2022(i)年中职业“网络安全”竞赛的主题

竞赛任务书-A

一、竞赛时间

共计：180分钟

二、竞赛阶段

三、竞赛任务书内容

• 第一阶段任务函(700点)

数据库服务渗透测试是第一项任务。

任务环境说明：

• 服务器 2101 是服务器现场 。
• 服务器现场操作系统:未知(连接已关闭)

1. 通过分析目标服务器的 2101 页面信息并查找错误页面,WEB 服务的 SQL 有害页面的页面名称以旗号发送 。
2. 使用当地个人电脑渗透测试平台Kali对目标计算机进行SQL注射攻击,以收集关于目标机器的数据库信息,该目标机器将作为持有WEB服务数据库名称的旗号提供;
3. 使用当地个人电脑渗透测试工具Kali对目标计算机进行SQL注射攻击,以收集目标机器的数据库信息。 目标机器将使用存储WEB服务用户的表格名称作为旗帜发送。
4. 使用当地个人电脑渗透测试平台的Kali对目标系统进行SQL注射攻击,以收集目标机器的数据库信息。 目标机器将用WEB着陆用户管理员的明确密码作为旗帜发送;

任务二：Wiresark对数据集的分析

任务环境说明：

• FTP Server 220223是服务器现场。
• 服务器现场操作系统:未知(连接已关闭)
• 密码: eirsark0051 FTP 用户名: eirsark0051

1. 从目标服务器的 FTP 下载 eirsark0011 数据包文件 。发现黑客成功访问目标服务器FTP的账户代码 。黑客的账户代码是旗号值(用英语将用户名与密码用逗号分隔开来)。例如, root, toror) ;
2. 继续分析数据包wisark0051.pcap, 使用获得的账户密码确定黑客进入FTP的时间, 并以旗值提交破入FTP的时间( 例如( 14: 22: 08) )
3. 继续分析数据包wisark0051.pcap, 确定黑客在连接 FTP 服务器时收到的 FTP 服务版本号, 并提供 FTP 服务号作为旗值获取 。
4. 继续分析数据包 wisark0051. pcap, 以便发现黑客在成功登入 FTP 服务器并将执行的命令作为旗号值提交后执行的第一个命令 。
5. 继续分析数据包 wisark0051.pcap, 以便识别黑客成功进入 FTP 站点后下载的关键文件, 并将下载文件的名称作为旗号值发送 ;
6. 我不确定,pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap,通过暴力黑入目标服务器Telnet服务,我们得以识别成功获得的用户名和密码。作为旗号值,用户姓名和密码与用户密码分开(用户姓名与密码分开,用英文用逗号)。例如, root, toror) ;
7. 我不确定,pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap,找出黑客在服务器网站根目录下添加的文件，并将该文件的文件名称作为Flag值提交；
8. 我不确定,pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap, pap,找出黑客在服务器系统中添加的用户，并将添加的用户名与密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交。

任务三：Windows操作系统穿透测试

任务环境说明：

• 服务器 2105 是服务器现场。
• 服务器现场操作系统: Windows( 版本不可用)

1. (a) 利用当地PC渗透测试平台Kali对服务器场景进行系统服务和版本扫描渗透测试,并将与调查结果445港相对应的服务版本信息字符串作为旗号价值提交。
2. 利用当地个人计算机插入测试方案Kali对服务器的渗透情况进行了检查,并提供了来自网站网络连接的DNS信息,作为旗帜值(例如:);
3. 与当地PC渗透测试平台Kali一起对服务器现场进行过滤测试,使用当前最高账户管理人在现场的密码作为旗号值;
4. 服务器场景由本地PC渗透测试平台Kali过滤,桌面上11个文件夹中唯一的后缀是桌面上的后缀。
5. 服务器场景由本地PC渗透测试平台Kali过滤,桌面上11个文件夹中唯一的后缀是桌面上的后缀。
6. 使用当地个人电脑插入测试平台Kali对服务器场景进行了渗透检查,桌面上现场22个文件夹中的英文短语以旗号值提供。

任务四:系统渗漏和应享权利的使用

任务环境说明：

• PYsystem001是服务器现场。
• Ubuntu(显示链接)是服务器现场操作系统。
• 未知的服务器用户名密码:未知

1. (a) 使用nmap扫描仪系统,将目标开放端口号按大小顺序发送为FLAG(表格:[港口1号、港口2号、..、港口n号];
2. 通过上述港口进入目标系统,记录使用薄弱的密码,并以FLAG(表格:[用户名、密码])发送正确的用户名和密码;
3. (a) 使用Kali渗透器产生一匹耐火木马,第4行的第一个字产生执行后的提醒,提醒注意木木马订单以FLAG形式提交(表格:[字 );
4. 上述木马文件已经更新并上载到目标系统,无国界医生能够监听,目前收集的用户名以FLAG(表格:[用户名]提供;
5. 见该系统核版本的详细情况,并将系统的核版本编号作为FLAG(格式:[版本号];
6. (a) 搜索Kali攻击机器,查找可用泄漏源代码,并提供已查明的泄漏源文件名称FLAG(表格:[文件名称];
7. 唯一使用目标/ root 下方的泄漏代码检索到的文件。 txt 文档的文件名以 FLAG (表格: [文件名] 提供 ;
8. 目标/根部内唯一利用上述空白源代码获得的物品。 txt 文档的文件内容以FLAG(表格:[文件内容])提供。

任务五：网页渗透

任务环境说明：

• 服务器位置: Server2120
• 未知( 关闭目标) 服务器现场操作系统
• 密码: 未知用户名: 未知

1. 访问服务器的主页,并预测该页面后台数据库中使用的图书馆名称长度,该数据库将作为国旗发送。
2. 转到服务器的主页, 猜猜后台数据库中此页面使用的库名, 并将此名称作为国旗提交 。
3. 访问服务器的主页,估计后台数据库中本页使用的表格名称长度,并将该长度作为国旗发送;
4. 访问服务器的主页, 猜测此页面使用的后台数据库表格名称, 并提交该名称为国旗 。
5. 访问服务器的主页, 猜测后台数据库中第二个应用程序的名称, 并将其作为国旗提交 。
6. 访问服务器的主页, 猜测后台数据库中的 ID 1 用户名, 并提交用户名为国旗 。

(300) 第二阶段任务信函

如果这些玩家是电子商务公司的信息安全工程师,并负责保护企业的特定服务器,服务器可能存在缺陷和空白。 您必须尽快保护服务器, 否则其它团队将在15分钟内渗透到服务器中。

请使用PC Google浏览器使用第二阶段实地参数表格中提供的信息连接到外地平台。

目标服务器环境描述 :

HZLinux是第一种情况。

HZWindows是第二种情况。

注意事项：

一(b) 不得攻击法官的服务器,如果在警告后继续攻击,小组必须离开。

2. 每个目标服务器的旗帜值分别贴上标记,每个目标服务器只贴上一个标记。

在文件/root/flagvalue.txt或C:flagvalue.txt中保存目标服务器的3个炉渣值;

四.(a) 在进入自动评级系统后,提供反目标服务器的旗号价值以及反目标服务器的IP地址。

五. 该系统需要得到加强,以确保外部服务的目标机器可供使用,外部服务只能按配置而不是内容加以调整;

第六,如果不完成,这是对峙。

以下是一些潜在差距的例子:

一. 服务员的差距可以是经常性的或系统性的;

目标服务器网站在指令注射中可能有窃听器, 要求播放器发现并利用指令注射中适用的缺陷, 以获得特定的权利 。

目标服务器网站可能包含一个文件上传空白, 要求播放器发现和利用相应的文件上传问题, 以获得特定的权利 。

四. 目标服务器网站可能存在漏洞,要求参与者发现文件中的相关空白,并将其与其他空白结合起来,以获取和推进特定特权。

五. 操作系统的服务在远程代码执行方面可能存在差距,要求用户确定远程代码执行服务,并利用这一差距获得系统特权。

六. 操作系统的服务在缓冲区内可能出现渗漏,需要使用者探测和使用缓冲区内的渗漏,才能进入该系统。

七. 操作系统中可能有一个系统后门,播放器可以找到和利用该系统直接进入该系统。

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/24114.html。