2021年度中职组“网络空间安全”赛项湖南省竞赛任务书

最新推荐文章于 2023-05-06 20:44:20 发布
最新推荐文章于 2023-05-06 20:44:20 发布
阅读量1k 收藏
点赞数 1
分类专栏: 中职组网络安全职业技能大赛 文章标签: 安全 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50377269/article/details/128717600
版权
该竞赛分为两个阶段,第一阶段包括签到题、信息收集、数据库服务渗透测试、Web服务渗透测试、数字取证和数据流分析等任务,要求选手使用KALI2020平台进行操作。第二阶段为分组对抗,选手需对服务器进行加固并抵御黑客攻击,同时寻找并利用其他组的服务器漏洞。
摘要由CSDN通过智能技术生成

2021年度中职“网络空间安全”赛项

湖南省竞赛任务书

竞赛时间

8:30-11:30,共计3小时。

二、竞赛阶段

竞赛阶段

任务阶段

竞赛任务

竞赛时间

分值

第一阶段单兵模式系统渗透测试

任务一

签到题

8:30-10:10

100

任务二

信息收集

100

任务三

数据库服务渗透测试

100

任务四

web服务渗透测试

100

任务五

数字取证

100

任务六

数据流分析

100

任务七

综合渗透

100

备战阶段

攻防对抗准备工作

10:10-10:30

0

第二阶段分组对抗

系统加固

10:30-10:45

300

渗透测试

10:45-11:30

、竞赛任务书内容

一、第一阶段任务书(时量:100分钟700分)

任务一:签到题(100分)

签到题,请将“123456”作为FLAG进行提交。(100分)

任务二:信息收集(100分)

  1. 通过本地PC中的渗透测试平台KALI2020对服务器场景进行扫描,使用工具NMAP对靶机进行全端口扫描,将873/tcp所对应的SERVICE信息作为FLAG提交;(25
  2. 通过本地PC中的渗透测试平台KALI2020对服务器场景进行扫描,使用工具NMAP对靶机进行全端口扫描,将mysql服务的PORT信息作为FLAG提交;(25分)
  3. 通过本地PC中的渗透测试平台KALI2020对服务器场景进行扫描,使用工具NMAP对靶机进行综合扫描,将靶机的数据库VERSION信息作为FLAG提交;(25分)
  4. 通过本地PC中的渗透测试平台KALI2020对服务器场景进行扫描,使用工具NMAP对靶机进行综合扫描,将靶机的PHP具体版本号作为FLAG进行提交(如:2.1.2)。(25分)

任务三:数据库服务渗透测试(100分)

  1. 通过分析靶机LINUX页面信息,寻找漏洞页面,将WEB服务存在SQL注入漏洞的页面名称作为FLAG提交;(25分)
  2. 通过本地PC中的渗透测试平台KALI2020对靶机进行SQL注入攻击,获取靶机的数据库信息,将用来存放WEB服务的数据库名称作为FLAG提交;(25分)
  3. 通过本地PC中的渗透测试平台KALI2020对靶机进行SQL注入攻击,获取靶机的数据库信息,将用来存放WEB服务用户的表名称作为FLAG提交;(25分)
  4. 通过本地PC中的渗透测试平台KALI2020对靶机进行SQL注入攻击,获取靶机的数据库信息,将用来存放WEB登陆用户admin用户的明文密码作为FLAG提交。(25分)

任务四:web服务渗透测试(100分)

  1. 通过本地PC中的渗透测试平台KALI2020对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,将文件上传成功后的页面回显字符串作为FLAG提交(如:点击超链接查看上传文件);(25分)

  1. 通过本地PC中的渗透测试平台KALI2020对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用WHOAMI获取WEB当前的用户权限,并作为FLAG进行提交;(25分)

  1. 通过本地PC中的渗透测试平台KALI2020对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用相关指令获取到当前linux用户UID为5的用户,将该用户的用户名称作为FLAG进行提交;(25分)
  2. 通过本地PC中的渗透测试平台KALI2020对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用相关指令查看后台首页文件,将该文件的第二行的所有字符串作为FLAG进行提交。(25分)

任务五:数字取证(100分)

(一)任务环境说明

数据包下载地址:http://服务器IP/shuziquzheng.html

MD5加密命令`echo -n "需要加密的字符串" | openssl md5`

(二)子任务要求

  1. 通过本地PC中的渗透测试平台KALI2020下载靶机中的数据包,通过WIRESHARK软件分析数据包内的数据,找到黑客攻击服务器所用的内网IP,将黑客使用的IP地址进行MD5加密后作为FLAG进行提交;(25分)
  2. 通过本地PC中的渗透测试平台KALI2020下载靶机中的数据包,通过WIRESHARK软件分析数据包内的数据,找到黑客在网站中下载的私钥文件,将黑客下载的私钥文件的文件名进行MD5加密后作为FLAG进行提交;(25分)
  3. 通过本地PC中的渗透测试平台KALI2020下载靶机中的数据包,通过WIRESHARK软件分析数据包内的数据,找到黑客通过SQL注入攻击时的软件名称,将软件名称以及版本MD5加密后作为FLAG进行提交(如MD5加密前:sqli/2.1.1#stablest);(25分)
  4. 通过本地PC中的渗透测试平台KALI2020下载靶机中的数据包,通过WIRESHARK软件分析数据包内的数据,找到黑客登陆网站后台所用的账号密码,将黑客使用的账号密码MD5加密后作为FLAG进行提交(如:root/123123)。(25分)

Flag:

任务六:数据流分析(100分)

(一)任务环境说明

数据包下载地址:http://服务器IP/shuziquzheng.html

MD5加密命令`echo -n "需要加密的字符串" | openssl md5`

(二)子任务要求

  1. 通过本地PC中的渗透测试平台KALI2020下载靶机中的数据包,通过WIRESHARK软件分析数据包内的数据,找到黑客上传到我们服务器上的一句话木马,并且将一句话木马的文件名称MD5加密后作为FLAG提交;(25分)
  2. 通过本地PC中的渗透测试平台KALI2020下载靶机中的数据包,通过WIRESHARK软件分析数据包内的数据,找到黑客扫描我们服务器开放了哪些端口,将我们服务器中开放的TCP端口按照从小到大的顺序排序后MD5加密后作为FLAG进行提交(如:MD5加密前:21/22/23/24/25);(25分)
  3. 通过本地PC中的渗透测试平台KALI2020下载靶机中的数据包,通过WIRESHARK软件分析数据包内的数据,找出黑客曾经利用服务器中最大的端口提权所保存的文件,将该文件名称MD5加密后作为FLAG提交。(50分)

任务七:综合渗透(100分)

(一)任务环境说明

数据包下载地址:http://服务器IP/shuziquzheng.html

MD5加密命令`echo -n "需要加密的字符串" | openssl md5`

(二)子任务要求

  1. 通过本地PC中的渗透测试平台KALI2020对服务器场景进行渗透攻击,获取到RSYNC服务所开放的端口,将RSYNC服务开放的端口数值进行MD5加密后作为FLAG提交(如MD5加密前:812);(25分)

  1. 通过本地PC中的渗透测试平台KALI2020对服务器场景进行渗透攻击,查看RSYNC服务的配置文件,将负责RSYNC服务同步的账号名称以及密码进行MD5加密后作为FLAG提交(如MD5加密前:admin/123);(25分)
  2. 通过本地PC中的渗透测试平台KALI2020对服务器场景进行渗透攻击,使用渗透攻击手段获取到服务器中远程同步的文件,找到同步文件夹中包含flag的文件,将其内容作为FLAG提交;(25分)
  3. 通过本地PC中的渗透测试平台KALI2020对服务器场景进行渗透攻击,使用渗透技术获取到服务器中UID为0的用户权限,查看LINUX服务器中/目录中的FLAG文件,将该文件的内容作为FLAG进行提交。(25分)

第二阶段:分组对抗任务书(时量:60分钟300分)

各位选手是某公司的系统安全管理员,负责服务器(受保护服务器IP、管理员账号见现场发放的参数表)的维护,该服务器可能存在着各种问题和漏洞(见漏洞列表)。你需要尽快对服务器进行加固,15分钟之后将会有很多黑客对这台服务器进行攻击。

提示:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;需要加固常规漏洞;并对其它参赛队系统进行渗透测试,取得FLAG值并提交到裁判服务器。

15分钟之后,各位选手将真正进入分组对抗环节。

(一)靶机服务器环境

场景:2001-LINUX-2(用户名:root;密码:123456),

      服务器操作系统:CentOS(版本不详);

(二)注意事项

  1. 任何时候不能人为关闭服务器常用服务端口(21、22、23、80、873,5000-7000),系统自动判定扣分。
  2. 不能对裁判服务器进行攻击,否则将判令停止比赛,第二阶段分数为0分。
  3. 在加固阶段(前十五分钟,具体听现场裁判指令)不得对任何服务器进行攻击,否则将判令攻击者停止比赛,第二阶段分数为0分。
  4. FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅有一个。
  5. 为防止检测流量的正常通行,靶机需放行所有OUTPUT流量。

在渗透测试环节里,各位选手需要继续保护你的服务器免受各类黑客的攻击,你可以继续加固你的服务器,你也可以选择攻击其他组的保护服务器。

(三)可能的漏洞

1. 靶机上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限。

2. 靶机上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限

3. 靶机上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权

4. 操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限。

5. 操作系统提供的服务可能包含了缓冲区溢出漏洞,要求用户找到缓冲区溢出漏洞的服务,并利用此漏洞获取系统权限。

6. 操作系统中可能存在一些系统后门,选手可以找到此后门,并利用预留的后门直接获取到系统权限。

选手通过以上的所有漏洞点,最后得到其他选手靶机的最高权限,并获取到其他选手靶机上的FLAG值进行提交。

旺仔Sec
关注
专栏目录
2021年江苏省职业院校技能大赛中职 “网络信息安全赛项(超详细)
Aluxian_的博客
12-30 2431
2021中职网络空间安全赛项一.江苏省竞赛任务书二.任务书解析:三.不懂的可以私信博主! 一.江苏省竞赛任务书 一、竞赛时间 8:00—11:00 共计3小时 二、竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 第①阶段: 单兵模式系统渗透测试 任务一: 攻击日志分析 任务二: 系统漏洞利用与提权 任务三: 代码审计 任务四: web安全渗透测试 任务五: Linux操作系统渗透测试 任务六: 端口扫描Python渗透测试 备战阶段 休息20分钟 第②阶段: 分对抗 系统加固 15分钟
2021中职网络空间安全最新国赛赛题解析仅代表自己的建议——zz-网络安全试题(9)解析
PushSafe
06-06 983
2021年全国职业院校技能大赛(中职) 网络安全竞赛试题 (9) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全加固 3
2019年中职网络空间安全赛项 福州市竞赛任务书
wanjia01的博客
11-11 3076
2020年中职网络空间安全赛项 福州市竞赛任务书 一、竞赛时间 共计:180分钟 二、竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 第一阶段单兵模式系统渗透测试 任务一 Nmap扫描渗透测试 100分钟 150 任务二 SSH弱口令渗透测试 150 任务三 Linux操作系统渗透测试 200 任务四 隐藏信息探索 200 备战阶段 攻防对抗准备工作 20分钟 0 第二阶段分对抗 系统加固 15分钟 300 渗透测试 45分钟 三、竞赛任务书内容 (一)拓扑图 (二)第一阶段任务书
2021年武汉市中等职业学校学生技能大赛“网络空间安全赛项技术规程
旺仔Sec&blog
10-19 4169
5. 当"/"->" Employee Message Board"->"Display Message"页面的访问者。1. 访问 WebServ2003 服务器场景, "/"->" Employee Message Board",分析。1. Web 访问 WebServ2003 服务器场景, "/"->" Display Directory",分析。8. 访问 WebServ2003 服务器场景, "/"->" Shopping Hall",分析该页面源。
2022年中职“网络安全赛项驻马店市竞赛任务书
武恩赐
02-12 283
2022年中职“网络安全赛项驻马店市竞赛任务书
2020年中职网络空间安全赛项 福州市竞赛任务书
11-11
2020年中职网络空间安全赛项福州市竞赛任务书详细规定了比赛内容,旨在提升参赛者的网络安全技能,包括系统渗透测试和攻防对抗等实战能力。 竞赛分为两个阶段:单兵模式与分对抗。单兵模式主要考核选手的...
2020年度中职网络空间安全赛项”辽宁省竞赛任务书
12-19
网络空间安全赛项】是针对中职学生的一项专业技能竞赛,旨在提升学生的网络信息安全技术和实战能力。竞赛内容包括网络连通、网络系统安全策略部署、网络安全运维以及系统渗透与对抗,强调团队协作和现场问题解决。...
2021中职“网络安全赛项浙江省任务书
12-09
2021中职“网络安全赛项浙江省任务书
2020年度中职网络空间安全赛项”湖北省竞赛任务书.docx
12-19
通过本项目竞赛,使中职学生能熟练运用网络信息安全技术 对网络、操作系统、应用、服务器等目标进行信息和数据安全防 护与渗透,具有分析、处理现场安全问题的能力,促进学生团队 协作实践能力,引导中等职业学校...
2020年中职网络空间安全赛项广西省竞赛任务书.docx
12-19
通过本项目竞赛,使中职学生能熟练运用网络信息安全技术 对网络、操作系统、应用、服务器等目标进行信息和数据安全防 护与渗透,具有分析、处理现场安全问题的能力,促进学生团队 协作实践能力,引导中等职业学校...
中职高职网络空间安全python题目源码
04-09
高职的也有 但是包含的不算多 包含: 端口扫描,arp dos,arp欺骗,arp数据监控,dic字典,dos land,ftp连接,mac地址泛红,mssql爆破,PCAP数据监控,ping扫描,socket远连,ssh连接,tcpdos
2018年中职网络空间安全赛项湖南省竞赛任务书.docx
06-04
2018年全国职业技能大赛中职网络空间安全赛项 湖南省竞赛任务书 这里网络空间安全比赛的题目,里面有一些答案和数据包
2022年中职“网络安全“江西省赛题—B-2:应用服务漏洞扫描与利用
weixin_57060854的博客
12-29 651
学习交流,或者遇到不会的可以+qq:3455475542。 服务器场景:Server2115(关闭链接)B-2:应用服务漏洞扫描与利用。 服务器场景操作系统:未知。
2021中职网络安全安徽省赛信息隐藏与探索
weixin_56846515的博客
12-30 212
省赛
2022年中职“网络安全赛项陕西省竞赛任务书
武恩赐
02-12 585
2022年中职“网络安全赛项陕西省竞赛任务书
中职网络安全2023年山东省赛zip文件破解
qq_57147160的博客
01-04 597
zip破解
中职网络安全大赛攻防阶段加固(仅供参考!!!)
qq_55961856的博客
05-28 8352
删除关机命令 rm -rf /sbin/shutdown rm -rf /sbin/init rm -rf /sbin/reboot 查看有哪些用户 cat /etc/passwd 删除用户 禁用用户 passwd -l username # 禁用用户 userdel usernmae # 删除用户 # 也可编辑/etc/passwd 文件,在不要的用户前加注释 iptables防火墙 # 先看要求开放的端口,如:21,22,23,80,3306 # 因为靶机上有各种各样的后门端口,一个
2022年中职网络安全国赛A模块题目解析
qq_57147160的博客
04-13 9173
2022年全国职业院校技能大赛(中职) 网络安全竞赛试题 (1) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名.
2023年中职网络空间安全赛项XX市竞赛任务书
最新发布
旺仔Sec&blog
05-06 1157
2023年中职网络空间安全赛项 XX市竞赛任务书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值