一、赛项第三阶段时间90 分钟。
三、提示与注意事项
假定各位选手是某企业的信息安全工程师,负责服务器的维护,
该服务器可能存在着各种问题和漏洞(见以下漏洞列表)。你需要尽
快对服务器进行加固,30 分钟之后将会有很多白帽黑客(其它参赛
队选手)对这台服务器进行渗透测试。
提示 1:该题不需要保存文档;
提示 2:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
提示 3:加固常规漏洞;
提示 4:对其它参赛队系统进行渗透测试,取得 FLAG 值并提交到
平台。
注意事项:
注意 1:禁止攻击攻防竞技平台和网络连接设备;
网络设备已配置安全策略,WAF 已配置安全监控,同时开启日
志记录和告警功能;
对网络设备和竞技平台的扫描或渗透都会被记录和告警;
对网络设备和竞技平台的扫描或渗透行为一经发现,安全策略
会阻断流量,上报裁判长按规程处理;
注意 2:在加固阶段(前 30 分钟,具体听现场裁判指令)不得对
任何服务器进行攻击;
注意 3:FLAG 值为每台受保护服务器的唯一性标识,每台受保护
服务器仅有一个。靶机的 Flag 值存放
在./root/flaginfoxxxx.xxx.txt 文件内容当中。基础分 80 分,每
提交 1 次对手靶机的 Flag 值增加 6 分,每当被对手提交 1 次自身靶
机的 Flag 值扣除 6 分,每个对手靶机的 Flag 值只能被自己提交一次,
本阶段最高得分 250 分,最低得分 0 分。在登录自动评分系统后,提
交对手靶机的 Flag 值,同时需要指定对手靶机的 IP 地址。
在这个环节里,各位选手可以继续加固自身的服务器,也可以攻
击其他选手的服务器。
四、漏洞列表
1.靶机上的网站可能存在命令注入的漏洞,要求选手找到命令注
入的相关漏洞,利用此漏洞获取一定权限。
2.靶机上的网站可能存在文件上传漏洞,要求选手找到文件上传
的相关漏洞,利用此漏洞获取一定权限
3.靶机上的网站可能存在文件包含漏洞,要求选手找到文件包含
的相关漏洞,与别的漏洞相结合获取一定权限
4.操作系统提供的服务可能包含了远程代码执行的漏洞,要求用
户找到远程代码执行的服务,并利用此漏洞获取系统权限。
5.操作系统中可能存在一些系统后门,选手可以找到此后门,并
利用预留的后门直接获取到系统权限。
选手通过以上的所有漏洞点,最后得到其他选手靶机的最高权限,
并获取到其他选手靶机上的 FLAG 值进行提交。
06-05
744
744
08-31
1291
1291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
