分享一下每一年我认为自己写的比较好的一些文章。 2026 大小写不敏感中的安全隐患 阿里云伏魔webshell检测引擎分析与对抗 XCTF-SUCTF2026 JDBC-master&&wms java 中 Locale 差异带来的黑名单绕过 postgresql jdbc鸡肋RCE 2025 LLM 与 SAST：自动化代码审计的…

之前出 suctf 的时候我在文章里提到了一个有趣的现象，就是许多解析都是大小写不敏感的，特别是 java 里，但是在底层里，这个大小写不敏感的操作有的是靠转大写实现的，有些是靠转小写实现的： 但开发者在写防护的时候可能意识不到这一点，可能出现目标底层是靠转大写进行实际解析，而防护逻辑里是通过对字符串转小写进行检查，而这两者之间的差异就很可能被攻击…

前言 应朋友的邀请去打了打今年的伏魔挑战赛，这也是我第一次打这种 webshell 绕过的比赛，听说阿里云的伏魔引擎是基于 LLM + 污点分析 做的 webshell 检测，让我这个本来就做 SAST 的人非常感兴趣，玩这个比赛主要也是想要研究研究伏魔的原理，最后交了四十多个样本，过了十二个，在 PHP 方向排第六： 伏魔原理初探 其实阿里云的公…

Showmaker 曾说过，失败总是贯穿人生始终。人总是擅长从失败中总结教训、吸取经验，而对于成功往往只有得意忘形的骄傲，从这个角度上讲，过早的在一些并不重要的事情上经历失败未尝不是一件好事。 我自己确实也非常深有体会，因为我自己就是在一次次的失败中成长起来的。初中的时候我们那里的人其实都不太看重中考，因为中考考的再好也只能上本地的高中，而高手都是…

关于postgresql不出网利用其实有一个小坑点，p神之前在自己的文章里没有仔细提到，导致大家本地可能都遇到了一些奇奇怪怪的问题。 众所周知，postgresql jdbc 的利用一般会用到下面这两个类： org.springframework.context.support.ClassPathXmlApplicationContext org.…

今年又一次参与了 suctf 的出题，和昨年最大的变化就是今年的 wp 怎么全是 ai 写的了/(ㄒoㄒ)/~~ Docker 环境：https://github.com/team-su/SUCTF-2026/tree/main/web SU_wms jeewms存在非常老版本的mysql版本 后台存在配置jdbc的模块 该模块对传入的jdbc参数…

前言 命途多舛的 dataease h2 jdbc 模块自大小写/unicode转换/反斜杠/json 属性覆盖后又迎来了一种全新的绕过方式 Locale 的作用 Java 里的 Locale 用来规定“语言 + 地区对应的文化规则”，-Duser.language 和 -Duser.country 设置的就是 JVM 的默认 Locale，它会直…

前言 最近手上刚好有一个需要做两个方法间可达性分析的需求，且目标是多语言的，因此 tai-e 之类单语言的工具就行不通了。当时试了试常见的多语言分析分析工具，比如 codeql、蚂蚁新出的 YASA 之类的，codeql每种语言的 api 不太一样，兼容性很低，毕竟 codeql 虽然自称是多语言的分析工具，但其实还是对每种语言专门做了一个 AST…

某次看 JDBC 源码的时候发现 postgresql-42.7.8 里有一行抽象的代码： 可以看到逻辑还是很简单，就是当发现某个属性以 datatype.开头，就会直接用 Class.forName把传入的值当作类强行加载起来，默认情况下会立刻执行它 static 代码块里对应的代码，虽然在后面用 klass.asSubclass(org.pos…

前言 代表复旦白泽去参与了清华和某涉密单位联办的信安青训营，去清华玩儿了一周，最后一天有个结营赛，最后也是把 WEB 题 ak 了，因为当时是去清华机房做的，不能用自己的电脑，也不能用 LLM ，上不了谷歌，本地的环境连 Burpsuite 也没有，发请求只能用 curl，所以本来不是很难的题大家做的也很折磨，这里简单分享一下我的 WP 题目地址 …