爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

ivanti CVE-2025-0282漏洞复现

# Ivanti CVE-2025-0282漏洞分析与利用教学文档本文档基于先知社区（阿里云）于2026年3月23日发布的《ivanti CVE-2025-0282漏洞复现》文章整理，旨在提供一份详尽的技术教学指南，涵盖漏洞背景、环境搭建、分析方法、利用技巧及完整漏洞复现流程。本漏洞是Ivanti Connect Secure中的一处栈溢出漏洞，最终可导致远程代码执行。 ## 1. 环境搭建 **目标软件**：Ivanti Connect Secure (Pulse Connect Se

2026-03-26 22:21:30

长城杯半决赛三道 Web—从 redis SSRF、ZipSlip 到 glibc iconv 溢出

# 长城杯半决赛 Web 赛题审计深度剖析教学文档 ## 0x00 前言本文旨在深入解析长城杯半决赛的三道独立 Web 赛题，剖析其中涉及的安全漏洞及其利用技术。三道题目覆盖了从应用逻辑漏洞、服务端请求伪造、路径穿越到深层的编码转换缓冲区溢出等多个层面，并与近年来的真实 CVE 相关联，具备很高的学习和研究价值。 ## 0x01 IntraBadge — redis:// SSRF 与 Jinja2 沙箱逃逸 ### 应用架构与业务逻辑 1. **核心技术栈**：Flask + Red

2026-03-26 16:06:11

记录一次php代码审计

# PHP代码审计实战案例教学文档 ## 一、案例概述本文档基于先知社区发布的《记录一次php代码审计》文章，还原了一次完整的代码审计流程。本次审计的对象是一个PHP开发的Web应用程序，通过源代码分析发现了SQL注入、XSS、RCE、逻辑漏洞等多种安全问题。本教学文档将逐一剖析漏洞成因、审计思路和利用方法，旨在帮助安全从业者构建系统化的代码审计能力。 ## 二、审计发现的漏洞详情与审计思路 ### 1. SQL注入漏洞 **漏洞位置**：`novel.php` 文件中的 `de

2026-03-26 15:19:19

CISCN&长城杯 2026分区赛区AWDP-Web

# CISCN&长城杯 2026 分区赛 AWDP Web Writeup 教学文档 **作者：先知社区 - BR** **最后更新：2026-03-25** 本文档详细剖析“CISCN&长城杯 2026分区赛AWDP-Web”中的两道题目（MediaDrive 和 easy_time）的攻击与修复原理，旨在提供详尽的教学分析。 --- ## 题目一：MediaDrive ### 1. 漏洞概述该题目核心漏洞存在于 `preview.php` 文件中。通过构造恶意序列化对象并利用字符编

2026-03-26 14:47:47

2026-SUCTF-JDBC-Master：鉴权绕过与JDBC任意代码执行

# 2026-SUCTF-JDBC-Master 漏洞分析与利用教学文档 ## 摘要本文档基于先知社区发布的《2026-SUCTF-JDBC-Master：鉴权绕过与JDBC任意代码执行》文章，详细解析了一道CTF题目中涉及的安全漏洞。该漏洞包含两个核心部分：一个Spring MVC路由的**鉴权绕过**和一个PostgreSQL Kingbase8 JDBC驱动的**任意代码执行**。本文将逐步拆解漏洞原理、绕过思路和利用方法，并附上完整的利用脚本。 --- ## 1. 环境搭建题目

2026-03-26 14:32:13

PY-RASP 项目深度拆解

# PY-RASP 项目深度拆解教学文档 ## 第一章：项目概述与核心设计思想 **项目地址**：https://github.com/ez-lbz/PY-RASP **项目定位**：PY-RASP 是一个用于学习目的的、Demo级别的开源 Python RASP (Runtime Application Self-Protection) 项目。其核心解决了一个Python生态中长期存在的现实问题：如何有效地对危险系统API（如`open`， `subprocess`， `socket`，

2026-03-26 14:11:29

小程序Web接口速通案例

**小程序Web接口速通：从信息收集到权限提升的实战教学** 本文档基于奇安信攻防社区文章《小程序Web接口速通案例》的核心思想与流程，结合渗透测试知识体系，整理出一套系统性的教学指南，旨在教授如何通过信息收集与逻辑反推，挖掘并利用小程序后端Web接口的安全漏洞。 **一、核心思路与前置知识** 核心攻击路径可概括为：**信息收集 -> 接口暴露 -> 逻辑反推 -> 权限绕过/提升**。这并非依赖复杂的技术漏洞（如SQL注入、RCE），而是侧重于业务逻辑、架构设计缺陷和开发人员安全意识

2026-03-26 12:48:01

ciscn及长城杯半决赛回顾

# CTF比赛AWDP与ISW靶场实战技术详解 ## 背景概述本文档基于用户“bTchrAqTvr”在先知社区分享的《ciscn及长城杯半决赛回顾》文章内容整理生成，详细剖析了第十九届全国大学生信息安全竞赛（CISCN）半决赛浙江赛区中涉及的AWDP（Attack With Defense Plus）攻防赛和ISW（Internal Security War）内网渗透赛的关键题目、解题思路、修复方法及实战技巧。 ## 一、 AWDP 赛题详解 AWDP赛制要求参赛队伍在攻击对方服务的同时，修

2026-03-26 12:27:17

Android移动安全第一章_组件导出安全

# Android 移动安全教学文档：组件导出安全 ## 前言 Android 应用由四大组件构成：Activity、Service、BroadcastReceiver 和 ContentProvider。每个组件均可选择“导出”，允许其他应用访问。此机制是 Android 进程间通信的基础，但一旦导出，组件将暴露给设备上所有已安装应用。Android 客户端安全问题多源于组件不当导出或导出后缺少访问控制。本文系统讲解组件导出的机制、潜在攻击面和审计方法。 ## 第一章组件导出机制详解

2026-03-24 18:10:02

DIR815栈溢出漏洞复现新手入门

# DIR815 路由器栈溢出漏洞复现教学文档 ## 1. 环境准备与工具安装 ### 1.1 核心工具安装首先，在宿主机（推荐使用 Ubuntu 系统）上安装必要的工具。打开终端并执行以下命令： ```bash sudo apt update sudo apt install -y qemu-system qemu-user qemu-user-static gdb gdb-multiarch file wget curl git python3 python3-pip build-e

2026-03-24 17:33:48

阿里CTF Java赛道Fury反序列化漏洞分析与利用链挖掘

# 阿里CTF Java赛道Fury反序列化漏洞分析与利用链挖掘技术教学文档本文旨在对“阿里CTF Java赛道Fury反序列化漏洞”的分析与利用链构建过程进行系统性教学，内容基于先知社区的技术文章。教学目标是帮助读者理解漏洞背景、分析思路、利用链构造方法，并掌握相关的PoC编写技巧。 ## 1. 漏洞背景与目标 - **漏洞环境**: 本议题源于一场阿里CTF的Java题目，核心利用点为Apache Fury反序列化漏洞。 - **Fury库**: 一个基于JIT的高性能序列化框架，本

2026-03-24 17:23:27

Frida魔改反检测初探

# Frida源码编译与魔改反检测入门指南 ## 概述本文档旨在系统性地指导如何从源码编译Frida，并基于开源魔改项目进行反检测修改，以绕过移动应用对Frida的动态检测机制。整个流程涵盖环境搭建、源码编译、补丁应用、源码级修改及编译优化。 ## 一、Frida源码编译 ### 1. 环境准备推荐在Ubuntu虚拟机中进行，需安装以下必备组件： * **Git**：用于克隆Frida源码仓库。 ``` apt install git ``` * *

2026-03-24 15:18:35

跳转到页