blackpeach‎-CSDN博客

原创【漏洞复现】MCP Inspector 未授权访问致代码执行漏洞（CVE-2025-49596）

MCP Inspector工具在0.14.1之前版本存在严重的未授权访问漏洞(CVE-2025-49596)。由于代理服务器缺乏身份验证机制，攻击者可利用标准输入输出发送MCP命令，实现远程代码执行。该漏洞影响使用真实生产数据的AI开发环境，可能导致任意命令执行、数据窃取等危害。复现过程显示可通过反弹shell或DNS外带等方式利用漏洞。官方已发布0.14.1修复版本，建议立即升级或采取临时防护措施限制访问端口。该漏洞CVSS评分预计为高危，对AI开发环境构成严重威胁。

2025-07-01 22:11:07 986

原创浅析SRC中隐私合规漏洞，隐私合规是什么？（万字长文）

系统介绍了隐私合规漏洞的定义、分类、常见类型、检测方法、实际案例和防护措施，旨在帮助开发者和安全从业者全面了解隐私合规漏洞的挖掘与防护。未来，随着人工智能、物联网、大数据等技术的发展，个人信息处理场景将更加复杂多样，隐私合规面临的挑战也将更加严峻。企业需要建立动态的隐私合规管理体系，持续关注法律法规的变化，不断优化技术防护措施，真正将隐私保护融入产品设计和业务流程的各个环节。

2025-07-01 08:17:08 717 1

原创从入门到精通：npm、npx、nvm 包管理工具详解及常用命令

本文将详细介绍npm、npx、nvm的定义、用途、区别以及常见命令，帮助你从入门到精通，全面掌握 Node.js 包管理工具的使用。

2025-06-30 21:24:12 1117

原创 Greyctf 2025 writeup

Layer Cake：伪装为MP3的DOCX文件，通过解压搜索找到隐藏flagConnection Issues：分析网络抓包，从ARP协议中提取Base64编码获得flagNotsus.Exe：使用明文攻击破解加密ZIP，反编译PyInstaller打包的Python程序，RC4解密后获得flag

2025-06-02 13:03:37 588

原创 Java内存马的检测与发现

Java内存马检测方法包括注入jar包、dump class字节码、反编译源码及webshell检测，常用工具有FindShell、sa-jdi等，需结合反编译工具分析确认并处理。

2025-05-14 22:23:23 1262

原创【漏洞复现】达梦7企业管理器（DEM）国产数据库 RCE（CNVD-2023-69447）

【漏洞复现】达梦7企业管理器（DEM）国产数据库 RCE（CNVD-2023-69447）

2025-04-23 02:45:00 1430

原创【漏洞复现】Struts2系列

Structs2系列：恶意的OGNL表达式 ,可造成任意代码执行

2025-04-22 19:18:08 838

原创【漏洞复现】CVE-2024-38856（ApacheOfbiz RCE）

ApacheOfbiz RCE 漏洞复现，Groovy 表达式注入

2025-04-22 00:15:00 888

原创 dawgctf 2025 writeup

misc的注册表取证不错，dtmf拨号音识别也是第一次见，osint中遇到一个需要用overpass-turbo查xx附近的xx将满足的地点都筛出来的工具不错。

2025-04-20 23:45:00 1441 10

原创 linux为所有用户安装miniconda

记录在linux上使用conda的一些问题和解决方案

2025-04-19 02:45:00 536

原创 csdn封面图快速制作【独一无二的图】

以自己遇到的实际需求为例，讲述如何快速创作出“吸睛”但简洁的封面图

2025-04-18 13:24:01 479

原创 Github免费域名申请到使用【学生优惠专享】

在网安学习过程中，拥有一个自己的域名还是比较重要的，在一些ctf题目中，遇到xss，或者一些域名过滤不当的绕过时，可能需要自己的域名来尝试接收客户端的一些信息

2025-04-18 12:04:47 1629

原创 Texsaw CTF writeup (Texas Security Awareness Week 2025)

Texsaw CTF writeup (Texas Security Awareness Week 2025)，等我复现再补充更多的内容。取证有个考察的是wav文件的zip明文攻击，比较有参考意义

2025-04-16 15:22:50 600

原创 Nowruz 1404 FMCTF writeup

- web考察xss，另一个web比较简单，其他的web比较难，有一个考察dompurify的绕过

2025-03-18 15:07:00 1516

原创 UTCTF 2025 writeup

UTCTF 2025 writeup【部分】做出来的：web脑洞、misc是linux简单提权、取证是01转二维码、直接搜索二进制、文件权限描述符转01然后转字符串没做出来的：osint巨难，what3words是个在线网站；misc3是discord里藏东西、web有俩没做出来

2025-03-17 22:10:40 1185

原创 CSCG CTF 2025 writeup

CSCG CTF 2025 writeups【持续更新】

2025-03-14 22:43:40 1238

原创硕士大论文格式一站解决，图表，题注，伪代码，目录，页眉等【工科】

毕业论文格式调整问题记录，以传媒工科为例，不过只是冰山一角，好的格式需要精细打磨，慢慢调整

2025-03-12 17:06:18 5540

原创 Ugra CTF Quals 2025 writeups

Ugra CTF Quals 2025 writeups 【部分】，之后会看看其他的脑洞题，如果有时间的话，复现一下也更新到这个writeup中

2025-03-10 13:21:57 877

原创 VishwaCTF 2025 writeups【部分】

VishwaCTF 2025 writeups【部分】【待我慢慢复现】【有部分脑洞题】

2025-03-05 21:43:25 682 2

原创 ApoorvCTF 2025 writeup【部分】

ApoorvCTF 2025 writeup

2025-03-03 00:09:50 1549

原创 ACECTF 1.0 2025 writeup【部分】

ACECTF 1.0 2025 writeup【部分】

2025-02-28 17:06:44 1528

原创 NSSCTF AI 大模型攻防挑战专题 writeup

大模型越狱挑战

2025-02-27 14:08:01 3229

原创 KashiCTF 2025 writeup【部分】

KashiCTF 2025 writeup

2025-02-26 14:29:58 1143

大学C语言期末考试练习题(带详解答案)

内容概要：本文档是一份大学C语言期末考试练习题集，包含单项选择题、读程序题、程序填空题、程序改错题和编程题五大板块。单项选择题涵盖了C语言的基础概念，如标识符、数据类型、运算符、表达式、数组、指针、函数等。读程序题主要考察学生对程序流程的理解，通过阅读给定代码预测输出结果。程序填空题要求补充完整程序，以实现特定功能。程序改错题旨在让学生识别并修正代码中的语法和逻辑错误。编程题则是根据具体问题编写完整的程序。文档详细解析了每道题目，提供了详细的解释和答案。适合人群：正在学习或复习C语言的大学生，尤其是准备C语言期末考试的学生。使用场景及目标：①帮助学生巩固C语言基础知识，提高编程能力；②为教师提供教学参考，辅助课堂讲解和课后辅导；③作为自学资料，帮助编程爱好者掌握C语言的核心概念和编程技巧。阅读建议：建议读者先尝试独立解答题目，再对照答案解析，理解错误原因。对于读程序题和编程题，最好在实际环境中运行代码，加深理解。对于程序填空题和改错题，注意代码细节和常见陷阱。通过反复练习，逐步提升编程水平。

2025-05-14

VulnHub靶机系列实战教程：涵盖Web漏洞利用与Linux提权技术

内容概要：本文详细介绍了多个VulnHub靶机系列的实战教程，由作者ins1ght撰写并分享在其个人博客上。这些靶机涵盖了从初级到中高级的不同难度级别，旨在帮助网络安全爱好者和初学者掌握渗透测试技能。每个靶机的攻略包括了信息收集、漏洞利用、获取shell、权限提升等多个环节，使用了诸如nmap、dirb、gobuster、hydra、metasploit等工具和技术。教程中还特别强调了对靶机环境的理解和配置，例如网络设置、服务版本识别等，并提供了多种提权方法，如SUID提权、计划任务提权、内核提权等。此外，作者还分享了在遇到难题时寻求帮助的经验，包括通过社交媒体联系其他安全研究人员。适用人群：具备一定网络安全基础知识，尤其是对渗透测试感兴趣的初学者和中级研究人员。使用场景及目标：①学习并实践如何进行信息收集、漏洞挖掘、利用漏洞获取系统访问权限；②掌握Linux系统下的权限提升技巧，包括但不限于SUID、计划任务、内核漏洞等；③熟悉常见Web应用和网络服务的安全弱点，如SQL注入、文件包含、命令注入等；④通过实战演练提升解决实际问题的能力，积累渗透测试经验。其他说明：文档中包含大量具体的命令行操作示例和技术细节，对于想要深入了解渗透测试过程的人来说是非常宝贵的参考资料。同时，作者也鼓励读者在遇到困难时积极思考并尝试不同的解决方案，必要时可以通过社交平台向他人求助。最后，作者表达了希望通过分享这些经验，吸引更多人

2025-05-11

AI Cos与越狱探索.pptx

2025-05-11

网络安全领域中勒索病毒防护的安全解决方案设计与实践

内容概要：本文介绍了由深信服提供的勒索病毒防护安全解决方案，旨在构建有效预防、持续监测、高效处置的勒索病毒防护体系。文章首先分析了勒索病毒的全球泛滥背景及其新趋势，指出加密货币、匿名网络的发展以及跨地域网络监管的缺失等因素加剧了勒索病毒的威胁。随后，文章阐述了勒索病毒的攻击特点，包括攻击手法（如RDP暴力破解、钓鱼邮件）、攻击目标多样化（从个人到企业关键业务系统）以及攻击范围的全球化。接着，文章提出了基于‘人机共智’的防护思路，强调了预防、监测和处置三个方面的综合措施。最后，文章展示了具体的防护解决方案和技术框架，包括下一代防火墙、终端检测与响应（EDR）、威胁分析平台（SIP）等产品的应用，以及7*24小时的监测预警体系和高效的应急响应机制。适合人群：适用于IT管理人员、信息安全从业人员、企业决策者等关注网络安全的专业人士。使用场景及目标：①帮助企业理解和应对勒索病毒的最新发展趋势；②提供一套完整的防护体系，涵盖预防、监测和处置三个环节，确保企业在面对勒索病毒时能够迅速反应并减少损失；③提升企业的网络安全意识和防护能力，特别是在关键业务系统的保护方面。其他说明：该方案不仅提供了技术层面的支持，还强调了标准化的服务流程和严格的SLA（服务水平协议），确保防护措施的有效性和可靠性。此外，文中还列举了多个实际案例，展示了深信服在勒索病毒防护领域的丰富经验和成功实践。

2025-05-11

智能网联汽车网络安全测试框架：涵盖硬件、固件、总线、系统、无线电、网络、云端、移动、传感器、隐私十大层次的安全威胁分析与应对策略

内容概要：本文档详细介绍了智能网联汽车（ICV）面临的网络安全挑战及其测试框架。随着汽车智能化的发展，网络安全风险显著增加，如通过Wi-Fi、蓝牙、CAN总线等途径实施的攻击。文中列举了多个品牌车辆遭受的安全事件，如特斯拉、奔驰、Jeep等。同时，文档展示了智能网联汽车的多层安全架构，涵盖硬件、固件、总线、系统、无线电、网络、云端、移动、传感器和隐私等方面。此外，文档还提出了针对智能网联汽车的全生命周期安全管理方案，包括安全需求、设计、开发、测试、部署和运维各阶段的具体措施，确保车辆在整个生命周期内的安全性。适合人群：从事智能网联汽车行业及相关领域的技术人员、安全研究人员、政策制定者以及关注汽车网络安全的从业者。使用场景及目标：①帮助相关人员全面了解智能网联汽车面临的网络安全威胁；②提供详细的测试框架和技术手段，指导企业进行有效的网络安全测试；③推动行业标准的建立和完善，促进智能网联汽车产业健康发展。其他说明：文档强调了智能网联汽车网络安全的重要性，并呼吁各方共同努力构建综合立体防护体系，保障智能网联汽车的安全性和可靠性。文中提到多项具体案例和技术细节，有助于加深读者对该领域的理解和认识。

2025-05-11

数据安全领域的法律法规与企业合规实践：从制度到技术的全方位解析

内容概要：本文围绕数据安全展开讨论，分为五个部分。首先介绍了国家法律法规基础，强调了网络安全的重要性及其相关法规如《网络数据安全管理条例》，旨在保障数据安全，促进数据合理利用。接着阐述了企业内部规章制度，包括信息安全管理制度、数据安全管理规定等多个层次的规定，明确了数据管理者和使用者的责任，确立了数据分类分级标准，制定了严格的权限访问控制和应急恢复机制。第三部分是合规稽查态势分析，指出了数据非法收集、数据接口防护不当、数据传输或存储未加密等问题带来的风险，并提出了数据分类分级、权限管控、数据脱敏等一系列应对措施。第四部分探讨了数据加固应用构建，提出四个‘统一’的原则，即分类分级标准、加密或脱敏算法机制、敏感信息管理和数据防泄漏策略的统一，同时详细介绍了服务端和客户端的具体保护措施，如增加制度审批流程、数据流转态势感知、数据异地实时备份、内网系统收敛、用户行为风险分析以及办公终端标准化、数据防泄漏管控策略等。最后进行了总结，指出未来数据安全建设的方向在于深入解读国家法律法规，完善内部管理制度，进行全面的合规审计，加强对数据全生命周期的保护。适合人群：从事信息技术、网络安全、企业管理等相关工作的人员，尤其是需要了解数据安全法规和企业内部数据安全管理制度的人群。使用场景及目标：适用于企业内部培训、政策制定、合规审查等场景，帮助相关人员掌握数据安全的基本概念、法律法规要求、企业内部管理规定以及具体的技术防范措施，从而提高企业的数据安全水平。阅读建议：本文内容详实，涵盖了从宏观政策到微观技术的多个层面，建议读者先通读全文，把握整体框架，再根据自身需求重点关注特定章节的内容，特别是与实际工作密切相关的部分，如企业内部规章制度和技术防范措施等。

2025-05-11

2025 APP个人信息保护整改指南：常见合规问题及解决方案

内容概要：《2025 APP个人信息保护整改指南》旨在帮助企业应对日益严格的APP隐私合规监管。该指南基于工信部近年来对APP侵害用户权益的专项治理行动，总结了常见的合规问题及解决方案，并提供了详细的自查手册。主要内容涵盖APP在征求用户同意、收集和共享个人信息、权限管理、广告设置等方面的具体问题及应对措施，特别强调了SDK的合规性和用户注销功能的重要性。此外，还包括了应用市场拒审和监管通知的应急处置流程，以及相关法律法规和标准的下载链接。适合人群：APP开发运营团队，尤其是负责隐私合规的技术人员、产品经理和法务人员。使用场景及目标：①帮助企业在APP开发和运营过程中避免因隐私合规问题被通报或下架；②指导企业进行全面的隐私合规自查，确保APP符合最新的法律法规要求；③为企业提供应对应用市场拒审和监管通知的有效方法。其他说明：该指南不仅提供了具体的合规问题解决方案，还附带了详细的法律法规和标准下载链接，便于企业深入理解和执行相关规定。同时，它还介绍了两种常用的APP信息收集检测方法——抓包和HOOK工具检测，帮助企业更好地监控和管理APP的隐私合规状况。

2025-05-11

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

blackpeach的博客

原创【漏洞复现】MCP Inspector 未授权访问致代码执行漏洞（CVE-2025-49596）

原创浅析SRC中隐私合规漏洞，隐私合规是什么？（万字长文）

原创从入门到精通：npm、npx、nvm 包管理工具详解及常用命令

原创 Greyctf 2025 writeup

原创 Java内存马的检测与发现

原创【漏洞复现】达梦7企业管理器（DEM）国产数据库 RCE（CNVD-2023-69447）

原创【漏洞复现】Struts2系列

原创【漏洞复现】CVE-2024-38856（ApacheOfbiz RCE）

原创 dawgctf 2025 writeup

原创 linux为所有用户安装miniconda

原创 csdn封面图快速制作【独一无二的图】

原创 Github免费域名申请到使用【学生优惠专享】

原创 Texsaw CTF writeup (Texas Security Awareness Week 2025)

原创 Nowruz 1404 FMCTF writeup

原创 UTCTF 2025 writeup

原创 CSCG CTF 2025 writeup

原创硕士大论文格式一站解决，图表，题注，伪代码，目录，页眉等【工科】

原创 Ugra CTF Quals 2025 writeups

原创 VishwaCTF 2025 writeups【部分】

原创 ApoorvCTF 2025 writeup【部分】

原创 ACECTF 1.0 2025 writeup【部分】

原创 NSSCTF AI 大模型攻防挑战专题 writeup

原创 KashiCTF 2025 writeup【部分】

大学C语言期末考试练习题(带详解答案)

VulnHub靶机系列实战教程：涵盖Web漏洞利用与Linux提权技术

AI Cos与越狱探索.pptx

网络安全领域中勒索病毒防护的安全解决方案设计与实践

智能网联汽车网络安全测试框架：涵盖硬件、固件、总线、系统、无线电、网络、云端、移动、传感器、隐私十大层次的安全威胁分析与应对策略

数据安全领域的法律法规与企业合规实践：从制度到技术的全方位解析

2025 APP个人信息保护整改指南：常见合规问题及解决方案

AI赋能网络安全.pptx

网络黑灰产问题处置指南（第2版）

网络安全认证之CISP考试题库-2025

空空如也