爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

基于“灰盒”蒸馏的大语言模型攻击研究

# 基于“灰盒”蒸馏的大语言模型攻击教学文档 ## 1. 攻击概述 ### 1.1 基本概念 **灰盒蒸馏攻击**是一种结合模型窃取与拒绝服务攻击的组合式攻击方法。攻击者通过蒸馏技术（模型窃取）复制目标模型，在本地环境中进行对抗样本挖掘，然后将有效的攻击载荷用于攻击原始模型。 ### 1.2 攻击原理 - **模型窃取（蒸馏）**：通过目标模型的输入输出对训练一个本地替代模型 - **本地攻击测试**：在替代模型上寻找有效的攻击载荷 - **实际攻击**：将成功载荷用于攻击原始目标模型

2026-01-12 12:05:05

基于JS_HOOK的web流量加解密框架

# 基于JS_HOOK的Web流量加解密框架教学文档 ## 一、框架概述 ### 1.1 核心概念本框架是一个基于JavaScript Hook技术的Web流量加解密解决方案，主要用于处理前端加密的Web应用流量分析。该方案通过中间人替换和RPC通信机制，实现对加密流量的透明加解密。 ### 1.2 应用场景 - 金融类网站的前端加密流量分析 - Web应用安全测试中的加密流量处理 - 逆向工程中的加解密函数追踪 ### 1.3 核心优势 **无需深入分析加密算法**：只需定位到加解密

2026-01-09 12:09:58

rustfs gRPC 身份认证绕过漏洞(CVE-2025-68926) 漏洞复现

# RustFS gRPC 身份认证绕过漏洞（CVE-2025-68926）教学文档 ## 漏洞概述 CVE-2025-68926是RustFS组件中存在的一个gRPC身份认证绕过漏洞，攻击者可以通过硬编码的认证令牌绕过身份验证机制，直接访问gRPC管理接口。 ## 受影响版本 - RustFS版本 < 1.0.0-alpha.78 ## 组件介绍 RustFS是基于Rust构建的高性能分布式对象存储系统，具有以下特性： - 完整的S3兼容性 - 采用Apache 2.0开源协议 - 专为

2026-01-09 12:09:10

jsPDF 本地文件包含/路径遍历（CVE-2025-68428）漏洞分析

# jsPDF 本地文件包含/路径遍历漏洞（CVE-2025-68428）教学文档 ## 漏洞概述 CVE-2025-68428是jsPDF库（Node.js构建版）中存在的一个本地文件包含/路径遍历漏洞。该漏洞源于jsPDF的部分方法未对用户传入的文件路径进行严格过滤与校验，导致攻击者可以读取服务器上的敏感文件。 ## 漏洞详情 ### 受影响版本 - **受影响版本**：= 4.0.0 ### 漏洞原理 jsPDF的以下方法存在路径遍历漏洞

2026-01-09 12:08:42

cyberstrikelab-lab15靶场

# CyberStrikeLab Lab15 靶场渗透测试教学文档 ## 靶场概述 CyberStrikeLab Lab15 是一个综合渗透测试靶场，包含多个网络环境和安全挑战。本教学文档将详细解析从外网渗透到内网横向移动的完整攻击链。 ## 环境拓扑 ``` 外网区域： - Web1 (10.10.10.6): Webmin服务器 - Web2 (10.20.30.5): FineCMS服务器内网区域： - DC (10.20.30.66): 域控制器 - 其他主机：10.20.30.

2026-01-09 12:08:15

海康安防后渗透利用分析

# 海康威视综合安防系统后渗透利用教学文档 ## 1. 前言在市政攻防演练中，海康威视综合安防系统作为高价值资产成为重点目标。本文档详细记录了对该系统的完整渗透测试过程，涵盖初始入侵、权限提升、敏感信息解密和后渗透利用等关键环节。 ## 2. 初始入侵（Getshell） ### 2.1 目标发现 - 通过外网扫描发现海康威视综合安防系统 - 使用nuclei进行快速漏洞扫描 - 发现存在反序列化、文件上传等漏洞 ### 2.2 漏洞利用 - 选择任意文件上传漏洞直接获取权限 - 上传

2026-01-09 12:07:35

无境靶场-Chaos Corp

# Active Directory 渗透测试实战教学：从信息收集到域控提权 ## 实验环境概述 - 目标域：sec.org - 域控制器：AD (192.168.111.10) - 操作系统：Windows Server 2016 Standard 14393 - 核心漏洞链：AS-REP Roasting → ACL滥用 → AD CS证书攻击（ESC4+ESC1） ## 第一阶段：信息收集 ### 1.1 端口扫描与服务识别使用fscanplus进行全端口扫描： ```bash f

2026-01-09 12:06:55

以小白视角看大模型数据投毒——关于大模型数据投毒的学习心得与技巧分享

# 大模型数据投毒攻击技术教学文档 ## 1. 概述 ### 1.1 定义与本质大模型数据投毒是一种通过操纵搜索引擎优化（SEO）技术，影响大语言模型（LLM）检索结果的人工干预手段。其本质是利用大模型对网络数据的依赖性和检索机制，通过精心构造的虚假信息植入，误导模型产生特定倾向性或错误的回答。 ### 1.2 攻击原理基于大模型普遍采用的RAG（Retrieval-Augmented Generation）技术架构，当用户提问时，模型会通过内置搜索引擎获取相关信息，然后整合生成回答。

2026-01-09 12:06:04

从某BAT大厂开源框架实战审计揭秘 LLM 集成框架中的隐蔽加载漏洞

# LLM集成框架隐蔽加载漏洞分析与利用教学文档 ## 1. 漏洞概述 ### 1.1 漏洞背景随着AI从"聊天机器人"向"自主智能体（Agentic AI）"演进，LLM集成应用框架成为连接大模型与物理世界的桥梁。这些框架通过插件（Plugins）和工具（Tools）赋予模型执行代码、访问数据库的能力，但也引入了严重的安全风险。 ### 1.2 漏洞本质在LLM集成应用框架的通用插件加载机制中，存在系统性的RCE漏洞。攻击者可以利用"加载时执行"特性，将恶意载荷伪装成功能扩展，绕过静

2026-01-08 12:05:15

学习一个价值4.7w刀的提示词注入思路

# 提示词注入攻击：认知重塑与操作错位技术详解 ## 1. 攻击背景与核心概念 ### 1.1 提示词注入定义提示词注入（Prompt Injection）是一种针对大语言模型的安全攻击技术，攻击者通过精心构造的输入提示词，诱导模型违反其预设的安全规则和核心指令。 ### 1.2 Freysa AI挑战案例概述 - **平台**：Freysa AI安全赏金竞赛 - **目标**：说服AI违反核心指令转移资金 - **奖池**：47,000美元 - **成功条件**：诱导AI调用appro

2026-01-07 12:04:19

第二届数证杯初赛wp

# 第二届数证杯初赛取证技术解析与教学文档 ## 赛事概述第二届数证杯初赛是一项综合性数字取证竞赛，涵盖服务器取证、网络流量分析、APK程序分析、二进制程序分析、计算机取证、物联网设备取证和移动终端取证等多个领域。本教学文档将系统解析竞赛中的关键技术点和解题思路。 ## 一、服务器取证技术要点 ### 1.1 磁盘哈希值提取 - **技术要点**：使用SHA256算法计算磁盘设备的哈希值 - **命令示例**：`sha256sum /dev/sda` 或专用取证工具 - **注意事项**

2026-01-06 12:13:36

第二届数证杯决赛-个人赛wp

# 第二届数证杯决赛-个人赛Writeup技术解析 ## 计算机取证部分 ### 1. 远程连接密码分析 **技术要点：** 通过分析远程连接配置或缓存获取密码 **答案：** `uika` **方法：** 检查系统远程桌面连接管理器、mstsc保存的凭据或注册表中的连接信息 ### 2. 密码构造习惯分析 **技术要点：** 密码模式识别与掩码爆破 **答案：** `Doloris@0721` **解析流程：** - 先爆破NTLM哈希获取浏览器保存的密码 - 分析密码构

2026-01-06 12:12:20

跳转到页