蚁景网安实验室

前两天在刷tw，看到了个比较有意思的一个CVE漏洞，价值奖励是10000美刀，比较好奇的是价值10000美刀的漏洞是什么样子的，漏洞利用就是需要在浏览器中进行用户交互才能触发该漏洞...

Helm是Kubernetes的包管理器。这就像ubuntu的apt-get。在此场景中，利用较旧版本的HELM(版本2)，tiller 服务 RBAC 默认设置获取集群的访问权限。

作者：Kale 前言 Apache Log4j2是一款优秀的Java日志框架，最近爆出了一个jndi注入的漏洞，影响面非常广，各大厂商都被波及。Log4j2作为日志记录的第三方库，被广泛得到使用，这次

作者：Lxxx 眼见不为实的show_source 前言 最近，Err0r师傅把他们新生赛的赛题源码甩给我，我直接点开ezphp，发现这题很巧妙，题目源码不长，并且很有意思！

作者：许木 ，今天看到一篇文章，写的是关于JAVA Agent相关的资料(附1)，里面提到了Java Agent的两种实现方法： 实现premain方法，在JVM启动前加载 实现agentmain

作者：lackWatch 什么是SSTI SSTI：开局一张图，姿势全靠y SSTI，即服务器端模板注入（Server-Side Template Injection） sql注入的成因是从用户获得

作者：fge7s 通过某大学生的的毕业设计复习java-sql审计 sql注入原理:业务端代码从客户端接收到恶意payload之后没有进行过滤直接进行sql语句拼接并且执行造成sql注入

作者：H.R.P 前言 NCTF的题目让我大开眼界，上来最低利用版本都是2.31，新生都如此生猛了吗，由于我比较菜只搞定了这个ezheap，2.33版本的题目我也是第一次做