2020年度中职组“网络空间安全”赛项

最新推荐文章于 2024-05-12 18:35:44 发布

东仔.

最新推荐文章于 2024-05-12 18:35:44 发布

阅读量1.5k

点赞数 1

本文链接：https://blog.csdn.net/fxd332024696/article/details/115429573

版权

安全专栏收录该内容

30 篇文章 2 订阅

订阅专栏

2020年度中职组“网络空间安全”赛项
江西省竞赛任务书
一、竞赛时间
8:30-11:30，共计3小时。
二、竞赛阶段
竞赛阶段任务阶段竞赛任务竞赛时间分值
第一阶段单兵模式系统渗透测试任务一简单sql注入 8:30-10:10 150
任务二利用python脚本进行web渗透测试 150
任务三数据分析-A 200
任务四 Windows操作系统渗透测试 200
备战阶段攻防对抗准备工作 10:10-10:30 0
第二阶段分组对抗系统加固 10:30-10:45 300
渗透测试 10:45-11:30
三、竞赛任务书内容
（一）拓扑图

（二）第一阶段任务书（700分）
任务一：简单sql注入
任务环境说明：
 服务器场景名称：python08
 服务器场景操作系统：Microsoft Windows2008 Server
 服务器场景用户名：administrator；密码：未知

使用渗透机场景kali中工具扫描服务器场景，将apache的端口号和版本号作为flag提交（格式：端口号_版本号）；
使用渗透机场景windows7访问服务其场景sql网站，并将网站中概述页面中的flag提交；
使用渗透机场景windows7访问服务器中的sql网站中的数字型注入页面，通过注入的方式得到lili的信息，并将lili的邮箱作为flag提交；
使用渗透机场景windows7访问服务器中的sql网站中的字符型注入页面，通过注入的方式得到id为7的信息，并将其邮箱作为flag提交；
使用渗透机场景windows7访问服务器中的sql网站中的搜索型注入页面，通过注入的方式得到hello@qq.com邮箱的拥有者，并将拥有者名字作为flag提交
任务环境说明：
 服务器场景名称 python08
 服务器场景操作系统：Microsoft Windows2008 Server
 服务器场景用户名：administrator；密码：未知
使用渗透机场景kali中工具扫描确定Web服务器场景地址，浏览网站flag.html页面，并将flag.html中的flag提交；
进入服务器场景python2008，对网站的tupian.php进行编辑，使tupian.php中的每个图片都是一个单独的链接（单独访问），并将修改部分作为flag提交；
进入渗透机场景win7操作系统，完善桌面上的tupian.py文件，填写该文件当中空缺的FLAG1字符串，并将该字符串作为flag提交；
进入渗透机场景win7操作系统，完善桌面上的tupian.py文件，填写该文件当中空缺的FLAG2字符串，并将该字符串作为flag提交；
进入渗透机场景win7操作系统，完善桌面上的tupian.py文件，填写该文件当中空缺的FLAG3字符串，并将该字符串作为flag提交；
进入渗透机场景win7操作系统,完善桌面上的tupian.py文件，填写该文件当中空缺的FLAG字符串并运行成功文件会自动爬取网站tupian.php的图片，将爬取的图片数量作为flag提交；
任务三：数据分析-A
任务环境说明：
 渗透机场景：windows 7
 渗透机用户名：administrator，密码：123456
通过分析windows 7桌面上的数据包A.pcapng，找到黑客连接一句话木马的密码，将该密码作为FLAG提交；
通过分析数据包A.pcapng，找到黑客扫描的网段范围是多少（IP之间用”,”隔开，例：192.168.1.1-192.168.1.2）将该范围作为FLAG提交；
通过分析数据包A.pcapng，找到域服务器的密码是多少，将该密码作为FLAG提交;
通过分析数据包A.pcapng，找到服务器安装的第一个修补程序，将该修补程序的名称作为FLAG提交;
通过分析数据包A.pcapng，找到黑客下载的文件是什么，将该文件内容作为FLAG提交；
任务四：Windows操作系统渗透测试
任务环境说明：
 服务器场景：Windows
 服务器场景操作系统：Windows（版本不详）
通过本地PC中渗透测试平台Kali对服务器场景Windows进行系统服务及版本扫描渗透测试，并将该操作显示结果中445端口对应的服务版本信息字符串作为FLAG提交；
通过本地PC中渗透测试平台Kali对服务器场景Windows进行渗透测试，将该场景网络连接信息中的DNS信息作为FLAG提交;(例如114.114.114.114)；
通过本地PC中渗透测试平台Kali对服务器场景Windows进行渗透测试，将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文件名称作为FLAG提交；
通过本地PC中渗透测试平台Kali对服务器场景Windows进行渗透测试，将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文档内容作为FLAG提交；
通过本地PC中渗透测试平台Kali对服务器场景Windows进行渗透测试，将该场景桌面上222文件夹中唯一一个图片中的英文单词作为FLAG提交;
通过本地PC中渗透测试平台Kali对服务器场景Windows进行渗透测试，将该场景中回收站内文件的文档内容作为FLAG提交。
（三）第二阶段任务书（300）
假定各位选手是某电子商务企业的信息安全工程师，负责企业某些服务器的安全防护，该服务器可能存在着各种问题和漏洞。你需要尽快对该服务器进行安全加固，15分钟之后将会有其它参赛队选手对这些服务器进行渗透。
根据《赛场参数表》提供的第二阶段的信息，请使用PC的谷歌浏览器登录实战平台。
靶机服务器环境说明：
场景1：windows2019（无法打开控制台操作该靶机，只能获取到该靶机的IP，选手需要通过其他方法进入靶机才能进行加固），服务器场景操作系统：Windows（版本不详）。
注意事项：
1.不能对裁判服务器进行攻击，警告一次后若继续攻击将判令该参赛队离场；
2.Flag值为每台靶机服务器的唯一性标识，每台靶机服务器仅有1个；
3.靶机服务器的Flag值存放在/root/flagvalue.txt文件或C:\flagvalue.txt文件中；
4.在登录自动评分系统后，提交对手靶机服务器的Flag值，同时需要指定对手靶机服务器的IP地址；
windows2019不允许关闭的端口为 21/ftp、23/telnet；
6.系统加固时需要保证靶机对外提供服务的可用性，服务只能更改配置，不允许更改内容；
7.本环节是对抗环节，不予补时。

可能的漏洞列表如下：
1.服务器中的漏洞可能是常规漏洞也可能是系统漏洞；
2.靶机服务器上的网站可能存在命令注入的漏洞，要求选手找到命令注入的相关漏洞，利用此漏洞获取一定权限;
3.靶机服务器上的网站可能存在文件上传漏洞，要求选手找到文件上传的相关漏洞，利用此漏洞获取一定权限;
4.靶机服务器上的网站可能存在文件包含漏洞，要求选手找到文件包含的相关漏洞，与别的漏洞相结合获取一定权限并进行提权;
5.操作系统提供的服务可能包含了远程代码执行的漏洞，要求用户找到远程代码执行的服务，并利用此漏洞获取系统权限;
6.操作系统提供的服务可能包含了缓冲区溢出漏洞，要求用户找到缓冲区溢出漏洞的服务，并利用此漏洞获取系统权限;
7.操作系统中可能存在一些系统后门，选手可以找到此后门，并利用预留的后门直接获取到系统权限。

东仔.

关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
打赏
1
评论
2020年度中职组“网络空间安全”赛项

2020年度中职组“网络空间安全”赛项江西省竞赛任务书一、竞赛时间8:30-11:30，共计3小时。二、竞赛阶段竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段单兵模式系统渗透测试任务一简单sql注入 8:30-10:10 150任务二利用python脚本进行web渗透测试 150任务三数据分析-A 200任务四 Windows操作系统渗透测试 200备战阶段攻防对抗准备工作 10:10-10:30 0第二阶段分组对抗系统加固 10:30-10:45 300渗透
复制链接

扫一扫