中职组“网络安全”赛题-Linux操作系统渗透测试-2

已于 2024-01-03 20:31:07 修改
阅读量550 收藏 10
点赞数 11
分类专栏: 中职网络空间安全 文章标签: linux 网络安全 安全 web安全
于 2024-01-03 18:19:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Picturej/article/details/135369408
版权

Linux操作系统渗透测试

任务环境说明:

√ 服务器场景: Server2130(关闭链接)

√ 服务器场景操作系统:Linux

 1.通过本地PC中 渗透测试 平台Kali对靶机场景进行系统服务及版本扫描渗透测试,并将该操作显示结果中Apache服务对应的版本信息字符串作为Flag值提交;

flag: 2.4.41

 2.通过本地PC中渗透测试平台Kali对 靶机 场景进行渗透测试,将该场景/var/www/html目录中waf防火墙文件中的所有的被过滤的字符串内容作为Flag值提交;(如:“-”,“$”,“^”,“&”,…)

使用dirsearch工具 比赛的时候没有这个工具

这个是我自己安装的

探测网页 

发现了一个可疑压缩包 

访问这个页面下载下来

解压后发现了一个waf.php文件似意绕过过滤文件

 

flag:# ’ \ < > / . %

3.通过本地PC中渗透测试平台Kali对靶机场景进行渗透测试,将该场景/var/www/html目录中唯一一个后缀为.html文件的文件名称作为Flag值提交;

继续看www文件夹,发现了用户名和密码

 

在开始探索信息时,发现22端口是被防火墙拦截过滤了

怀疑是敲门服务

 做法1

结合上个Server2131得到了敲门密码

 

敲门密码为 57663 1124 552 

nc敲门再探测发现打开了 

 

再利用用户名密码进行ssh连接 后面的题目就迎刃而解了

 

flag:mepdrknb  

 做法2

因为22端口被过滤了,怀疑是敲门服务

发现用户名密码的文件名是file_find.php

我们访问网站页面

 

发现网站是文件包含漏洞 抓包进行读取/etc/knockd.conf文件

 

查看敲门文件/etc/knockd.conf得到敲门密码 

 这样后面的题也是很好解决了

 

flag:mepdrknb 

 4.通过本地PC中渗透测试平台Kali对靶机场景进行渗透测试,将该场景/var/www/html目录中唯一一个后缀为.html文件的文件内容作为Flag值提交;

 flag:cd3f176d8 

5.通过本地PC中渗透测试平台Kali对靶机场景进行渗透测试,将该场景/root目录中唯一一个后缀为.bmp文件的文件名称作为Flag值提交; 

 

flag:cnsbormj 

6.通过本地PC中渗透测试平台Kali对靶机场景进行渗透测试,将该场景/root目录中唯一一个后缀为.bmp的图片文件中的英文单词作为Flag值提交。 

把文件cp到网站根目录 

浏览器访问

  

 

 flag:wrvsdfnvrvu

Picturej
关注
专栏目录
2022全国职业技能大赛-网络安全赛题解析总结①(超详细)
Aluxian_的博客
05-11 1万+
2022全国职业技能大赛-网络安全赛题解析总结(自己得思路)模块A 基础设施设置与安全加固(20分)模块B 网络安全事件响应、数字取证调查和应用安全(40分)模块C CTF夺旗-攻击(20分)模块D CTF夺旗-防御(20分) 模块A 基础设施设置与安全加固(20分) 一、项目和任务描述: 假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录安全加固、数据库安全策略、流量完整性策略、事件监控策略、防火墙策略、IP协议安全配置等多种安全策略来提升服务器系
中职网络安全Linux系统安全
最新发布
网络安全技术分享
04-23 253
1.通过本地PC中渗透测试平台Kali对服务器场景PYsystem0025进行系统服务及版本扫描渗透测试,并将该操作显示结果中22对口对应的服务的端口状态信息字符串作为Flag值提交;由于靶机开放了80端口,我们只需要进入/var/www目录,将图片文件复制到/var/www/html目录中,再在网站访问图片就可以。我们还不知道他的账号和密码,但是通过nmap扫描,发现了80端口还是开放的,我们访问一下靶机的80端口。得到账号和密码了,但是需要我们进行端口敲门,敲击2222,3333,4444端口。
2024年中职网络空间安全技能大赛——Linux渗透(1),2024年最新自己动手实现OkHttp
2401_84150394的博客
04-09 712
3. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Linux 进行渗透测试,将该场 景/var/www/html 目录中唯一一个后缀为.html 文件的文件内容作为 FLAG 提交;4. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Linux 进行渗透测试,将该场 景/root 目录中唯一一个后缀为.bmp 文件的文件名称作为 FLAG 提交;
Linux操作系统渗透测试
m0_74485250的博客
06-12 1024
和select ‘<?>’ into outfile /var/www/html //网站根目录。80端口(HTTP协议)à看见此端口开放,就说明有网页存在,则可进行Web一些列的渗透(例:一句话木马上传,SQL注入,xss跨站脚本等)22端口(SSH协议)àssh 靶机用户名@靶机IP //进行ssh连接。Ssh连接后,cd到/var/vsftpd目录下,ls查看文件。Ssh连接后,cd到/var/vsftpd目录下,ls查看文件。Ssh连接后,cd到/home/guest目录下,ls查看文件。
windows渗透测试
Aluxian_的博客
05-25 9213
假设您是一名网络安全工程师,需要对某公司的公司进行黑盒测试,分析windows操作系统有什么漏洞并提出解决方案。 1.通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行系统服务及版本扫描渗透测试,并将该操作显示结果中8080端口对应的服务版本信息字符串作为Flag值提交; 使用nmap -sV -n 靶机IP flag:Microsoft IIS httpd 5.1 1.2. 通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行渗透
史上最全网络安全面试题+答案
热门推荐
2301_77285187的博客
05-30 1万+
文件包含漏洞是一种导致服务器上的文件被非法访问的安全漏洞,这种漏洞通常是由不当的 Web 编程实现引起的,允许攻击者从外部文件中读取服务器上的数据。要防止跨站请求伪造攻击,可以采取一些防御措施,比如在每个JSON请求中添加一个CSRF令牌,在每个请求头中添加一个Referer头来确认请求发起者的网站,在JSON客户端中添加一个安全令牌,启用HTTPOnly来防止JSON反序列化注入,编写坚固的代码来限制JSON请求的数量,以及启用内网环境的安全控制等。此时,每个路由器都会尝试同步它们的LSDB。
P10-经典赛题-Linux操作系统渗透测试.docx
03-29
中职网络安全赛题解析,P10-经典赛题-Linux操作系统渗透测试,MySQL数据库弱口令,nc高位端口链接
E119-经典赛题-Linux操作系统渗透测试.docx
01-13
本文档总结了 Linux 操作系统渗透测试的经典赛题,涵盖了操作系统扫描、系统服务及版本扫描、文件内容提取、图片文件上传和权限提升等多方面的渗透测试技术。 操作系统扫描 在渗透测试过程中,使用 nmap 命令对...
2023年内蒙古自治区中职网络安全赛题-B模块
06-01
《2023年内蒙古自治区中职网络安全赛题-B模块详解》 网络安全是现代信息技术领域的重要成部分,尤其在职业教育中,网络安全技能的培养至关重要。2023年内蒙古自治区的中职网络安全比赛,旨在考察参赛者对Web安全...
2022年中职网络安全”赛项广西自治区任务书-3
04-21
2022年中职网络安全”赛项广西自治区任务书-3,SSH弱口令渗透测试Linux操作系统渗透测试,远程代码执行渗透测试,中间件渗透测试
2023年中职网络安全竞赛”——Server2390Linux系统安全渗透测试
依旧是寻觅
12-21 459
1.通过本地PC中渗透测试平台Kali对服务器场景Server8进行系统服务及版本扫描渗透测试,并将该操作显示结果中22端口对应的服务版本信息字符串作为Flag值提交;2.找到/var/www目录中的图片文件,将文件名称作为Flag值提交;✓ 服务器场景:Server2390(关闭链接)B-6任务八:Linux系统安全渗透测试。4.找到Flag1作为Flag值提交;5.找到Flag2作为Flag值提交。3.将图片内容作为Flag值提交;✓ 服务器场景操作系统:未知。✓ 用户名:未知 密码:未知。
2023年中职网络安全“—Linux系统渗透提权②
weixin_57060854的博客
11-16 666
2023年中职网络安全“—Linux系统渗透提权②。
2023年中职网络安全“—Linux系统渗透提权③
weixin_57060854的博客
11-16 723
2023年中职网络安全“—Linux系统渗透提权③。
中职网络安全 Server2214 Linux操作系统渗透测试
信長Nobuの博客
12-20 551
Linux操作系统渗透测试 服务器场景:Server2214(关闭链接) 用户名:hacker 密码:123456
2022年宜昌市中职网络安全”赛项样题(一)
旺仔Sec&blog
05-07 1781
4.靶机服务器上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权;5.操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限;2.靶机服务器上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限;3.靶机服务器上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限;5.系统加固时需要保证靶机对外提供服务的可用性,服务只能更改配置,不允许更改内容;
2023中职网络安全B模块中间件渗透测试
FRANXX_02的博客
02-26 1028
通过本地PC中渗透测试平台Kali对服务器场景Server2129进行系统服务及版本扫描渗透测试,并将该操作显示结果中80端口对应的服务状态信息作为Flag值提交;找到靶机Server2129中桌面上111文件夹中后缀为.docx的文件,将文档内容作为Flag值提交;找到靶机Server2129中的C:\flag.txt文件,将文件的内容作为Flag值提交。找到靶机Server2129中回收站内的文档,将文档内容作为Flag值提交;这个靶机的dns以及被我的虚拟机里的dhcp改了,所以这不是正确答案。
2021年山东省中职网络安全省赛B模块windows渗透解析
qq_57147160的博客
12-13 6195
B-10任务十:Windows操作系统渗透测试任务环境说明:●服务器场景:Server2(封闭链接)●服务器场景操作系统:Windows7 1.通过本地PC中渗透测试平台Kali对服务器场景进行系统服务及版本扫描渗透测试,并将该操作显示结果中Telnet服务对应的端口号作为FLAG提交; 首先第一道题目就非常简单,直接使用nmap -sV 版本扫描进行得出flag: Flag:23 2.通过本地PC中渗透测试平台Kali对服务器场景
2022年全国职业院校技能大赛试题8(中职
renxq097的博客
12-21 697
一、竞赛项目简介“网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。表1 竞赛时间安排与分值权重二、竞赛注意事项1.比赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2022年全国职业院校技能大赛(中职网络安全竞赛试题(2)
weixin_53827545的博客
03-07 770
2022年全国职业院校技能大赛(中职网络安全竞赛试题(2)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值