2022年中职组“网络安全”赛项
龙岩市竞赛任务书
一、竞赛时间
共计3小时。
二、竞赛阶段
| 竞赛阶段 | 任务阶段 | 竞赛任务 | 竞赛时间 | 分值 |
| 第一阶段单兵模式系统渗透测试 | 任务一 | Windows操作系统渗透测试 | 100分钟 | 200 |
| 任务二 | Linux操作系统渗透测试 | 150 | ||
| 任务三 | 数据库服务渗透测试 | 150 | ||
| 任务四 | 综合渗透测试 | 200 | ||
| 备战阶段 | 攻防对抗准备工作 | 20分钟 | 0 | |
| 第二阶段分组对抗 | 系统加固 | 15分钟 | 300 | |
| 渗透测试 | 45分钟 | |||
三、竞赛任务书内容
(一)拓扑图
(二)第一阶段任务书(700分)
任务一:Windows操作系统渗透测试
任务环境说明:
- 服务器场景:Server05(关闭链接)
- 服务器场景操作系统:Windows(版本不详)
- 通过本地PC中渗透测试平台Kali对服务器场景进行系统服务及版本扫描渗透测试,并将该操作显示结果中445端口对应的服务版本信息字符串作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景网络连接信息中的DNS信息作为Flag值 (例如:114.114.114.114) 提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景中的当前最高账户管理员的密码作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文件名称作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文档内容作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景桌面上222文件夹中唯一一个图片中的英文单词作为Flag值提交;
任务二:Linux操作系统渗透测试
任务环境说明:
- 服务器场景:Server06(关闭链接)
- 服务器场景操作系统:Linux(版本不详)
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/www目录中唯一一个后缀为.bmp文件的文件名称作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/www目录中唯一一个后缀为.bmp的图片文件中的英文单词作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/vsftpd目录中唯一一个后缀为.docx文件的文件名称作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/vsftpd目录中唯一一个后缀为.docx文件的文件内容作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/home/guest目录中唯一一个后缀为.pdf文件的文件名称作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/home/guest目录中唯一一个后缀为.pdf文件的文件内容作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/root目录中唯一一个后缀为.txt文件的文件名称作为Flag值提交;
- 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/root目录中唯一一个后缀为.txt文件的文件内容作为Flag值提交。
任务三:数据库服务渗透测试
任务环境说明:
- 服务器场景:Server01
- 服务器场景操作系统:未知(关闭连接)
- 通过分析靶机Server01页面信息,寻找漏洞页面,将WEB服务存在SQL注入漏洞的页面名称作为Flag提交;
- 通过本地PC中的渗透测试平台Kali对靶机进行SQL注入攻击,获取靶机的数据库信息,将用来存放WEB服务的数据库名称作为Flag提交;
- 通过本地PC中的渗透测试平台Kali对靶机进行SQL注入攻击,获取靶机的数据库信息,将用来存放WEB服务用户的表名称作为Flag提交;
- 通过本地PC中的渗透测试平台Kali对靶机进行SQL注入攻击,获取靶机的数据库信息,将用来存放WEB登陆用户admin用户的明文密码作为Flag提交;
任务四:综合渗透测试
任务环境说明:
- 服务器场景:Server07
- 服务器场景操作系统:未知(关闭连接)
- 通过PC中的渗透测试平台Kali对服务器场景进行渗透测试,将后台管理员登陆的地址作为Flag提交;(IP地址用0.0.0.0代替 例如:http://0.0.0.0.0/login.php)
- 通过PC中的渗透测试平台Kali对服务器场景进行渗透测试,将后台管理员的密码作为Flag提交;
- 通过PC中的渗透测试平台Kali对服务器场景进行渗透测试,获取到相应的权限,使用相关命令获取到当前系统用户id为69的用户,将该用户的用户名称作为Flag进行提交;
- 通过PC中的渗透测试平台Kali对服务器场景进行渗透测试,获取到相应的权限,使用whoami命令获取当前用户,将获取到的用户作为Flag提交;
- 通过PC中的渗透测试平台Kali对服务器场景进行渗透测试,获取到相应的权限,将/var/www目录下的图片文件内容作为Flag提交;
- 通过PC中的渗透测试平台Kali对服务器场景进行渗透测试,找到靶机内的脏牛漏洞提权文件,将文件名作为Flag提交;
- 提权之后登陆靶机,进入靶机的/root目录将root目录的flag.txt文件的内容作为Flag提交;
(三)第二阶段任务书(300)
假定各位选手是某电子商务企业的信息安全工程师,负责企业某些服务器的安全防护,该服务器可能存在着各种问题和漏洞。你需要尽快对该服务器进行安全加固,15分钟之后将会有其它参赛队选手对这些服务器进行渗透。
根据《赛场参数表》提供的第二阶段的信息,请使用PC的谷歌浏览器登录实战平台。
靶机服务器环境说明:
场景1:HZBJ
注意事项:
1.不能对裁判服务器进行攻击,警告一次后若继续攻击将判令该参赛队离场;
2.Flag值为每台靶机服务器的唯一性标识,每台靶机服务器仅有1个;
3.靶机服务器的Flag值存放在/root/flagvalue.txt文件或C:\flagvalue.txt文件中;
4.在登录自动评分系统后,提交对手靶机服务器的Flag值,同时需要指定对手靶机服务器的IP地址;
5.系统加固时需要保证靶机对外提供服务的可用性,服务只能更改配置,不允许更改内容;
6.本环节是对抗环节,不予补时。
可能的漏洞列表如下:
1.服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
2.靶机服务器上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限;
3.靶机服务器上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限;
4.靶机服务器上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权;
5.操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限;
6.操作系统提供的服务可能包含了缓冲区溢出漏洞,要求用户找到缓冲区溢出漏洞的服务,并利用此漏洞获取系统权限;
7.操作系统中可能存在一些系统后门,选手可以找到此后门,并利用预留的后门直接获取到系统权限。
2592
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
