freemarker | CN-SEC 中文网

安全漏洞

OneBlog <=v2.3.6 存在模板注入漏洞CVE原创(CVE-2024-54954t)

一、漏洞环境搭建 1. 代码下载：https://gitee.com/yadong.zhang/DBlog 2. 使用idea搭配phpstudy的mysql数据库，修改以下文件，修改数据库连接...

03月21日20 views评论

阅读全文

安全漏洞

Apache OFBiz 服务端模板注入漏洞（CVE-2025-26865）

1漏洞概述漏洞类型模板注入漏洞漏洞等级高危漏洞编号CVE-2025-26865漏洞评分无利用复杂度低影响版本18.12.17 < Apache OFBiz < 18.12.18利用方式远程...

03月11日111 views评论

阅读全文

安全文章

服务器端模版注入SSTI分析与归纳

0x00 背景本文针对基于java的三种常见的模版引擎(FreeMarker、Velocity、Thymeleaf)所引起的服务端模版注入漏洞SSTI进行分析、整理和总结。所谓模版引擎，简单来讲就是...

02月25日16 views评论

阅读全文

安全工具

JeecgBoot漏洞利用工具

工具介绍 jeecgBoot漏洞利用工具，swing练手项目，目前支持queryFieldBySql Freemarker模板注入、testConnection JDBC 远程代码执行漏...

02月14日20 views评论

阅读全文

安全百科

SSTI

01定义 SSTI（Server-Side Template Injection），服务端模板注入，是攻击者通过向模板引擎（如Jinja2、Thymeleaf）注入恶意代码，进而控制服务器的高危漏洞。...

02月13日35 views评论

阅读全文

安全工具

jeecgBoot漏洞利用工具 jeecgBootAttack

0x01 工具介绍 swing练手项目，目前支持queryFieldBySql Freemarker模板注入、testConnection JDBC 远程代码执行漏洞。0x02 安装与使用 query...

02月05日13 views评论

阅读全文

代码审计

JAVA安全-模板注入-FreeMarker

点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵...

12月28日25 views评论

阅读全文

安全文章

九维团队-绿队（改进）| JAVA安全SSTI（模板注入）漏洞

前言 SSTI（Server-Side Template Injection）漏洞，也被称为模板注入漏洞。SSTI漏洞是一种在服务器端模板引擎中注入恶意代码的攻击方式。攻击者通过注入可执行代码，可以在...

11月06日19 views评论

阅读全文

代码审计

JAVA安全之FreeMark沙箱绕过研究

文章前言Freemark中维护了一个freemarker-core/src/main/resources/freemarker/ext/beans/unsafeMethods.properties黑名...

11月06日11 views评论

阅读全文

代码审计

JAVA安全之FreeMark模板注入刨析

文章前言关于FreeMark模板注入注入之前一直缺乏一个系统性的学习和整理，搜索网上大多数类似的内容都是一些关于漏洞利用的复现，对于载荷的构造、执行过程、防御措施等并没有详细的流程分析，于是乎只能自己...

10月25日15 views评论

阅读全文

安全文章

[技术分享]记一次JeecgBoot实战分享

前言 jeecg-boot之前有披露出几个未授权的漏洞，两个接口存在RCE，分别是/jmreport/queryFieldBySql和/jmreport/testConnection，其中利用的较多的...

09月19日133 views评论

阅读全文

代码审计

SSTI-Freemarker模板注入漏洞

SSTI-Freemarker模板注入漏洞一、Freemarker 简介 FreeMarker 是一款模板引擎：即一种基于模板和要改变的数据，并用来生成输出文本(HTML网页，电子邮件，配置文...

08月07日25 views评论

阅读全文

OneBlog <=v2.3.6 存在模板注入漏洞CVE原创(CVE-2024-54954t)

Apache OFBiz 服务端模板注入漏洞（CVE-2025-26865）

服务器端模版注入SSTI分析与归纳

JeecgBoot漏洞利用工具

SSTI

jeecgBoot漏洞利用工具 jeecgBootAttack

JAVA安全-模板注入-FreeMarker

九维团队-绿队（改进）| JAVA安全SSTI（模板注入）漏洞

JAVA安全之FreeMark沙箱绕过研究

JAVA安全之FreeMark模板注入刨析

[技术分享]记一次JeecgBoot实战分享

SSTI-Freemarker模板注入漏洞

在线咨询

微信