先知技术社区

python日志库远程代码执行漏洞(CVE-2025-27607)分析

还在等手机智能体？看看你自带的 AI 手机助手是不是已经在越权操作了

大体掌握一下做题的流程，以及必要的一些前提的基础

含uofTCTF2026 firewall题解

本问讲述了Gophish平台二开和fuzz历程，旨在测试企业员工安全意识和邮件网关防护能力。通过使用Gophish平台和Zoho企业邮箱，解决了邮件拦截问题，并开发了动态QR码功能，提高了邮件投递成功率和个性化追踪能力。

本文分析Ollama v0.9.5中因未验证用户输入导致的服务器端模板注入漏洞，攻击者可利用该漏洞读取敏感数据。

UofTCTF2026-web部分wp

通过BloodHound发现ACL配置缺陷，利用AddSelf、GenericAll、WriteDacl等权限逐级提权至域控。

环境搭建源码：https://gitee.com/taisan/tarzan-cms修改配置文件账密，导入数据库配置文件漏洞挖掘查看maven依赖：snakeyaml:1.27全局查找核心函数Yaml.load&Yaml.dumpYaml.load()：入参是一个字符串或者一个文件，经过序列化之后返回一个Java对象；Yaml.dump()：将一个对象转化为yaml文件形式遍历zip数据，

通过CRLF注入修改配置，降低安全等级并触发远程代码执行。

WordPress plugin WP-DownloadManager任意文件上传漏洞（CVE-2025-10747）

随着大语言模型（LLM）在企业内部工具、客服系统、智能合约审计、代码助手等场景的深度落地，提示词注入（Prompt Injection） 已经从一个小众红队技术，正式晋升为最热门、最实用、也最容易产生真实危害的AI安全攻击向量之一。

本文主要讲解 Vue 路由守卫及两种常见的绕过方式

利用IDA Pro MCP实现对熊猫烧香病毒的自动化逆向分析，快速识别恶意行为及关键函数地址。

本文复盘了 CISCN 2022 东北赛区 math 题目，围绕同一组公开参数给出了主线解法与多条可替换的拓展路径，并把每条路径中的前提条件、筛选方式和实现细节都整理了一下

Android ART虚拟机的编译能力是系统性能的核心支撑，其编译模块集中在art/compiler目录下，遵循“优化器+后端”的精简三段式架构，完美适配移动设备的性能与资源约束。在Android逆向层面，对Android编译时机的理解决定了是否可以进行更深层次的对抗。

PHPGurukul Online Course Registration SQL注入漏洞（CVE-2025-10663）

本文系统剖析提示词注入攻击原理、实战案例及防御体系，覆盖从基础越狱到多模态新型威胁的全链条风险应对。

全是干货，笔者在使用IDA的过程，总结了很多场景下的使用，以下内容来自笔者+互联网总结。有些文章我不记得从哪看了，但是感谢大佬的分享。

IDA-PRO-MCP是我经常用的一个工具，看爆漏洞了，于是来分析了一下，大家记得更新升级