CISP-PTE:记录基础题靶机做题思路
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
本文总结了渗透测试中的SQL注入、文件上传、文件包含、命令执行和日志分析等技术,通过绕过方法获取密钥,成功登录并提取信息。作者对日志分析尤为关注。
🎯
关键要点
- SQL注入测试发现空格、#、union被过滤,但可以通过特定方式绕过。
- 使用union注入和load_file()函数成功读取密钥。
- 文件上传测试中,上传.php文件未成功,修改后缀为.png仍未成功,最终通过修改为.php4成功上传。
- 文件包含功能被利用,写入php并执行系统命令,成功获取密钥。
- 命令执行中,使用find和grep命令找到密钥,其他命令被禁用。
- 日志分析中,通过IP过滤和状态码过滤找到攻击者的请求,最终获取到登录凭证和密钥。
- 作者总结认为日志分析题较为简单且有趣,推荐使用工具进行分析。
➡️
