先知技术社区

总结来说，Auto Login Skill 不只是一个自动化工具，它更是一种 AI 技能在网络安全领域的落地实践。 从自动识别系统到智能纠错，再到多技能联动，它展示了 AI 在渗透测试等网络安全任务中的巨大潜力（还比如钓鱼很多场景提效）。

越权简单，主要是解密麻烦点，请勿利用文章内的相关技术从事非法测试，仅作技术分享目的。

本文介绍利用 WireGuard 组建加密隧道并结合 Caddy 实现应用层 TLS 卸载的流量重定向架构。通过配置反向代理规则将特定路径流量转发至内网 C2 服务器，有效隐藏真实 IP 并伪装业务流量特征。该方法相比传输层透传更能规避防火墙对非标准加密流量的检测。

有关于两个linux常见终端文本编辑器的漏洞分析....

CVE-2026-31975：Cloud CLI WebSocket Shell OS命令注入漏洞分析

有基于vfs的栈，一次性的非栈上格式化，2.39的offbynull，以及24字节的shellcode的IOT

NCTF2026web方向详解（全）内含openshell详细解

第二届sillyctf，感觉是非常的有趣啊（虽然没有学到太多东西）

文章均来自于本人实战经历

本文解析 VishwaCTF 2026 Writeup，涵盖迷宫路径 BFS 编码、LCG 参数恢复及 APK 逆向。核心利用 Base58 解码 ISO 隐藏数据、堆快照提取内存 Flag 及 Apache Syncope Keymaster 参数 XXE 漏洞。揭示了多种 CTF 题型中从静态分

KashiCTF 2026 WriteUp

仿真场景、内网渗透、横向移动、权限提升、权限维持、evasion、ATT&CK

本文分析了 Qwik 框架 server$ RPC 机制中的不安全反序列化漏洞 CVE-2026-27971，通过构造恶意 application/qwik-json 请求并利用 QRL 对象 Hash 校验绕过逻辑，实现了未授权远程代码执行。文章详细拆解了从请求解析到动态模块加载的完整攻击链，揭示

前言比赛又被拷打了，等了好久这个题都没有wp，没招，只能自己梭哈了。环境搭建这里直接用的SfTian佬的复现平台打的题https://gz.imxbt.cn/。解题登录以及题目漏洞点分析首先访问题目，说明要https访问。https之后其实发现会跳转到localhost。这里需要输入接口/carbon/admin/login.jsp，才能正常访问。然后是找账户密码了，本地 repository/c

记录第一次漏洞复现，巨新手，手把手

本文分析了 Langflow CVE-2026-33017 漏洞，指出其公开构建接口未校验请求体中的流程图数据，导致后端直接执行恶意 code 字段。攻击者通过构造包含任意 Python 代码的节点 payload，利用组件实例化阶段的 exec 调用实现未授权远程代码执行。

edusrc漏洞挖掘常见思路

第十九届ciscn&长城杯半决赛 isw部分wp分享

2026白帽大会 - 破局与重构：多模态AI Agent的红蓝对抗效率革命

如何在不影响功能的情况的基础上不上漏洞