[Nuclei-03]Nuclei如何处理表达式嵌套

0x00免责声明

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！

马赛克安全实验室情报申明（可点击查看）

0x01Nuclei技巧

日常在编写脚本，偶尔需要用到表达式嵌套。如下图所示，简单的表达式拼接无法得到我们预期的结果。脚本运行时会出现unresolved variables found: base64_decode(MTIzNDU2)。也就是nuclei先执行内部base64 (123456)，然后拼接base64_decode，并将拼接后的字符串作为变量对待。

----------------------------分割线----------------------------

方法:将内部的表达式{{}}，替换为()

从下图可以看出，变量被成功执行。

----------------------------分割线----------------------------

补充一点：如何payload中含有{{}}字符，不想让nuclei进行解析，如何处理呢？

答案是设置skip-variables-check

通过在脚本中设置skip-variables-check:True，nuclei会跳过解析变量，当做普通字符串

0x02团队介绍

      马赛克安全实验室专注于:漏洞复现、渗透测试、nday、0day、网络安全、红蓝对抗,持续输出安全相关漏洞情报、漏洞复现相关漏洞验证脚本及工具。

原文始发于微信公众号（thelostworld）：[Nuclei-03]Nuclei如何处理表达式嵌套