中职网络安全成都赛前培训样题(1)

编程语言 2022-06-15 01:33:06 阅读次数: 0

2020年中职组“网络空间安全”赛项

竞赛任务书

一、竞赛时间

8:30-11:30,共计3小时。

二、竞赛阶段

竞赛阶段

任务阶段

竞赛任务

竞赛时间

分值

第一阶段单兵模式系统渗透测试

任务一

文件MD5校验

8:30-10:10

150

任务二

MYSQL信息收集

150

任务三

数据分析数字取证

150

任务四

Windows操作系统渗透测试

150

任务五

HASH算法的基本使用

150

备战阶段

攻防对抗准备工作

10:10-10:30

0

第二阶段分组对抗

系统加固

10:30-10:45

300

渗透测试

10:45-11:30

三、竞赛任务书内容

(一)拓扑图

(二)第一阶段任务书(700分)

任务一:文件MD5校验

任务环境说明:

  • 服务器场景:CentOS6.8(用户名:root;密码:123456)
  • 服务器场景操作系统:CentOS6.8
  • 服务器场景操作系统安装服务:HTTP
  • 服务器场景操作系统安装服务:MYSQL
  • 渗透机场景:kali
  • 渗透机用户名:root,密码:toor
  1. 进入虚拟机操作系统:CentOS 6.8中的/root目录,找到test.txt文件,并使用md5sum工具来计算出该文件的md5值,并将计算该文件md5的命令的字符串作为flag进行提交;md5sum test.txt

  1. 进入虚拟机操作系统:CentOS 6.8中的/root目录,找到test.txt文件,并使用md5sum校验工具来计算出该文件的md5值,并将计算该文件得到的md5值的字符串中前6位作为flag进行提交;170ecb

  1. 进入虚拟机操作系统:CentOS 6.8中的/root目录,将test.txt文件的文件名称改为txt.txt,然后再使用md5sum工具计算txt.txt文件的md5值,并将计算该文件得到的md5值的字符串中前5位数字和之前test.txt文件md5值的字符串中前5位数字相减的结果作为flag进行提交;

  1. 进入虚拟机操作系统:CentOS 6.8,使用md5sum工具来计算/etc/passwd文件的md5值,并将改md5值导入到passwd.md5文件中,并将该命令的字符串作为flag进行提交;

 

  

  1. 进入虚拟机操作系统:CentOS 6.8,创建一个新的用户,用户名为user6,密码为123456。再次计算/etc/passwd的md5值,并将该值与passwd.md5文件中的值进行对比,并将添加用户后/etc/passwd文件的md5值的字符 串中前三位数字和之前/etc/passwd文件md5值的字符串中前三位数字相减的结果作为flag进行提交。

任务二:MYSQL信息收集

任务环境说明:

  • 服务器场景名称:MySql03
  • 服务器场景操作系统:Microsoft Windows2003 Server
  • 服务器场景用户名:admin;密码:未知
  • 渗透机场景:kali
  • 渗透机用户名:root,密码:toor
  1. 通过PC(虚拟机:Kali)中渗透测试工具对服务器场景MySql03进行服务信息扫描渗透测试(使用工具nmap,使用必须要使用的参数),并将该操作显示结果中数据库版本信息作为flag提交;

Nmap -sV -p3306 ip地址

  1. 通过PC(虚拟机:Kali)中渗透测试工具对服务器场景MySQL03的数据库进行暴力破解,并将数据库的密码作为flag提交;(字典/root/mysql03)

  1. 通过PC(虚拟机:Kali)中对服务器场景MySql03的数据库进行远程连接,并将数据库中库的数量作为flag提交;

  1. 通过PC(虚拟机:Kali)中对服务器场景MySql03的数据库进行状态查询,并将数据库状态中的版本作为flag提交;

  1. 通过PC(虚拟机:Kali)对服务器场景MySql03中数据库进行查询当前使用的数据库,并将数据库名称作为flag提交;

  1. 通过PC(虚拟机:Kali)对服务器场景MySql03中数据库进行数据库的所有用户信息查询,并将倒数第二个用户名作为flag提交;

  1. 通过PC(虚拟机:Kali)对服务器场景MySql03中数据库进行数据文件存放路径查询,并将存放路径作为flag提交;

任务三:数据分析数字取证-attack

任务环境说明:

  • 渗透机场景:Windows 7

  • 渗透机场景用户名:administrator,密码:123456
  1. 使用Wireshark查看并分析虚拟机Windows 7桌面下的attack.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户的IP地址,并将恶意用户的IP地址作为FLAG(形式:[IP地址])提交:

  1. 继续查看数据包文件attack.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交:

  1. 继续查看数据包文件attack.pacapng分析出恶意用户最终获得的用户名是什么,并将用户名作为FLAG(形式:[用户名])提交:

  1. 继续查看数据包文件attack.pacapng分析出恶意用户最终获得的密码是什么,并将密码作为FLAG(形式:[密码])提交:

  1. 继续查看数据包文件attack.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为FLAG(形式:[一句话密码])提交:

  1. 继续查看数据包文件attack.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为FLAG(形式:[文件名.后缀名])提交:

  1. 继续查看数据包文件attack.pacapng将恶意用户下载的文件里面的内容作为FLAG(形式:[文件内容])提交:找到文件提取桌面打开

任务四:Windows操作系统渗透测试

任务环境说明:

  • 服务器场景:PYsystemZJW
  • 服务器场景操作系统:Windows(关闭链接)
  1. 通过本地PC中渗透测试平台Kali对服务器场景PYsystemZJW进行系统服务及版本扫描渗透测试,并将该操作显示结果中445端口对应的服务版本信息字符串作为FLAG提交;

  1. 通过本地PC中渗透测试平台Kali对服务器场景PYsystemZJW进行渗透测试,将该场景网络连接信息中的DNS信息作为FLAG提交;(例如114.114.114.114)

  1. 通过本地PC中渗透测试平台Kali对服务器场景PYsystemZJW进行渗透测试,将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文件名称作为FLAG提交;

  1. 通过本地PC中渗透测试平台Kali对服务器场景PYsystemZJW进行渗透测试,将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文档内容作为FLAG提交;

  1. 通过本地PC中渗透测试平台Kali对服务器场景PYsystemZJW进行渗透测试,将该场景桌面上222文件夹中唯一一个图片中的英文单词作为FLAG提交;

  1. 通过本地PC中渗透测试平台Kali对服务器场景PYsystemZJW进行渗透测试,将该场景中的当前最高账户管理员的密码作为FLAG提交;

  1. 通过本地PC中渗透测试平台Kali对服务器场景PYsystemZJW进行渗透测试,将该场景中回收站内文件的文档内容作为FLAG提交。

任务五:HASH算法的基本使用

任务环境说明:

  • 服务器场景:A-Server
  • 服务器场景操作系统:Linux
  • 服务器用户名:root;密码:123456
  • 渗透机操作系统:kali
  • 渗透机用户名:root;密码:123456
  1. 通过服务器场景(A-Server),进行HASH算法的基本使用。将123456作为openssl  md5 的输入参数,使用 123456进行md5计算并将内容输出到屏幕。将此命令中输出结果的命令作为flag提交;

  1. 通过服务器场景使用不同的加密方式对123456进行加密,对比两个加密字符串有何不同。使用SHA的加密方式,将生成的字符串最后四位当做flag进行提交;

  1. 通过服务器场景使用md5 校验文件是否被更改,生成文件in.txt并在文件中写入hello world,计算此文件内的MD5值,将此md5值后4位作为flag提交;

  1. 通过服务器场景修改文件,用vi编辑in.txt 将内容改成  hello world ya,再次通过md5进行计算,将此字符串后4位当做flag进行提交;

  1. 通过服务器场景对比相似字符串的加密验证,对字符串abc1进行md5计算,将此md5值的最后4位当做flag提交;

  1. 通过服务器场景对字符串abc12进行md5计算,对比上题的结果,验证md5加密是否存在规律,将此md5值的最后4位当做flag进行提交。

     

(三)第二阶段任务书(300)

各位选手是某公司的系统安全管理员,负责服务器(受保护服务器IP、管理员账号见现场发放的参数表)的维护,该服务器可能存在着各种问题和漏洞(见漏洞列表)。你需要尽快对服务器进行加固,十五分钟之后将会有很多黑客对这台服务器进行攻击。

提示:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;需要加固常规漏洞;并对其它参赛队系统进行渗透测试,取得FLAG值并提交到裁判服务器。

十五分钟之后,各位选手将真正进入分组对抗环节。

注意事项:

注意1:任何时候不能人为关闭服务器常用服务端口(21、22、23、80),系统自动判定扣分。

注意2:不能对裁判服务器进行攻击,否则将判令停止比赛,第二阶段分数为0分。

注意3:在加固阶段(前十五分钟,具体听现场裁判指令)不得对任何服务器进行攻击,否则将判令攻击者停止比赛,第二阶段分数为0分。

注意4:FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅有一个。

在渗透测试环节里,各位选手需要继续保护你的服务器免受各类黑客的攻击,你可以继续加固你的服务器,你也可以选择攻击其他组的保护服务器。

漏洞列表如下:

1. 靶机上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限。

2. 靶机上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限

3. 靶机上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权

4. 操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限。

5. 操作系统提供的服务可能包含了缓冲区溢出漏洞,要求用户找到缓冲区溢出漏洞的服务,并利用此漏洞获取系统权限。

6. 操作系统中可能存在一些系统后门,选手可以找到此后门,并利用预留的后门直接获取到系统权限。

选手通过以上的所有漏洞点,最后得到其他选手靶机的最高权限,并获取到其他选手靶机上的FLAG值进行提交。

猜你喜欢

转载自blog.csdn.net/qq_50377269/article/details/124431772
今日推荐
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
【转】spring中对控制反转和依赖注入的理解
tms webcore 安装和使用
java程序员进阶相关书籍
SpringMVC接受请求参数、
如何保存训练好的机器学习模型
MyEclipse、Eclipse设置项目JDK的三个地方
商超行业微信小程序开发定制一般多少钱 (行业技术人员解读)
Markdown编辑器语言——30分钟入门到到精通
Linux系统下MongoDB的简单安装与基本操作
Power Strings
每日归档
更多
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022