01.简介 什么是SSTI: SSTI漏洞的全称是服务器端模板注入(Server-Side Template Injection)漏洞。这是一种在服务器端模板引擎中注入恶意代码的攻击方式...
利用服务器端模板注入攻击
点击蓝字关注我们始于理论,源于实践,终于实战老付话安全,每天一点点激情永无限,进步看得见严正声明本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...
JAVA安全-模板注入-Thymeleaf
点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵...
网太CMS漏洞复现
版本:OTCMS_PHP_V7.16 搭建:http://m.otcms.com/news/8388.html 漏洞1:SSTI 理解SSTI:SSTI(服务器端模板注入),SSTI和SQL注入原理差...
九维团队-绿队(改进)| JAVA安全SSTI(模板注入)漏洞
前言 SSTI(Server-Side Template Injection)漏洞,也被称为模板注入漏洞。SSTI漏洞是一种在服务器端模板引擎中注入恶意代码的攻击方式。攻击者通过注入可执行代码,可以在...
Enjoy模板引擎分析
Enjoy模板引擎分析前置首先有关Enjoy模板引擎的一些描述可以看这里:https://jfinal.com/doc/6-1文档中值得关注的点属性访问触发get方法在官方文档里面我们可以看到很多有趣...
JAVA安全之FreeMark模板注入刨析
文章前言关于FreeMark模板注入注入之前一直缺乏一个系统性的学习和整理,搜索网上大多数类似的内容都是一些关于漏洞利用的复现,对于载荷的构造、执行过程、防御措施等并没有详细的流程分析,于是乎只能自己...
CVE-2023-38286|Spring Boot Admin 远程代码执行漏洞
0x00 前言Thymeleaf 是一个 XML/XHTML/HTML5 模板引擎,可用于 Web 与非 Web 环境中的应用开发。它是一个开源的 Java 库,基于 Apache License 2...
go_ssti风险
简介这篇文章中,主要讲解Go场景下SSTI风险环境记录详见下文具体代码从SSTI开始SSTI(Server-Side Template Injection,服务端模板注入)是一种Web应用漏洞,发生在...
免杀ASP Webshell生成工具
就在前几天,我在准备一次红蓝对抗演习时,发现了一个非常有趣的开源工具——一个ASP Web shell生成器。这个工具使用Python的Jinja2模板引擎,可以混淆生成的Web shell,增加检测...
第七课-系统学习代码审计:SSTI模板注入
视频教程:https://space.bilibili.com/482887446?spm_id_from=333.1007.0.0主要内容:1、SSTI模板注入2、Velocity语法3、Veloc...
SSTI注入WAF绕过篇
本文由掌控安全学院 - 我是大白 投稿 什么是SSTI SSTI,其中文名为服务端模板注入。 首先我们需要先了解一下:什么是模板引擎? 模板引擎是为了使用户界面与业务数据分离而产生,它可以生成特定格...