蚁景科技

摘要： 在某社区平台的评论功能中发现存储型HTML注入漏洞。虽然前端做了输入过滤，且存在WAF防护，但通过逆向前端加密逻辑并构造特殊payload，成功绕过所有防护，注入恶意标签。结合平台存在的GET方式登出接口，实现了点击即登出的CSRF攻击。 阅读全文

摘要： 许多针对大型语言模型的攻击都依赖一种名为提示注入的技术。攻击者通过构造特定的提示语来操纵模型的输出，使其偏离原本的设计目的。提示注入可能导致人工智能执行异常或不安全的操作，例如错误调用敏感 API，或生成违反既定规则和使用规范的内容。 阅读全文

摘要： 一道典型的RSA 密钥恢复题目，具体来说，它是利用高精度浮点数泄露来还原私钥参数的题目题目给出了一个名为 leak 的变量，这道题之所以会发生泄露，核心原因在于：题目给出的十进制小数精度远大于还原分数所需的信息量。 阅读全文

摘要： 第138届广交会网络平台测试赛（第十期《方班演武堂》）圆满收官！蚁景科技凭借硬核技术实力，以总积分492分绝对优势强势突围，再度荣膺团体总分第一名，实力登顶，闪耀全场！ 阅读全文

摘要： pgAdmin是针对PostgreSQL数据库的查询客户端，其支持server模式部署。在受影响版本中，由于Query Tool及Cloud Deployment功能实现中直接通过eval()解析传入参数，导致存在任意代码执行漏洞。 阅读全文

摘要： 2025铸剑杯线下赛第二部分是渗透，其中包括web渗透和大模型安全。这道题其实是2023年中国科学技术大学Hackergame的一道题目改编的，大差不差。第一次接触大模型安全，学到了学到了。 阅读全文

摘要： 2025年12月7日，备受瞩目的哈工大“安天杯”网络安全国际邀请赛（HITCTF2025）在哈尔滨圆满落幕。作为赛事核心技术支撑方，蚁景科技凭借自主研发的高性能竞赛平台与全流程技术保障体系，确保了47支中外高校战队24小时不间断比拼的顺畅运行，为这场国际级赛事筑起坚实的技术后盾。 阅读全文

摘要： AES是对称加密算法，在逆向中常常使用到，白盒AES算法详解这篇文章写的非常好，通俗易懂。但是我在原理到代码的过程经常会卡壳，因此结合C语言代码浅析一下算法。 阅读全文

摘要： 在glibc2.34以后取消了__free_hook以及__malloc_hook，因此需要找到一个可以控制程序执行流程的函数指针代替__free_hook以及__malloc_hook。在结构体_IO_FILE_plus中存在着类似于虚表的变量vtable，其中存储着许多函数指针。若能修改vtable指针并指向我们伪造的vtable，即可达成劫持程序执行流程的目的。 阅读全文

摘要： 假设现在有个角色A，通过mba模型实现强化学习下的优化钓鱼邮件内容；还有一个角色B，通过Q-learning的方式实现强化学习下的钓鱼邮件内容识别。整个流程就是攻击方不断发送不同类型的钓鱼邮件，防御方在识别的过程中逐渐学习，而攻击方也会记录哪些内容更容易成功，从而倾向选择这些高成功率内容。 阅读全文