉还好,比较侧重于原理知识,工具题几乎没有,然后大家可以前往ctf+平台进行复现学习
本文分析Tenda AC6固件中CVE-2025-50263缓冲区溢出漏洞,揭示其成因及利用方式。
IAST 能提供更高的测试准确性,并详细的标注漏洞在应用程序代码中的确切位置,来帮助开发人员达到实时修复。
CVE-2025-22865、CVE-2024-44337
本文通过一个 CTF 赛题中未定义变量 query 引发的原型链污染漏洞,深入探究了 JavaScript 引擎的底层工作原理。文章剖析了为何一个未声明的独立变量(无限定标识符)在被访问时,其查找过程会从作用域链延伸至原型链。通过对 ECMA-262 规范和 V8 引擎源码的分析,揭示了 V8 在编译期将此类变量标记为 kDynamicGlobal,并在执行期通过 LdaLookupGlobalS
本次博客基于一次模拟渗透测试经验,系统梳理车联网全域攻击面,涵盖车载系统、通信协议、移动应用和云端平台等多个维度。通过对车联网完整生态的安全分析,为安全研究人员提供一套实用的渗透测试方法论。
针对Mimikatz在Win11 24H2无法提取凭据的问题,通过分析pypykatz解决方案,修复签名偏移与结构体变化。
本文通过逆向分析Windows剪贴板机制,探索从内存中提取剪贴板历史数据的方法,并实现跨版本数据获取。
CVE-2025-48734 和 CVE-2022-22965 漏洞分析学习前言:比较有意思的漏洞点,然后感觉这两个漏洞非常相似,下面就一起分析学习一下。CVE-2022-22965 漏洞分析版本限制Spring 框架或衍生的 SpringBoot 等框架,版本小于 v5.3.18 或 v5.2.20Tomcat 小于 9.0.62环境搭建先新建一个 spring 项目,JDK 版本需要大于 1.
Microsoft Entra Connect作为混合身份管理的核心组件,既是身份同步的关键枢纽,也是攻击者觊觎的高价值目标。一旦其服务器遭入侵,攻击者便可获取高权限凭据,进而通过DCSync攻击转储本地域哈希,或利用云同步账户提升云端权限。尽管微软近期安全更新已显著削弱相关攻击路径,全面了解这一Tier 0资产的风险仍至关重要。
在本文中,我们将深入探索 DPAPI 的概念和工作原理,解析它如何保护浏览器中的密码和 Cookie,并通过详细的步骤演示攻击者如何在建立立足点后,通过离线提取 MasterKey、破解 Chrome 最新的 App Bound 加密保护,最终成功解密 Cookie 并接管云服务会话的完整攻击链路。
发布投稿