开封市第二届职业技能大赛网络安全选拔赛B阶段正式赛题

已于 2024-08-08 16:22:26 修改
阅读量1.0k 收藏 15
点赞数 18
文章标签: 安全 网络安全
于 2024-04-13 20:58:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59589569/article/details/137725058
版权

开封市第二届职业技能大赛

网络安全项目(世赛)-B模块

一、竞赛阶段

竞赛阶段

任务阶段

竞赛任务

竞赛时间

分值

B模块

B-1

SSH弱口令渗透测试

120分钟

400分

B-2

Windows操作系统渗透测试

B-3

数字取证调查

B-4

隐藏信息探索

B-5

内存取证

B-6

Web安全渗透测试

B-7

Linux系统渗透提权

B-8

系统渗透

B-9

事件分析应急响应

B-10

逆向分析

二、竞赛任务书内容

B模块安全事件响应/网络安全数据取证/应用安全(400分)

B-1:网页渗透

  • 服务器场景:Server2120(关闭链接)
  • 服务器场景操作系统:未知
  1. 访问服务器的网站主页,猜测后台数据库中本网页中应用的库名称长度,将长度作为flag提交;
  2. 访问服务器的网站主页,猜测后台数据库中本网页中应用的库名称,将名称作为flag提交;
  3. 访问服务器的网站主页,猜测后台数据库中本页面中应用的表名称长度,将表名称长度作为flag提交;
  4. 访问服务器的网站主页,猜测后台数据库中本网页中应用的表名称,将名称作为flag提交
  5. 访问服务器的网站主页,猜测后台数据库中本页面中第二个应用的字段名称,将名作为flag提交。
  6. 访问服务器的网站主页,猜测后台数据库中本页面中ID为1的用户名,将用户名作为flag提交。

B-2:隐藏信息探索

  • 服务器场景:FTPServer2201010
  • 服务器场景操作系统: Linux(关闭链接)
  • FTP用户名:qdbgts密码:qdbgts
  1. 访问服务器的FTP服务,下载图片QR,从图片中获取flag,并将flag提交;
  2. 访问服务器的FTP服务,下载文件document,从文件中获取flag,并将flag提交;
  3. 访问服务器的FTP服务,下载图片beach,从图片中获取flag,并将flag提交;
  4. 访问服务器的FTP服务,下载图片grass,从图片中获取flag,并将flag提交;
  5. 访问服务器的FTP服务,下载图片tree,从图片中获取flag,并将flag提交;
  6. 访问服务器的FTP服务,下载压缩文件style,从压缩文件中获取flag,并将flag提交。

B-3:数字取证调查

  • 服务器场景:FTPServer20221010(关闭链接)
  • 服务器场景操作系统:未知
  • FTP用户名:attack817密码:attack817
  1. FTP下载数据包,分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户第一次访问HTTP服务的数据包是第几号,将该号数作为Flag值提交;
  2. 继续查看数据包文件attack.pcapng,分析出恶意用户扫描了哪些端口,将全部的端口号从小到大作为Flag值(形式:端口1,端口2,端口3…,端口n)提交;
  3. 继续查看数据包文件attack.pcapng分析出恶意用户登录后台所用的密码是什么,将后台密码作为Flag值提交;
  4. 继续查看数据包文件attack.pcapng分析出恶意用户写入的一句话木马的密码是什么,将一句话密码作为Flag值提交;
  5. 继续查看数据包文件attack.pcapng分析出恶意用户下载了什么文件,将该文件内容作为Flag值提交。

B-4:隐藏信息探索

  • 服务器场景:Server2007(关闭链接)
  • 服务器场景操作系统:未知
  1. 通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,找到登录界面中的FLAG,并将FLAG提交;
  2. 通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,找到登录界面背景中的FLAG,并将FLAG提交;
  3. 通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,在登录界面中登录,登录成功后在成功的界面中找到FLAG并提交;
  4. 通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,登录成功后找到页面中的月亮,将月亮中的信息解密,并将解密后的信息作为FLAG提交;
  5. 通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,登录成功后找到页面中的十字星,将十字星中页面内容进行下载,将下载到的文件解密,并将解密后的文件内容作为FLAG提交;
  6. 通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,在登录界面中登录,登录失败后找到页面中的链接访问连接并下载文件,将文件中的隐藏文件全称作为FLAG提交;
  7. 通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,在登录界面中登录,登录失败后找到页面中的链接访问连接并下载文件,将文件中隐藏信息文件的内容作为FLAG提交;
  8. 通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,寻找每页中的隐藏信息,将每条信息按顺序合并,作为FLAG提交;

B-5:内存取证

  • 仅能获取win20230306的IP地址
  • FTP用户名:user,密码:123456
  1. 在服务器中下载内存片段,在内存片段中获取主机信息,将管理员密码作为Flag值提交;
  2. 在内存片段中获取主机信息,将此片段的地址作为Flag值提交;
  3. 在内存片段中获取主机信息,将此片段的主机名作为Flag值提交;
  4. 在内存片段中获取主机信息,将挖矿程序的地址及端口号作为Flag值提交;(若为多个用;分开)
  5. 在内存片段中获取主机信息,将后台恶意程序所用的程序名称作为Flag值提交;
  6. 在内存片段中获取主机信息,将此时的浏览器搜寻的关键词作为Flag值提交。

B-6:Web安全渗透测试

  • 服务器场景:PYsystem003
  • 服务器场景操作系统:未知(关闭链接)
  • 服务器用户名:未知 密码:未知
  1. 通过浏览器访问http://靶机服务器IP/1,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;
  2. 通过浏览器访问http://靶机服务器IP/2,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;
  3. 通过浏览器访问http://靶机服务器IP/3,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;
  4. 通过浏览器访问http://靶机服务器IP/4,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;
  5. 通过浏览器访问http://靶机服务器IP/5,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交。

B-7:Linux系统渗透提权

  • 服务器场景:Server2204(关闭链接)
  • 用户名:hacker   密码:123456
  1. 使用渗透机对服务器信息收集,并将服务器中SSH服务端口号作为flag提交;
  2. 使用渗透机对服务器信息收集,并将服务器中主机名称作为flag提交;
  3. 使用渗透机对服务器信息收集,并将服务器中系统内核版本作为flag提交;
  4. 使用渗透机对服务器管理员提权,并将服务器中root目录下的文本内容作为flag提交;
  5. 使用渗透机对服务器管理员提权,并将服务器中root的密码作为flag提交;
  6. 使用渗透机对服务器管理员提权,并将服务器中root目录下的图片内容作为flag提交。

B-8:系统渗透

  • 仅能获取lin20230502的IP地址
  1. 在渗透机中对服务器主机进行信息收集,将服务器开启的端口号作为Flag值提交;
  2. 在渗透机中对服务器主机进行渗透,在服务器主机中获取服务器主机名称,将主机名作为Flag值提交;
  3. 在渗透机中对服务器主机进行渗透,在服务器主机中获取内核版本,将内核版本作为Flag值提交;
  4. 在渗透机中对服务器主机进行渗透,在服务器主机中获取管理员的密码,将密码作为Flag值提交;
  5. 在渗透机中对服务器主机进行渗透,在服务器主机中找到网站根目录下的flag文件,将文件中内容作为Flag值提交;
  6. 在渗透机中对服务器主机进行渗透,在服务器主机中找到管理员家目录下的flag文件,将文件中内容作为Flag值提交。

B-9:事件分析应急响应

  • 服务器场景:Server2229(开放链接)
  • 用户名:root,密码:p@ssw0rd123
  1. 找出黑客植入到系统中的二进制木马程序,并将木马程序的名称作为Flag值(若存在多个提交时使用英文逗号隔开,例如bin,sbin,...)提交;
  2. 找出被黑客修改的系统默认指令,并将被修改的指令里最后一个单词作为Flag值提交;
  3. 找出被黑客替换的系统指令,并将其绝对路径作为Flag值提交;
  4. 找出被黑客修改的服务配置文件,将文件的md5值前四位作为Flag值提交;
  5. 找出系统中的弱口令账号,将该账号的用户名及密码作为Flag值(用户名和密码之间用英文冒号隔开,例如:root:toor)提交。

B-10:逆向分析

  • 任务说明:Server2023111301(开放链接)
  • 用户名:administrator,密码:123456
  1. 在 JavaScript 语言中,将给定的长字符串转换为一个数组的方法,将该方法应用于逆向解码操作(可执行文件位于Server2023111301桌面逆向分析文件夹中),所得的结果进行Base64运算,将过程中使用的方法作为Flag值提交(例如:array.splice());
  2. 写出在字符串中匹配连续的四个字符,且每两个字符之间用空格分隔的正则匹配表达式,将该正则表达式应用于逆向解码操作,所得的结果进行Base64运算,将过程中使用的方法作为Flag值提交(例如:array.splice());
  3. 使用 JavaScript 中的方法,将迭代器中的每个匹配项取出第一个字符,也就是每个四字符组的第一个字符。将该方法应用于逆向解码操作,所得的结果进行Base64运算,将过程中使用的方法作为Flag值提交(例如:array.splice());
  4. 使用 JavaScript 中的方法,对上一个步骤中得到的结果的字符进行操作,将它们用空格分隔、反转顺序,然后再连接起来。所得的结果进行Base64运算,将过程中使用的方法作为Flag值提交(例如:array.splice());
  5. 使用 JavaScript 中的方法,将倒序排列后的字符解释为十六进制数字,然后将其右移2位。所得的结果进行Base64运算,将过程中使用的方法作为Flag值提交(例如:array.splice());
  6. 将上一步处理后的数字转换为相应的Unicode字符。并将所有转换后的Unicode字符连接成一个字符串。所得的结果进行Base64运算,将运算后得到的结果作为Flag值提交。
eXN5
关注
  • 18
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
2020年全国职业院校技能大赛改革试点赛(中职组)
5L2g556F5ZWl77yf
10-17 5710
为赛卷一,环境都是自己做的,仅作参考 网络安全竞赛试题 (一)(总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全加固 3
2021年江苏省职业院校技能大赛中职网络信息安全赛项试卷
FogIslandBay的博客
09-20 3341
任务三:web安全渗透测试 通过浏览器访问http://靶机服务器IP/1,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;(2分) 通过浏览器访问http://靶机服务器IP/2,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;(2分) 通过浏览器访问http://靶机服务器IP/3,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag
2024年山东省网络安全Web20200529隐藏信息探索
依旧是寻觅
12-21 571
换环境有问题可以私信加q 通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,找到登录界面中的FLAG,并将FLAG提交;通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,在登录界面中登录,登录成功后在成功的界面中找到FLAG并提交;
全国职业院校技能大赛网络安全赛项B模块(超详细解析)
m0_74025111的博客
09-03 2207
一.拓补图。
web渗透
JJH2724719395的博客
06-20 505
那第一个就是一个很明显的一个算数,但是你会发现只能输入一个,所以我们将源代码中的内容将其修改。说是vim编辑器,于是联想到一个备份文件的内容。Flag自然也就拿到了。flag就显示出来了。
广东省第三届职业技能大赛(世界技能大赛选拔赛网络安全赛项A模块赛题
09-22
"广东省第三届职业技能大赛(世界技能大赛选拔赛网络安全赛项A模块赛题" 本资源摘要信息是关于广东省第三届职业技能大赛(世界技能大赛选拔赛网络安全赛项A模块赛题的详细说明。下面是对标题、描述、标签和部分...
广东省第三届职业技能大赛(世界技能大赛选拔赛网络安全赛项C模块赛题
09-22
网络安全竞赛项目-模块 C 样题是广东省第三届职业技能大赛的一部分,旨在考察参赛者的网络安全技能。该项目模块涵盖了信息收集、漏洞发现、漏洞利用等技术,旨在考察参赛者的渗透测试能力。 竞赛项目简介 该项目...
河南省第二届职业技能大赛郑州市选拔赛网络安全”项目样题.pdf
02-18
"河南省第二届职业技能大赛郑州市选拔赛网络安全项目样题" 本文档是河南省第二届职业技能大赛郑州市选拔赛网络安全”项目样题,主要涵盖了网络安全领域的多个方面,包括登录安全加固、事件监控、流量完整性保护、...
第46届世界技能大赛网络安全项目浙江省选拔赛样题-模块B.pdf
03-02
第46届世界技能大赛网络安全项目浙江省选拔赛样题-模块B.pdf 本资源是第46届世界技能大赛网络安全项目浙江省选拔赛样题的模块B,涵盖网络安全事件响应、数字取证调查和应用程序安全等多个方面的竞赛项目。 网络...
2024全国职业技能大赛-网络安全赛题解析总结②(超详细)_中间件服务安全加固vsftpd httpd bind(linux)(2)
最新发布
2401_83944328的博客
05-03 1118
为了做好运维面试路上的助攻手,特整理了上百道,让你面试不慌心不跳,高薪offer怀里抱!这次整理的面试题,本份面试集锦涵盖了1、什么是运维?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?3、现在给你三百台服务器,你怎么对他们进行管理?4、简述raid0 raid1raid5二种工作模式的工作原理及特点5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
2022年中职“网络安全“—隐藏信息探索(misc)
weixin_57060854的博客
10-16 3923
这道题目主要考的是CTF中的杂项(misc)中的图片信息隐写,和对于一些工具的使用。
系统渗透-lin20230502(解析+环境)
m0_46056107的博客
11-30 209
6.在渗透机中对服务器主机进行渗透,在服务器主机中找到管理员家目录下的flag文件,将文件中内容作为Flag值提交。5.在渗透机中对服务器主机进行渗透,在服务器主机中找到网站根目录下的flag文件,将文件中内容作为Flag值提交;2.在渗透机中对服务器主机进行渗透,在服务器主机中获取服务器主机名称,将主机名作为Flag值提交;4.在渗透机中对服务器主机进行渗透,在服务器主机中获取管理员的密码,将密码作为Flag值提交;1.在渗透机中对服务器主机进行信息收集,将服务器开启的端口号作为Flag值提交;
WEB综合渗透
JJH2724719395的博客
11-22 3473
web综合渗透
流量分析题-attack.pcapng
m0_64506623的博客
02-20 1246
密码:y11。
开封市第二届职业技能大赛 网络安全项目竞赛试题
旺仔Sec&blog
03-29 1252
1.在 JavaScript 语言中,将给定的长字符串转换为一个数组的方法,将该方法应用于逆向解码操作(可执行文件位于 Server2023111301桌面逆向分析文件夹中),所得的结果进行 Base64运算,将过程中使用的方法作为Flag值提交(例如:array.splice());5.通过本地PC中渗透测试平台Kali对服务器场景 Server2007中的网站进行访问,登录成功后找到页面中的十字星,将十字星中页面内容进行下载,将下载到的文件解密,并将解密后的文件内容作为FLAG提交;
中职组网络安全-FTPServer20221010.img(环境+解析)
m0_46056107的博客
11-25 230
分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户第一次访问HTTP服务的数据包是第几号,将该号数作为Flag值提交;继续查看数据包文件attack.pcapng,分析出恶意用户扫描了哪些端口,将全部的端口号从小到大作为Flag值(形式:端口1,端口2,端口3…继续查看数据包文件attack.pcapng分析出恶意用户写入的一句话木马的密码是什么,将一句话密码作为Flag值提交;用户名:attack817 密码:attack817。
B-4:服务渗透测试
m0_45155797的博客
04-13 649
B-4:服务渗透测试  服务器场景:Server2209(关闭链接) 1. 使用渗透机对服务器信息收集,并将服务器中网站服务端口号作为flag提交;(若为多个用;隔开) 2. 使用渗透机对服务器信息收集,在服务器网站中找到爬虫文件,并将名称作为flag提交; 3. 使用渗透机对服务器信息收集,在服务器网页中找到flag并将内容提交; 4. 使用渗透机对服务器渗透,并将服务器的主机名作为flag提交; 5. 使用渗透机对服务器渗透,在服务器中找到具有执行权限的文件,在权限的文件中找到flag内容信息并提交
2022年中职“网络安全“江西省赛题—B-4:Web安全渗透测试
weixin_57060854的博客
12-29 2229
学习交流,或者遇到不会的可以+qq:3455475542。ü 服务器场景名称:Server2010(关闭链接)ü 服务器场景操作系统:未知。
第一届甘肃职业技能大赛:网站设计竞赛实战指南
本次考核试卷是中华人民共和国第一届职业技能大赛甘肃选拔赛的网站设计与开发竞赛操作技能部分,主要考察参赛者的网页设计和开发能力。考试围绕"众志成城、抗击疫情"的主题,要求参赛者设计一个响应式的专题网站,以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

eXN5

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值