模板注入

SuperherRo21 天前
spring boot·java-ee·thymeleaf·freemarker·模板注入·velocity
Web开发-JavaEE应用&SpringBoot栈&模版注入&Thymeleaf&Freemarker&Velocity知识点: 1、安全开发-JavaEE-开发框架-SpringBoot&路由&传参 2、安全开发-JavaEE-模版引擎-Thymeleaf&Freemarker&Velocity
Fly不安全4 个月前
网络·安全·web安全·web·xss·hackthebox·模板注入
HackTheBox靶机:Sightless;NodeJS模板注入漏洞,盲XSS跨站脚本攻击漏洞实战靶机介绍 Sightless 是一台难度较低的 Linux 机器,包含一个为公司提供各种服务的网页。对该网页的枚举发现了一个含模板注入漏洞 CVE-2022-0944 的SQLPad实例,利用该漏洞成功进入 Docker 容器。进一步枚举发现 /etc/shadow 文件,其中包含一个密码哈希,经过破解得到密码,从而获得了主机的 SSH 访问权限。在后续的攻击过程中,枚举发现一个受盲目 XSS 漏洞 CVE-2024-34070影响的 Froxlor 实例。利用该漏洞攻击成功后,获取了 FTP 服务的访问