Aggregator

Yokan 是一款专为网络安全从业人员、研究机构和企业红队设计的一体化 Web 渗透测试与外网打点平台。系统采用完全自定义的工具流架构，深度集成 ICP 官方查询、AI 智能 Fuzzing 推断以及“指纹到漏洞（Fingerprint-to-POC）”的自动化工作流。

结合代码分析：CVE-2026-27944（Nginx UI未授权备份下载与加密密钥泄露）漏洞

报名开启｜2026阿里白帽大会议程发布

Mystic Stealer是 2023 年出现的一种信息窃取工具，主要攻击Web 浏览器和加密货币钱包，并具有重度的代码混淆特征。笔者详细对比了该软件的不同版本，指出其利用常量展开和多态技术来隐藏 C2 服务器等关键配置。通过对解密算法的深入剖析，笔者总结出对其批量化提取配置的脚本。

引言随着大型语言模型（LLM）和深度学习技术在安全领域的广泛应用，传统的基于特征码、抽象语法树（AST）或沙箱行为分析的 Webshell 检测手段正逐渐向基于 AI 的语义分析演进。AI 模型能够理解代码的逻辑意图，从而识别出经过复杂混淆的恶意脚本。然而，AI 模型本身存在一个本质性的弱点：它们在处理代码时，往往将代码逻辑与注释、元数据等“非执行内容”置于同一语义空间进行推理。这就为提示词注入（

针对在 Agent Tesla 等知名 .NET 恶意软件中泛滥的 XORStringsNet 混淆器，本文详细记录了分析师如何抛弃繁琐的传统手动逆向分析，开发出一款高效、全自动的 Python 批量解密工具的实战全过程。

该漏洞源于服务端 authorized() 中间件在识别 Webhook 路径时使用了非锚定正则表达式，导致其错误地匹配了 URL 中的查询参数。远程攻击者只需在 API 请求末尾拼接特定的 Webhook 路径字符串（如 ?/webhooks/trigger），即可绕过身份认证、角色鉴权及 CSRF 防护，实现对服务端所有 API 端点的完全访问与操作。

本文旨在研究 PDF 解析器 Xpdf 中的深度递归漏洞（CVE-2019-13288）。通过使用 AFL++ 模糊测试工具对 Xpdf 3.02 进行压力测试，成功捕获了由于畸形 PDF 文件引起的拒绝服务（DoS）崩溃

笔者最近一直在关注银狐的攻击，发现有一类的银狐变化特别快，而且还特别活跃。相信各位师傅看过这样子的银狐钓鱼:**2026年第一季度违规内职人员名单信息公告.exe**，这个团伙现在的加载器已经是多次迭代的，近期主要在混淆方面进行迭代，增加了混淆后，又不好分析，ida还容易崩，单步调试好一会，找到关键函数却眼前一黑，密密麻麻的基本块糊在一起，文章会着重分析如何减轻垃圾代码的影响。

决赛直播｜第四届阿里CTF安全挑战赛

本文将结合关键代码，对 OpenClaw 低于 2026.2.14 版本中 Feishu 扩展存在的服务端请求伪造（SSRF）漏洞成因与官方修复方案进行简要分析，为相关开发者及安全从业人员提供参考。

分析AliyunCTF2026的MHGA，聚焦于HessianProxyFactory工厂类在JNDI的利用，同时补充一种非预期解。

York 是一台专家级高难度靶机，全程无简单漏洞，全程考验漏洞挖掘、代码审计、二进制 Pwn 与 Linux 提权能力。从 SQL 盲注、2FA 算法破解、ROP 链绕过 NX 保护，到格式化字符串泄露 Canary、栈溢出绕过保护机制，再到最终路径劫持拿下 root，每一步都是硬核攻防。整套渗透链环环相扣，是极具挑战的进阶实战靶机。

玄机上有几道pwn题没什么人做，特意花时间做了并且进行整理

基于Unicode隐藏字符的攻击手法，可以让恶意指令“隐形”地嵌入Skills的md文件中，无论是代码审查还是肉眼查看，都难以发现，但其危害十分严重，可能在 AI 执行过程中造成 RCE、数据泄露等后果，本文将基于此技术在Claude和Codex中进行实践与防御思考

安卓设备APatch部署及利用KPM模块实现InlineHook及SyscallHook技术

利用codeQL自动化寻找反序列化链，借此利用于myfaces框架的反序列化漏洞

Bread 靶机渗透测试：利用 ACL/ACE 滥用攻击提权前言Bread 靶机是由 maze-sec 团队开发的 Active Directory (AD) 环境靶场，旨在模拟真实域环境下的权限提升场景。本文记录了从信息收集到域控提权的完整过程，重点聚焦于 Wegia CMS 的 SQL 注入漏洞利用、密码爆破，以及通过 bloodyAD 工具进行的 ACL/ACE 滥用攻击。该靶机强调 AD

逆向利用CFG绕过、堆栈欺骗、DLL Hollowing等技术的加载器

一种通用的新的ssti利用方法