2022年浙江省中职组网络空间安全省赛 D模块解析

已于 2023-03-10 12:33:54 修改
阅读量435 收藏 9
点赞数
分类专栏: 网络空间安全赛题 文章标签: 安全 linux 网络安全 网络 学习 Powered by 金山文档
于 2023-03-10 12:15:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/129437361
版权

暂时没拿到题目,自己一个一个漏洞慢慢摸索。

Windows靶机:

  1. Nmap扫描

服务器系统版本:2008 R2

  1. 永恒之蓝漏洞

445端口开启,msf使用check模块检查是否存在漏洞。

use auxiliary/scanner/smb/smb_ms17_010

存在永恒之蓝漏洞。

并且可利用。

修复方法:

禁用Server服务。

可以发现已经无法通过永恒之蓝漏洞渗透了。

  1. 后门用户

修复方法:

删除hacker用户。

  1. 弱密码

因为开着3389远程链接端口,我们需要注意管理员账户的密码强度。

使用mimikatz获取Administrator账户的密码,确认是否为弱密码。

可以发现Administrator的密码为123456。

修复方法:

更改为强度高的密码即可。

不知道为什么,翻遍了整个靶机只发现了3个漏洞。

Linux靶机:

  1. Nmap扫描

  1. vsftpd234 笑脸漏洞

修复方法:

防火墙过滤6200端口。

漏洞修复。

  1. 弱口令漏洞

由于本地靶机,我可以很轻松的把shadow文件和passwd文件拽出来用john破解

但是比赛不能这样做,因此我使用hydra爆破root的ssh密码。

密码是123456。因此知道存在弱口令漏洞。

其他2个用户也存在弱口令漏洞,别忘了改。

修复方法:

4.后门程序

使用nc或者pwntools都可以直接链接。

查看程序源码发现就一个execve函数

修复方法:

那么直接删除这个程序就行了。

使用指令netstat -anpt | grep 48119

即可找到源程序。

删除即可。

然后就没然后了,已经找不到还有什么洞了,至少以我的知识水平来说我找不到了。

有错误的地方请在评论区指出。

Red-Leaves
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022全国职业院校技能大赛(中职网络安全赛项D模块解析
d2888的博客
02-06 1919
2022全国职业院校技能大赛(中职网络安全赛项D模块解析
22全国职业院校技能大赛(中职网络安全D模块解析
最新发布
yy1024iy的博客
11-30 1827
一、项目和任务描述:假定各位选手是某安全企业的网络安全工程师,负责若干服务器的渗透测试与安全防护,这些服务器可能存在着各种问题和漏洞。你需要尽快对这些服务器进行渗透测试与安全防护。每个参赛队拥有专属的堡垒机服务器,其他队不能访问。参赛选手通过扫描、渗透测试等手段检测自己堡垒服务器中存在的安全缺陷,进行针对性加固,从而提升系统的安全防御性能。请根据《赛场参数表》提供的信息,在客户端使用谷歌浏览器登录需要加固的堡垒服务器。二、操作系统环境说明:二、服务器环境说明。
中职网络安全2022国赛之MS12020漏洞扫描与利用(CVE-2012-0002)
Ba1_Ma0的博客
04-25 5600
简介 我做了一个简单的环境来复现这个漏洞,需要虚拟机环境的可以加我qq:3316735898,有什么不会的也可以问我 1.在MSF工具中用search命令搜索MS12020 RDP拒绝服务攻击模块,将回显结果中的漏洞披露时间作为Flag值(如:2012-10-16)提交 搜索漏洞模块: search ms12-020 时间为: 2012-03-16 2.在MSF工具中调用MS12020 RDP拒绝服务漏洞的辅助扫描模块,将调用此模块的命令作为Flag值提交 use 3.使用set命令设置目标IP,
中职网络安全竞赛之应用服务漏洞扫描与利用
旺仔Sec&blog
08-02 993
中职网络安全竞赛之应用服务漏洞扫描与利用
全国职业院校技能大赛中职网络安全竞赛试题 —XSS漏洞(笔记文档)
Jay
12-23 1340
一、XSS漏洞 1.过滤不严时直接提交script语句,如<script>alert(123)</script> 2.过滤稍严时用<br>标签绕过waf,如<scr<br>ipt>ale<br>rt(123)</sc<br>ript> 3.过滤严格时把结束标签的斜杠过滤了,即可用没结束标签的元素来构造xss,如<img src=1 onclick='javascript:alert(123);'> 4
2022中职网络安全”赛项浙江省任务书
12-09
2022中职网络安全”赛项浙江省任务书
2022湖南省中职网络安全技能竞赛
04-06
赛题加解析和环境
2022中职网络安全”赛项河南省任务书
12-09
2022中职网络安全”赛项河南省任务书
2022中职网络安全”赛项广西竞赛任务书-B模块
05-04
网络安全赛项广西竞赛任务书-B模块 网络安全是当今时代最重要的一方面,包括网络安全基本概念、网络安全 threat 和防护、加密与解密、身份验证与授权、网络安全事件响应等多个方面。 在这个赛项中,B 模块主要...
2021中职网络安全”赛项浙江省任务书
12-09
2021中职网络安全”赛项浙江省任务书
2022网络安全”赛项浙江省宁波市选拔赛任务书
Aluxian_的博客
04-08 1062
一、项目和任务描述: 假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录和密码策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。 二、服务器环境说明 AServer04(Windows)系统:用户名administrator,密码Ab123456 AServer05(Linux)系统:用户名root,密码123456 三、说明: 1.所有截图要求截图界面字体清晰,并粘贴于相应题目要求的位置; 2.文件名命
中科磐云—D模块解析以及评分标准
Jay
07-01 2218
需要D模块环境私1.后门用户(1)漏洞发现过程或思路(5分)(2)删除后门用户,若在命令行下操作也正确(10分) 或 或 或 2.管理员用户密码加固(1)漏洞发现过程或思路(5分)(2)为管理员用户设置较为复杂的密码,若在命令行下操作也正确(10分 3.HTTP.SYS漏洞(MS15_034)(1)漏洞发现过程或思路(5分)(2)禁用IIS内核缓存,避免对方利用ms15_034漏洞进行DOS攻击,去掉【启用内核缓存】复选框前面的钩(10分)(3)漏洞验证过程(10分) 4.永恒之蓝漏洞(MS17_010)
2023内蒙古自治区职业技能大赛“网络安全” 项目比赛任务书
Aluxian_的博客
03-30 1182
3.为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的网络数据包将丢弃不予处理);c.设置root用户的计划任务。a.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法);1.安全日志文件大小至少为128MB,设置当达到最大的日志大小上限时,覆盖早于30天的日志;2.应用日志文件大小至少为64MB,设置当达到最大的日志大小上限时,覆盖早于15天的日志;
网络空间安全竞赛D模块解析
weixin_72466436的博客
03-22 366
网络空间安全竞赛D模块解析
2022-2023度广东省职业院校学生专业技能大赛 中职网络安全赛项竞赛规程
旺仔Sec&blog
03-14 2654
2022-2023度广东省职业院校学生专业技能大赛中职网络安全赛项竞赛规程
全国职业院校技能大赛中职网络安全竞赛—[中科磐云](总结经验分享)
Jay
12-23 3498
IP,通常有两台靶机(可能是windows也可能是linux),选手需要在给定的时间(如15分钟)内渗透进入并加固自己的靶机,在达到改时间前,每个队伍的网络是不通的,也就是无法攻击别人的靶机。单一的知识点,网络安全所需掌握的知识是庞大的,深入的,同时该赛项的模式在近发生了改革,所以下面会列出改革前和改革后的比赛流程和所需的知识体系,并做一个对比.提一嘴,改革的顺序是国赛–>省赛,所以部分地区的改革时间跟我写的不一样,这里以我的为标准,我所在省份是2021进行了改革。只要你的靶机服务还存在,就不会扣分。
2022全国职业院校技能大赛(中职网络安全竞赛试题第一套解析
旺仔Sec&blog
12-10 3239
2022全国职业院校技能大赛(中职网络安全竞赛试题第一套解析
2023内蒙古自治区中等职业院校技能大赛“网络安全” 项目比赛任务书
旺仔Sec&blog
03-30 1257
2023内蒙古自治区中等职业院校技能大赛“网络安全” 项目比赛任务书
2020-2021 度广东省职业院校学生专业技能大赛网络空间安全赛项竞赛规程
Jay
12-07 2524
2020-2021 度广东省职业院校学生专业技能大赛 网络空间安全赛项竞赛规程 一、赛项名称 赛项编号: ZZ- 24 赛项名称:网络空间安全 赛项别:中职 赛项归:信息技术类 二、竞赛目的 为检验中职学校网络信息安全人才培养成效,促进网络信息安全专业教学 改革,培养大批既满足国家网络安全战略需要又具备世界水平的优秀技能人才, 在社会上营造“技能改变命运、匠心成就人生” 的崇尚技能的氛围。 (一)检验教学成效 竞赛内容涵盖了网络信息安全行业企业岗位对学生职业技能的最新要求, 竞赛过程为完整工作任务的具.
2023甘肃省职教网络安全竞赛赛题及注意事项
2023甘肃省职业技能大赛“网络安全”赛项(教师)样题共分为A、B、C、D四个模块,包括基础设施设置与安全加固、网络安全事件响应、数字取证调查和应用安全、CTF 夺旗-攻击以及CTF 夺旗-防御。比赛总分为1000分,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值