蚁景科技

摘要： 目前在CTF比赛中，gadgetinspector作为一个有些年头的基于ASM对字节码进行分析的自动化反序列化链挖掘工具，虽然在实际场景使用中用到的不算很多，但是经过一些功能上的补足和二开后也提高了一部分的准确率。我们主要通过二开后的gadgetinspector来学习一下如何通过ASM来对字节码进行处理并跟踪污点流进行分析。 阅读全文

摘要： 最近导师要搞IOT漏洞挖掘项目，我得找找IOT学习资料，DVRF就适合IOT设备漏洞挖掘从入门到入坟.... 阅读全文

摘要： 湖南蚁景科技在行业中脱颖而出，一举斩获 “2024年度湖南湘江新区在线教育行业红名单企业” 以及 “2024年度湖南湘江新区互联网在线教育行业成长企业” 两项重磅殊荣，彰显其强劲实力与发展潜力。 阅读全文

摘要： Flowise存在严重的文件上传漏洞，尽管实施了上传校验机制，攻击者仍可通过特殊编码绕过限制，实现任意目录的文件写入。这一安全缺陷使未经授权的攻击者能够上传恶意文件、脚本或SSH密钥，从而获取对托管服务器的远程控制权，对使用该平台构建AI代理的组织构成重大安全威胁。 阅读全文

摘要： D-Link DIR-823G v1.02 B05存在命令注入漏洞，攻击者可以通过POST的方式往 /HNAP1发送精心构造的请求，执行任意的操作系统命令。 阅读全文

摘要： 上周参加了国外的ApoorvCTF比赛，看一下老外的比赛跟我们有什么不同，然后我根据国内比赛对比发现，他们考点还是很有意思的，反正都是逆向。 阅读全文

摘要： 因为大模型的知识库存在于训练期间，因此对于一些最新发生的事或者是专业性问题可能会出现不准确或者是幻觉，因此可以使用RAG技术给大模型外挂知识库来达到精准回答的目的。 阅读全文

摘要： 对于常见的web或者h5的场景中，一些重要的系统都会对于参数或者敏感数据进行校验，防止被恶意篡改而利用。因此在安全测试过程中，对于一些越权、注入等测试，需要对参数值进行修改重放，那么这个过程是否能够成功第一步取决于是否可以搞定校验算法并成功绕过。因此本文主要介绍安全测试中常用的一些js逆向的技术手段。 阅读全文

摘要： Mongoose 是一个用于 Node.js 的 MongoDB 对象建模工具，它使得与 MongoDB 数据库交互变得更加简单和高效。我们可以看到这两个漏洞描述大体相同，都是因为在使用 $where 运算符时出现了问题。 阅读全文

摘要： pocsuite3 是由 知道创宇 404实验室 开发维护的开源远程漏洞测试和概念验证开发框架。为了更好理解其运行逻辑，本文将从源码角度分析该项目的初始化，多线程函数，poc模板等等源码。 阅读全文