AFL(American Fuzzy Lop)是由Google安全工程师Michał Zalewski开发的一款开源fuzzing测试工具，可以高效地对二进制程序进行fuzzing，挖掘可能存在的内存安全漏洞，如栈溢出、堆溢出、UAF、do…

格式化字符串是CTF比赛中很常见的一种pwn题，但是往往需要自己手工调试，如果可以快速利用该漏洞拿到一血，这无疑可以很大的鼓舞选手的信心，并且有丰厚的分值奖励。那怎么快速利用格式化字符串漏洞呢，甚至对漏洞原理不甚了解怎么快速利用呢，本文将慢…

简介 OLLVM的控制流平坦化是一种常见的代码混淆方式，其基本原理是添加分发器来控制流程的执行。针对这种混淆方式的还原也有了许多研究和工具，大致思路分为动态和静态两种： 动态：通过Unicorn模拟执行的方式获取各真实块的关系 静态：通过符…

提到Xposed，大家应该都非常熟悉，它主要在Java层对目标函数进行hook，对于底层系统调用则无能为力。由于hook系统调用需要在内核空间中完成，这大多是通过加载内核模块来实现。这里我们将从最基本入手，一步步介绍如何通过LKM(load…

编译 需要根据 DevGuide.md 中的内容，运行 gradle 命令来执行相应的 gradle 脚本，来完成初始化。 首先要下载必要的 Dependencies 依赖库。 然后又分成 Build 和 Develop 两种方式，根据需要…

译者注：2018新年伊始，一个影响Intel CPU的严重漏洞就被曝光，这个漏洞可以导致用户空间代码读取内核空间的内存信息。一位名叫"python sweetness"的用户发布了一篇介绍文章，这里我们将其翻译为中文，以便国内的用户能够更好…

作者：Looke ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实…

漏洞介绍 Oracle官方发布了2022年1月的关键安全补丁集合更新Critical Patch Update，修复了多个存在于WebLogic中的漏洞包括CVE-2022-21306、CVE-2022-21292、CVE-2022-213…

0x00 前言 随着国家安全法的出台，网络安全迎来发展的新时期，越来越多企业或政府单位开始重视网络安全。很多网站陆陆续续告别裸奔时代，开始部署web应用防火墙（WAF）以应对网络攻击。由此，相关网站的安全性很大程度上取决于WAF的防护能力，…

漏洞介绍 APISIX 是一个高性能、可扩展的微服务 API 网关，基于 nginx（openresty）和 Lua 实现功能，借鉴了 Kong 的思路，将 Kong 底层的关系型数据库（Postgres）替换成了NoSQL 型的 etcd…