cisp-pte备考
c-4
这个作者很懒,什么都没留下…
展开
-
CISP-PTE认证考试之文件上传
hunter搜索:body=“cisp-pte 认证考试” 获取免费靶场。原创 2023-06-14 15:27:51 · 490 阅读 · 0 评论 -
cisp-pte之SQL注入题一
通过审题得知题目要求通过SQL注入漏洞读取网站/home/key文件,首先想到SQL语句“load_file()”通过提示发现#、–、空格等均被过滤,符号尝试url编码绕过,空格通过/**/可绕过。hunter搜索:body=“cisp-pte 认证考试” 获取免费靶场。审题时的事key在/home下,直接带入sql语句查询即可。重点在于过滤了union,使用双写即可绕过。点击进入答题,尝试get请求参数id=1。group by 4正常回显。group by 5回显报错。由此确认当前表的字段数为4。原创 2023-06-13 14:30:45 · 490 阅读 · 1 评论