Fastjson1.2.83-0day(开autotype)+mysql不出网打法

原文blog：https://fushuling.com/index.php/2025/12/04/fastjson1-2-83%e5%bc%80autotypemysql%e4%b8%8d%e5%8

AI正在失控吗？

关注我们丨文末赠书如今，AI已为人类的生活带来巨大的改变，我们在享受着AI带来便利的同时，却很少想过：如果它失控怎么办？诺贝尔物理学奖、图灵奖得主，“AI教父”杰弗里·辛顿（Geoffrey Hint

记一次测试未授权接口需要的AES加密逆向

原文首发在：先知社区https://xz.aliyun.com/news/90721在测试网站的时候发现一个未授权接口，但是要构造数据包，发现他的数据包是加密的，所以我得去将他的加密算法逆向出来才能开

攻防技巧|红队快速高效挖掘.net系统漏洞

原文首发在：奇安信攻防社区https://forum.butian.net/share/4655前言在红队攻防对抗中，.NET系统是出现频次比较高，.NET系统由于其架构特性，通常会将业务逻辑封装在D

Android 设备指纹攻防对抗：漏洞挖掘与风险环境检测

本文将从改机概念与黑产手段入手，逐步介绍Magisk模块以及其他作弊方式的功能实现，包括Magisk模块开发基础及其在攻防中的应用，帮助技术人员理解设备指纹攻防的核心原理与技术实现。改机概念与黑产常用

【校招+社招】中国电信大可实验室招聘全面启动，职等你来！

中国电信大可实验室招聘公告机构简介 中国电信大可实验室是中国电信集团直属分支机构，依托国家级“云网基础设施安全国家工程研究中心”，以中国电信坚实可靠的云网基础设施为载体，承担安全攻防尖端技术研

记一次别样的文件上传

原文首发在：先知社区https://xz.aliyun.com/news/19205文件上传对于经常挖洞的师傅们 文件上传肯定是必测的点但是大多数情况下 文件上传对于后缀名 内容 等等都有做限制本人遇

动态 WAF + 失效排查，解决网站攻击拦截痛点

雷池SafeLine WAF 是由长亭科技推出的开源Web应用防火墙，具备智能语义分析、动态HTML混淆、人机验证等先进能力，广泛应用于企业级Web安全防护场景。安装部署一条命令安装1. 操作系统仅支

记一次py恶意样本分析实战

原文链接：https://xz.aliyun.com/news/19111打开py文件，发现样本包含了很长一段的payload，经过多层解压后通过exec来执行代码。exec是恶意样本常用的命令，典型

成文实验室|知识星球正式上线

CHENGWEN LAB成文实验室知识星球正式上线专注实战安全 赋能企业防御亲爱的安全同仁们：我们很高兴地宣布，顺丰信息安全团队独立安全实验室——『成文实验室』知识星球于今天正式上线啦！这是一个专

记一次postgres注入绕过waf

原文首发在：先知社区https://xz.aliyun.com/news/19004在授权测试某 APP 时，发现一处未授权 sql 注入，但是存在 waf，于是开始了绕 waf 之旅。APP 非开放

《物联网漏洞挖掘：从原理到高级利用技术》

文末留言福利：获赞最多的第一名，将获得包邮送出的《物联网漏洞挖掘与利用》一本活动截止时间：10月24日17:00温馨提示：1.留言网络安全相关内容，其他内容均不精选2.严禁刷票行为，一经查证，结果作废

edu漏洞挖掘实战：三个典型案例的思路分享

原文首发在：先知社区https://xz.aliyun.com/news/19045前言最近整理了几个edu系统的漏洞案例，也不能说有意思吧，反正都是大部分会遇到的类型，edu系统一直是个很好的练手场

内推 | 深圳中广核渗透攻防岗火热招聘中

高级渗透攻防工程师[工作地点] 深圳[经验要求] 3年+[学历要求] 全日制本科及以上，技术突出者可适当放宽学历要求[薪资范围] 面议[职位描述]1. 代表公司参与网络安全赛事，包括各类攻防、安全竞赛

内推 | 深圳中广核渗透攻防岗火热招聘中

帮朋友发的招聘信息，下面是具体的职位和要求，符合岗位条件感兴趣的话，欢迎直接投递简历~高级渗透攻防工程师[工作地点] 深圳[经验要求] 3年+[学历要求] 全日制本科及以上，技术突出者可适当放宽学历要

“EDR 无懈可击”,一本书揭开它的漏洞

2025年，一次国内的红队演练里，某企业的安全负责人信心满满：“我们的EDR覆盖率100%，只要有攻击，一定会被拦下！”结果仅过数小时，攻击流量悄无声息地穿过了防线。EDR 没有报警，SOC 没有预警

记一次漏洞挖掘从黑盒到白盒-上篇

vlan911原文首发在：奇安信攻防社区https://forum.butian.net/share/4564本文讲解针对某个网络设备的漏洞挖掘，如何从黑盒测试到权限获取，从哪些角度对二进制文件进行分

攻防实战思路-不靠0day组合拳拿下目标系统

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与

红队攻防：从0到1搭建高隐蔽性C2基础设施

前言在红蓝对抗中，C2（Command & Control）服务器是红队的 “神经中枢”—— 其稳定性决定行动能否持续，隐蔽性决定能否避开蓝队溯源。多数红队行动暴露，根源在于 C2 存在明显指纹（如默

记一次组合拳之SPEL(重在思路分享+payload)

原文首发在：奇安信攻防社区https://forum.butian.net/share/4532感觉整个渗透过程特别有意思，从扫描到 heapdump 泄露，到得敏感信息的泄露，再到观察请求包，思考参

内网攻防实战图谱：实战手册

在数字化的世界里，信息已成为最具战略价值的资产之一，而与之相伴的信息安全威胁也愈发复杂多样，黑客攻击、恶意软件感染、数据泄露等安全事件频繁发生，给个人、企业乃至国家带来了巨大的损失和潜在的风险。对于企

Src第八期—项目护航计划

.5202隐雾Src第八期/项目护航计划 昨天和做销售的朋友聊天，他告诉我“安全的招投标上升了20%，虽然项目变小，但是客户群体变多了”，怪不得我也能接到项目。项目群福利入群即得多重福利福利一：

数字安全 “密码” 速查！网络安全宣传周干货指南

网络安全是数字时代的重要基石，它关乎个人隐私、企业安全乃至国家稳定。2025年9月15日至21日是国家网络安全宣传周，让我们再次聚焦于网络安全这一重要议题。我们精心挑选了一系列网络安全相关的技术书籍，

ISRC 2025中秋众测活动 | 首位额外奖励+最高4倍奖励

安全开发利器：企业级本地部署 AI 代码编辑工具

一、工具简介 ■ MonkeyCode 专为企业研发团队设计，提供 AI 编程、强大管理与高效安全扫描。它充分考虑隐私保护，支持完全私有化与离线部署，数据始终保留在企业自有环境。并对 AI

工资4k，但私活收入过5w，离谱...

近两年业界对爬虫技术服务的需求量一直在涨，且有愈演愈烈的趋势。在《2025python岗位调查报告》中，爬虫开发就有超过40%的占比。在Python接单市场需求上，主要在网络爬虫、Web后台接口和数据

记一次攻防渗透集锦-JS泄露突破多个后台

原文链接：https://forum.butian.net/share/4538记录近期渗透项目及护网攻防利用JS泄露突破后台案例,Nday扫的没有大佬快,0day没有大佬储备多,何不研究一下前后端分

记一次挖矿木马+隐藏后门应急分析

前言包含一下知识：SSH 暴力破解挖矿木马 (含流量分析)Crontab 后门Alias 后门应急响应背景一天，客户反馈服务器莫名其妙突然卡顿、风扇狂转，但是查看 cpu 占用率却都不高，请你上机排查

【招聘】中国电信集团北京网络安全技术中心招人啦～

基本信息实验室工商名称中国电信集团有限公司北京网络安全技术中心办公地点北京市西城区复兴门天银大厦A东座招聘类型社招 OR 实习（2026 届应届毕业生，但需在毕业前符合录用条件）投递方式孙小姐：sun

十万奖励、中秋礼盒！双十一保卫战召唤你来参与

蚂蚁联合阿里巴巴、爱奇艺、百度、BOSS直聘、滴滴、京东、快手、美团、OPPO、平安、荣耀、微博、小米、小鹏汽车、携程、新浪、字节跳动组成双11安全联盟。诚邀白帽战士参与第九届双十一安全保卫战为数亿用