模板注入

ShoreKiten9 天前
web·ctf·ssti·模板注入
SSTI专题(持续更新)前言:我觉得做题目还是得要深度,先把广度刷上来到后面发现做一定难度的题目会是一头雾水,【就比如我这样....】,因此这个模块也是对SSTI专题的一个汇总。如果是第一次学SSTI的师傅请移步ctfshowweb361--一道题从0入门SSTI模板注入,本专题从该基础上展开,下面几个表格是用来判断模板:
谁把我灯关了10 天前
web安全·网络安全·ssti·从0到1·模板注入
【Web安全】SSTI 从零到一:模板引擎原理深度拆解与服务端模板注入全流程解析免责声明:本文仅用于网络安全学习与研究目的,旨在帮助开发者理解 SSTI 漏洞原理以提升防御能力。请勿将文中涉及的技术用于未经授权的渗透测试或任何非法用途。未经目标系统所有者明确书面授权,对其进行安全测试属于违法行为。作者不对任何滥用行为承担责任。
mooyuan天天3 个月前
web安全·flask·ssti·模板注入·服务器端模板注入·flask ssti
FLASK SSTI服务器端模板注入复现:原理详解+环境搭建+渗透实践目录一、FLASK SSTI模板注入1、模板注入简介2、环境构成3、Flask 模板渲染基础(1)安全方式
SuperherRo1 年前
spring boot·java-ee·thymeleaf·freemarker·模板注入·velocity
Web开发-JavaEE应用&SpringBoot栈&模版注入&Thymeleaf&Freemarker&Velocity知识点: 1、安全开发-JavaEE-开发框架-SpringBoot&路由&传参 2、安全开发-JavaEE-模版引擎-Thymeleaf&Freemarker&Velocity
Fly不安全1 年前
网络·安全·web安全·web·xss·hackthebox·模板注入
HackTheBox靶机:Sightless;NodeJS模板注入漏洞,盲XSS跨站脚本攻击漏洞实战靶机介绍 Sightless 是一台难度较低的 Linux 机器,包含一个为公司提供各种服务的网页。对该网页的枚举发现了一个含模板注入漏洞 CVE-2022-0944 的SQLPad实例,利用该漏洞成功进入 Docker 容器。进一步枚举发现 /etc/shadow 文件,其中包含一个密码哈希,经过破解得到密码,从而获得了主机的 SSH 访问权限。在后续的攻击过程中,枚举发现一个受盲目 XSS 漏洞 CVE-2024-34070影响的 Froxlor 实例。利用该漏洞攻击成功后,获取了 FTP 服务的访问
我是有底线的