超级会员免费看
本文详细介绍了2021年江西省职业院校技能大赛“网络安全”项目中涉及的Web渗透测试任务,包括登录安全加固、系统漏洞利用、流量分析等多个环节。参赛者需使用Kali Linux对靶机进行渗透,寻找并利用文件上传漏洞,以获取WEB权限,如通过WHOAMI命令验证权限,或通过查看系统文件获取特定用户信息等。
2021年职业院校技能大赛“网络安全”项目
江西省比赛任务书
一、竞赛时间
总计:420分钟
二、竞赛阶段
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
A模块 A-1 登录安全加固 180分钟 200分
A-2 Web安全加固(Web)
A-3 流量完整性保护与事件监控(Web,Log)
A-4 防火墙策略
A-5 Windows操作系统安全配置
A-6 Linux操作系统安全配置
B模块 B-1 系统漏洞利用与提权 400分
B-2 Linux操作系统渗透测试
B-3 应用服务漏洞扫描与利用
B-4 SQL注入测试(PL)
B-5 应急响应
B-6 流量分析
B-7 渗透测试
B-8 Web渗透测试
B-9 Windows操作系统渗透测试
B-10 网页渗透-21
午餐 午餐 60分钟 0
C、D模块 C模块 CTF夺旗-攻击 180分钟 200分
D模块 CTF夺旗-防御 200分
任务环境说明:
服务器场景:Server03
服务器场景操作系统:未知(关闭连接)
- 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,将文件上传成功后的页面回显字符串作为Flag提交(如:点击超链接查看上传文件)
写入GET马进行文件上传
上传成功后会回显字符串
- 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用WHOAMI获取WEB当前的用户权限,并作为Flag进行提交;
按照视频所渗透即可
传进去GET 木马 直接 whoami 查看用户权限即可
GET马 payload 构设
http://172.16.1.113/uploads/uploads/webshell.php?cmd=system(whoami); - 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用相关指令获取到当前linux用户UID为5的用户,将该用户的用户名称作为Flag进行提交;
传进去GET 木马 直接 cat /etc/passwd 查看id为5的用户即可
GET马 payload 构设
http://172.16.1.113/uploads/uploads/webshell.php?cmd=system(cat /etc/passwd); - 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用相关指令查看后台首页文件,将该文件的第二行的所有字符串作为Flag进行提交;
cat index.php
然后找到第二行的所有字符串即可
GET马 payload 构设
http://172.16.1.113/uploads/uploads/webshell.php?cmd=system(cat index.php);
扫一扫
715
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
