2023年江苏省职业院校技能大赛中职网络安全赛项试卷第二阶段任务书

最新推荐文章于 2024-03-29 20:34:11 发布
最新推荐文章于 2024-03-29 20:34:11 发布
阅读量581 收藏 2
点赞数 1
分类专栏: 中职组网络安全 文章标签: web安全 php 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50553973/article/details/129472861
版权

任务一:CTF-Web(80分)

任务环境说明:

√ 服务器场景: System0116

√ 服务器场景操作系统:未知

√ 服务器场景用户名:未知 密码:未知

1.访问http://靶机IP/web1/,获取flag值,Flag格式为flag{xxx};(10分)

查看源码flag就在源码里面

在浏览器中打开目标网站,查看网页源代码,可以找到Flag。

2.访问http://靶机IP/web2/,获取flag值,Flag格式为flag{xxx};(10分)

使用bp看返回数据查看响应

在浏览器中打开目标网站,使用浏览器的开发者工具(如Chrome的开发者工具)打开“Network”标签页,输入用户名和密码后,查看响应,可以找到Flag。

3.访问http://靶机IP/web3/,获取flag值,Flag格式为flag{xxx};(20分)

伪造地址127.0.0.1

x-forwarded-for:127.0.0.1

在HTTP请求头中添加“X-Forwarded-For”字段,将其设置为“127.0.0.1”,模拟请求来自本地。例如,使用curl命令发送HTTP请求:

curl -H "X-Forwarded-For: 127.0.0.1" http://靶机IP/web3/

4.访问http://靶机IP/web4/,获取flag值,Flag格式为flag{xxx};(10分)

时间盲注 添加sleep函数 and sleep(5)

通过时间盲注攻击获取Flag,可以在输入框中输入以下内容,使用sleep函数并增加延迟时间,例如5秒:

' and if (sleep(5), 1, 1) and '

5.访问http://靶机IP/web5/,获取flag值,Flag格式为flag{xxx};(10分)

构造php伪协议

?file=php://filter/read=convert.base64-encode/resource=./fileprotocol.php

通过构造php伪协议,可以读取目标服务器上的PHP源代码,将其转换为base64编码,并在本地解码,获取Flag。例如,使用以下URL访问:

http://靶机IP/web5/?file=php://filter/read=convert.base64-encode/resource=./fileprotocol.php

其中,file参数指定要读取的文件路径,使用php://伪协议来指定读取PHP源代码,然后使用f

最低0.47元/天 解锁文章
明裕学长
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
2023江苏省职业院校技能大赛中职网络安全赛项试卷-学生组任务书
旺仔Sec&blog
03-11 723
2023江苏省职业院校技能大赛中职网络安全赛项试卷-学生组任务书
2023“中银杯”安徽省职业院校技能大赛网络安全A模块全过程解析
旺仔Sec&blog
03-05 910
2023“中银杯”安徽省职业院校技能大赛网络安全A模块全过程解析
2023江苏省职业院校技能大赛中职网络安全赛项试卷第三阶段任务书
明裕学长的博客
03-12 260
这个语句用来查看源码。4.靶机服务器上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权;5.操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限;2.靶机服务器上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限;3.靶机服务器上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限;1.服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
江苏省世界技能大赛 “网络系统管理”专业项目操作技能竞赛试题(样卷) 修订330.doc
03-18
世界技能大赛 “网络系统管理”专业项目操作技能竞赛试题 江苏省选拔赛 世界技能大赛 “网络系统管理”专业项目操作技能竞赛试题
2024江苏省职业院校技能大赛 网络建设与运维赛项样题
m0_74877090的博客
12-25 1434
把/etc/pki/tls/skills.crt 证书文件和/etc/pki/tls/skills.key 私钥。(1)在 linux5-linux7 上安装 containerd 和 kubernetes,linux5 作为 masternode,/etc/pki/tls/skills.pfx 转换为含有证书和私钥的/etc/pki/tls/skills.pem 文件,再从。/etc/pki/tls/skills.pem 文件中提取证书和私钥分别到/etc/pki/tls/apache.crt 和。
2023江苏省职业院校技能大赛中职组“网络搭建与应用”赛题
03-08
2023江苏省职业院校技能大赛中职组“网络搭建与应用”赛题题库 2023江苏省“网络搭建与应用”赛题题库 通过竞赛,检验参赛选手的计算机网络的拓扑规划能力、IP地址规划能力、综合布线的施工测试能力、设备配置与...
2023甘肃省职业技能大赛网络安全赛项(教师组)样题(二).pdf
11-05
2023 甘肃省职业院校技能大赛中职教师组)网络安全竞赛试题
2022山东省职业院校技能大赛中职组“网络搭建与应用”赛题题库
12-23
2022山东省职业院校技能大赛中职组“网络搭建与应用”赛题题库 2022山东省“网络搭建与应用”赛题题库 通过竞赛,检验参赛选手的计算机网络的拓扑规划能力、IP地址规划能力、综合布线的施工测试能力、设备配置与...
2020安徽省职业院校技能大赛中职组计算机平面设计赛项规程.docx
06-03
2020安徽省职业院校技能大赛中职组计算机平面设计赛项规程.docx2020安徽省职业院校技能大赛中职组计算机平面设计赛项规程.docx2020安徽省职业院校技能大赛中职组计算机平面设计赛项规程.docx2020安徽省职业...
2020安徽省职业院校技能大赛中职组计算机平面设计赛项规程.pdf
06-01
2020安徽省职业院校技能大赛中职组计算机平面设计赛项规程.pdf2020安徽省职业院校技能大赛中职组计算机平面设计赛项规程.pdf2020安徽省职业院校技能大赛中职组计算机平面设计赛项规程.pdf2020安徽省职业院校...
seacms 远程命令执行 (CNVD-2020-22721)
小小猪的博客
12-30 2224
seacms 远程命令执行 (CNVD-2020-22721) 漏洞简介: 海洋CMS一套程序自适应电脑、手机、平板、APP多个终端入口。 SeaCMS v10.1存在命令执行漏洞,在w1aqhp/admin_ip.php下第五行使用set参数,对用户输入没有进行任何处理,直接写入文件。攻击者可利用该漏洞执行恶意代码,获取服务器权限。 环境搭建: 登录后台,账号admin,密码admin 访问后台IP安全设置网页 burp进行抓包,后面拼接一句话命名 POST /manager/ad..
Linux命令cURL如何访问FTP服务器
一口Linux的专栏
08-27 6990
前言 cURL 是常用的命令行工具,用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思。 cURL 的原作者是 Daniel Stenberg (目前是 cURL 的核心开发者),同时也是 IETF HTTPbis 工作组的资深成员。Daniel 在 1998 创建了 curl 项目,他编写了最初的 curl 版本,并创建了 libcurl 库。到目前为止,代码仓库包括的 24000 次 commit 有超过一半是 Daniel 本人提交的,他依然是项目的核心开发者。Dan
2023 甘肃省职业院校技能大赛中职教师组)网络安全竞赛样题(三)
君逍遥o
11-30 1038
假定你是某企业的网络安全工程师,对于企业的服务器系统,根 据任务要求确保各服务正常运行,并通过综合运用用户安全管理与密 码策略、Nginx 安全策略、 日志监控策略、中间件服务安全策略、本 地安全策略、防火墙策略等多种安全策略来提升服务器系统的网络安 全防御能力。本模块要求根据竞赛现场提供的 A 模块答题模板对具体 任务的操作进行截图并加以相应的文字说明,以 word 文档的形式书写,以 PDF 格式保存,以“赛位号+模块 A ”作为文件名,PDF 格式文档为此模块评分唯一依据。
2018全国职业院校技能大赛中职组)网络空间安全赛题解析
热门推荐
5L2g556F5ZWl77yf
12-02 1万+
2018全国职业院校技能大赛中职组 “网络空间安全”赛卷一 一、竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 第一阶段 单兵模式系统渗透测试 任务1 ARP扫描渗透测试 100分钟 100 任务2 漏洞扫描与利用 100 任务3 MSSQL数据库渗透测试 100 任务4 主机发现与信息收 100 任务5 SNMP信息收集与利用 100 任务6 Windows操作系统渗透测试 ...
开封市第二届职业技能大赛 网络安全项目竞赛试题
最新发布
旺仔Sec&blog
03-29 1234
1.在 JavaScript 语言中,将给定的长字符串转换为一个数组的方法,将该方法应用于逆向解码操作(可执行文件位于 Server2023111301桌面逆向分析文件夹中),所得的结果进行 Base64运算,将过程中使用的方法作为Flag值提交(例如:array.splice());5.通过本地PC中渗透测试平台Kali对服务器场景 Server2007中的网站进行访问,登录成功后找到页面中的十字星,将十字星中页面内容进行下载,将下载到的文件解密,并将解密后的文件内容作为FLAG提交;
2023江西省赣州市技能大赛 网络安全竞赛试题任务书
Aluxian_的博客
06-12 2162
1.密码策略: a1.密码策略必须同时满足大小写字母、数字、特殊字符2.登录策略: a.设置账户锁定阈值为6次错误锁定账户,锁定时间为1分钟,复位账户锁定计数器为1分钟之后 b.一分钟内仅允许5次登录失败,超过5次,登录账号锁定1分钟3.用户安全管理: a.禁止发送未加密的密码到第三方SMB服务器 b.禁用来宾账户,禁止来宾用户访问计算机或访问域的内置账户4.关闭系统时清除虚拟内存页面文件5.禁止系统在未登录的情况下关闭6.禁止软盘复制并访问所有驱动器和所有文件夹7.禁止显示上次登录的用户名8.创建www.
2021中职网络空间安全最新国赛赛题解析仅代表自己的建议——zz-网络安全试题(1)解析
PushSafe
05-17 3838
2021全国职业院校技能大赛中职组) 网络安全竞赛试题 (1) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全...
2023江苏省职业院校技能大赛中职网络安全赛项试卷-学生组-任务书
Aluxian_的博客
03-10 2237
6.为了提高系统安全性,要禁止root账号登录,以普通用户登录系统,当需要使用系统命令时使sudo命令前缀执行,但需要设置该通用户的权限、修改好scdo配置文件后,禁止root账号登录,将禁止root账号登录的命令及参数作为Flag进行提交,Flag格式为flag{xxx};3.为了提高系统安全性,要禁止root账号登录,以普通用户登录系统,当需要使用系统命令时使sudo命令前缀执行,但需要设置该通用户的权限,在当前系统新建普通用户jason,将新建用户jason,将新建用户命令作为Flag进行提交。
WEB综合渗透
JJH2724719395的博客
11-22 3436
web综合渗透
全国职业院校技能大赛网络安全赛项规程
全国职业院校技能大赛的"网络安全"赛项是2021针对中职学生举办的一项重要比赛,旨在检验和提升中职学校的网络信息安全教育质量。赛项编号ZZ-2021029,属于信息技术类,旨在培养符合国家网络安全战略需求的世界级...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明裕学长

打赏私我进交流群

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值