这篇博客详细介绍了2019年湖南省职业院校技能大赛中职组网络空间安全赛项的竞赛任务,包括SSH弱口令渗透测试、Web信息收集、数据分析数字取证和Web安全综合渗透测试四个阶段。在SSH测试中,涉及Linux服务器的端口扫描、服务识别、弱口令爆破等操作;Web信息收集部分利用nikto工具对Linux服务器的Web服务进行多角度扫描,寻找安全漏洞;数据分析环节通过对pcapng数据包的分析,获取黑客的IP地址、扫描端口、用户名和密码等信息;最后的Web安全测试则涵盖了目录扫描、SQL注入、信息收集及数据库操作等多个环节,全面考察参赛者的网络安全技能。
(一)拓扑图
(二)第一阶段任务书
任务一:SSH弱口令渗透测试
任务环境说明:
- 服务器场景:Linux
- 服务器场景操作系统:Linux(版本不详)
- 渗透机场景:BT5
- 渗透机场景用户名:root,密码:toor
- 在本地PC渗透测试平台BT5中使用zenmap工具扫描服务器场景Linux所在网段(例如:172.16.101.0/24)范围内存活的主机IP地址和指定开放的21、22、23端口。并将该操作使用的命令中必须要添加的字符串作为FLAG提交(忽略ip地址);
- 通过本地PC中渗透测试平台BT5对服务器场景Linux进行系统服务及版本扫描渗透测试,并将该操作显示结果中SSH服务对应的服务端口信息作为FLAG提交;
- 在本地PC渗透测试平台BT5中使用MSF模块对其爆破,使用search命令,并将扫描弱口令模块的名称信息作为FLAG提交;
- 在上一题的基础上使用命令调用该模块,并查看需要配置的信息(使用show options命令),将回显中需要配置的目标地址,密码使用的猜解字典,线程,账户配置参数的字段作为FLAG提交(之间以英文逗号分隔,例hello,test,..,..);
- 在msf模块中配置目标靶机IP地址,将配置命令中的前两个单词作为FLAG提交;
最低0.47元/天 解锁文章
扫一扫
4403
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
