CISP-PTE练习篇(基础题目之日志分析)

最新推荐文章于 2023-12-04 16:02:02 发布
最新推荐文章于 2023-12-04 16:02:02 发布
阅读量1k 收藏 3
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wojiaoqwe/article/details/128805611
版权

本文仅当作练习记录使用。

开始答题:

提示日志地址为:access.log

攻击IP为:172.16.12.12

直接复制日志利用Notepad++打开进行查找

172.16.12.12 以及 状态码为200的信息发现一直在adminlogin.php页面请求。

172.16.12.12 *.* 200

访问adminlogin.php发现为登录页面,进行爆破登录

burp爆破模块中的4中模式的区别

Sniper(狙击手)
对两个变量只可以设置一个字典,按顺序一个一个参数依次遍历,一个参数遍历完,然后恢复成原数据,再遍历下一个参数。
Battering ram(攻城锤)
对两个变量只可以设置一个字典,每个参数同时遍历同一个字典。(对称爆破  admin/admin)
Pitchfork(草叉模式)
有多少参数就有多少字典,两个变量可以选两个字典,两个字典列数不一样时,就以短的字典长度为准,多个参数同时进行遍历,只是一个选字典1,一个选字典2(相当于50m赛跑同时出发,只是赛道不同)
Cluster bomb(集束炸弹)(推荐爆破时使用)
有多少参数就有多少字典,对两个变量可以设置两个字典,有点像两个嵌套的for循环,参数i和参数j,i=0,然后j要从0-10全部跑完,然后i=1,然后j再从0-10跑完,一对多,多次遍历(交叉爆破直到全部匹配完毕)

 利用爆破的密码进行登录即可

 

Echo_200
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CISP-PTE实操练习题讲解一(新版)
lza20001103的博客
08-05 1万+
CISP-PTE实操练习题讲解一(新版)
PTE学习作业
weixin_56910965的博客
07-01 1531
##被攻击者服务器为Linux:加粗样式 1.基础题目之SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 通过SQL注入漏洞读取/tmp/360/key文件,答案就在文件中。 通过简单的测试,看到了 系统过滤了空格 咱为了省事直接sqlmap用起来,先去tamper里面找找哪个空格好使 答案出来了 复制路径 C:\Users\Admin\AppData\Local\sqlmap\output\172.16.12.1
CISP-PTE学习总结之基础练习题(三)
千寻的博客
10-20 5601
练习题目一:SQL注入 0x01 题目要求 0x02 解答过程: 0x03 解题总结: 练习题目二:文件上传突破 0x01 题目要求: 0x02 解题过程: 0x03 解题总结: 练习题目三:文件包含 0x01 题目要求 0x02 解题过程 0x03 解题总结: 练习题目四:反序列化漏洞 0x01 题目要求: 0x02 解题过程 练习题目五:失效的访问控制 0x01 题目·要求: 0x02 解题过程: 0x03 解题总结:
CISP-PTE真题演示
热门推荐
weixin_48421613的博客
03-28 1万+
周末帮好兄弟做PTE的真题,觉得确实挺有意思的,于是就有了这文章,侵删侵删哈 第一阶段 基础题目一:SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 ​ 开始答题 这道题的有趣的地方就是,你先注册用户,不同于以往的360的PTE真题,并不是以admin用户去发表文章就能看到key,按照往常的先注册一个用户吧 可以看见,此时提示的代码显示过滤掉“#”、“–”​注释符号,我们先正常写一文章试试 可以看见,这是
日志分析基础
weixin_30851409的博客
11-20 156
日志分析基础________________________________________补充知识:________________________________________1、sed:处理缓冲区中的字符串,然后输出的标准输出。(1)行单位增删 sed ‘2,7d’ 但是删除,2起始行,7结尾行($代表最后一行)(2)行单位替换 sed ‘2,5c xxxxxxx’,把2到5行替换成xxx...
CISP-PTE学习总结之基础练习题(二)
千寻的博客
10-20 7555
基础题目一:SQL注入 0x01 题目要求 0x02 解题过程 基础题目二:文件上传突破 0x01 题目要求 0x02 解题过程 基础题目三:文件包含 0x01 题目要求 0x02 解题过程 0x03 解题总结 基础题目四:代码执行漏洞 0x01 题目要求 0x02 解题过程 0x03 解题总结 基础题目五:失效的访问控制 0x01 题目要求 0x02 解题过程
CISP-PTE靶场(win+centos).zip
最新发布
03-13
CISP-PTE靶场是一个针对信息安全专业人员进行渗透测试与应急响应能力训练的平台,它涵盖了Windows和Linux两种操作系统环境。这个压缩包包含了两个不同系统的靶场环境:win2003和CentOS,以及一个关于如何搭建CISP-...
cisp-pte注册渗透测试工程师详细资料及视频教程
07-16
此资源包提供了全面的学习材料,包括"CISP-PTE讲义",这是认证考试的核心学习资料,通常涵盖了网络安全基础理论、法规政策、渗透测试技术、安全审计等内容。讲义会详细讲解各个知识点,如TCP/IP协议、操作系统安全...
【推荐】渗透测试工程师(CISP-PTE)认证培训课件资料合集(18份).zip
11-29
推荐,注册信息安全专业人员渗透测试工程师(CISP-PTE)认证培训课件资料合集,共18份。 001-Linux操作系统安全V2.0.pptx 002-Windows操作系统安全V2.0.pptx 003-数据库安全.pptx 004-Web安全基础0 - 介绍.pptx 005...
CISP-PTE培训PPT讲义.zip
09-09
CISP-PTE渗透测试工程师认证培训讲义PPT: 操作系统安全 windows操作系统安全 数据库安全 Web安全基础 HTTP协议 注入漏洞 XSS漏洞 请求伪造漏洞 文件处理漏洞 访问控制漏洞 会话管理漏洞 实战练习 中间件安全-...
日志分析
RuoLi_s的博客
03-22 9274
总结——用于备忘和交流学习 一.web日志分析 (一)、特征字符分析 1.sql注入 2. 数据库类型判断 有以上信息可以尝试判断是否为sql注入 (二)、访问频率分析 二.系统日志分析 (一)、Linux (二)、Windows 三.练习题目来源:墨者学院 1.分析谷歌爬虫IP 先标记404,观察到其密集存在于210.185.192.212这个IP,再同时标记上这个IP,确实是一直在爬取网站的图片。输入IP即得到key。 我最先使用的是notepad++,后来想到用excal按空格分列显
cisp-pte真题解答
告白的博客
01-20 3645
0x00 实例1 sql注入 poc:http://192.168.222.135:1081/vulnerabilities/fu1.php?id=-1%') ununionion select 1,load_file('/tmp/key'),3,4,5,6,7--+ 知识点:1.双写绕过 2.load_file 读取文件内容 0x02 文件上传 知识点: 1.文件内容大小写绕过,且检测文件头内容标识 2.白名单过滤 %00自行添加php文件名截断 3.注意使用原文件名不需要改变 0x03 文件包含
CISP-PTE web渗透通关攻略
DG_s1mple
12-09 1444
想考一个cisp-pte的证,最近在网上找了一下,找到一些资料,就先做了顺便把过程记录下来 这是老靶场打开页面告诉我们需要读取/tmp/360/key文件,我们把它记下来,然后点击进入答题 进入到如下界面 把sql输入的句子直接显示在页面上了,我们开始用HackerBar测试 发现输入1’)报错无法返回 输入1’)%23可以正常返回页面可以确定注入条件了,然后我们开始测试它的字段数量 发现空格被过滤了,我们使用注释来绕过/**/ 发现为4的时候页面可以正常返回,为5的时候不返回 确定字段数量为5
CISP-PTE靶机基础实训之日志分析(二)
weixin_46249630的博客
12-04 532
CISP-PTE靶机基础实训之日志分析(二)详解
CISP-PTE靶机基础真题实训二
weixin_46249630的博客
12-02 651
CISP-PTE靶场基础真题实训二思路详解
日志审计与分析练习
难办就别办的博客
04-12 3012
【填空题】Web service是一个平台独立的、低耦合的、自包含的、基于可编程的web应用程序,可使用开放的____标准来描述、发布、发现、协调和配置这些应用程序,是用于开发____的互操作的应用程序。【填空题】Syslog是一种工业标准的协议,分为____和____。【填空题】日志归一化从原始日志池或者磁盘缓存文件中读取____,首先进行数据转换和____,通过解析原始日志的特殊字段,得到不同的原始日志来源,选择相应的规则文件,对原始日志进行____的任务。
CISP-PTE考前实操练习
2301_79546223的博客
09-13 914
CISP-PTE考前学习练习题目,渗透测试功工程师
CISP-PTE综合题(一)
Zt_Zk的博客
09-04 4109
一个综合题的靶场,做了一下综合题。
cisp-ptecisp
01-09
CISP-PTECISP-PTS是两种不同的认证考试,它们之间有一些区别和联系。 CISP-PTE是Certified Information Security Professional - Penetration Testing Engineer的缩写,是一种信息安全专业认证考试。它主要关注渗透测试工程师的技能和知识,包括网络渗透测试、应用程序渗透测试、无线网络渗透测试等方面。 CISP-PTS是Certified Information Security Professional - Penetration Testing Specialist的缩写,也是一种信息安全专业认证考试。与CISP-PTE相比,CISP-PTS在中间件安全、数据库安全和内网安全方面提出了更高的要求。它要求考生除了具备CISP-PTE所要求的全部能力和知识外,还需要在这些特定领域有更深入的了解和实践经验。 因此,CISP-PTECISP-PTS之间的区别在于CISP-PTS对于中间件安全、数据库安全和内网安全方面的要求更高。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值