2020年中职组“网络空间安全”赛项天津市选拔赛竞赛任务书

      最后更新:2022-05-21 23:25:51 手机定位技术交流文章

      中级职业网络空间安全,2020年

      天津市市选拔竞赛团

      一、竞赛时间

      上午8时30分-下午11时30分至下午11时30分,共3小时

      二、竞赛阶段

      竞赛阶段

      任务阶段

      竞赛任务

      竞赛时间

      分值

      PVPV 模型系统渗透系统测试第1阶段

      任务一

      Nmap 渗透测试

      8:30-10:10

      150

      任务二

      SSH 门户过滤测试

      150

      任务三

      数据分析与取证

      200

      任务四

      网络爬虫渗透测试

      200

      备战阶段

      攻防对抗准备工作

      10:10-10:30

      0

      第二阶段分组对抗

      系统加固

      10:30-10:45

      300

      渗透测试

      10:45-11:30

      三、竞赛任务书内容

      (一)拓扑图

      (二) 第一阶段任务信函(700点)

      任务一:Nmap扫描渗透测试

      任务环境说明:

      • Linux用于服务器。
      • Linux(闭路链接)是服务器场景的操作系统。
      1. 在 TCP 同步中扫描 Linux 服务器场景( 使用工具 nmap、 参数 n、 所需参数), 通过 PC 中的 BT5 穿透测试平台进行扫描, 并使用命令中必须作为旗状提供的参数提交此操作 ;
      1. 在 TCP 同步中扫描 Linux 服务器场景( 使用工具 nmap、 参数 n、 所需参数), 在 PC 穿透测试平台的 BT5 上扫描, 并以旗状 的形式从结果的自下而上行 4 上提交服务器信息 ;
      1. 在 PC2 中扫描服务器现场 Linux 不使用的主机( 使用工具 nmap、 参数 n 、 所需参数), 并提交操作时使用命令中必须作为旗帜提供的参数 ;
      1. 通过PC2渗透测试平台的BT5扫描Linux非正在使用的主机服务器现场。使用参数n,您可以使用您必须使用的参数)以及显示自下而上结果的动作的行10中的“:”之后的编号作为国旗提交;
      1. 服务器假想 Linux UDP 扫描渗透测试,通过PC2中的BT5平台,仅扫描了53次。11 个端口(使用 nmap 工具,使用参数n,您可以使用您必须使用的参数)并将行动作为旗舰提交,结果显示11个港口的状况;
      1. 通过PC2中渗透测试平台BT5对服务器场景Linux进行滑动窗口扫描渗透测试(使用工具nmap,您可以使用您必须使用的参数)并将该操作使用命令中必须要使用的参数作为Flag提交;
      1. 使用 PC2 渗透测试平台中的 BT5 进行服务器现场 Linux 的 RPC 扫描渗透性测试(使用工具 nmap 和必须使用的参数),并使用命令中必须用作旗帜的参数提交操作;
      1. (a) 通过PC2渗透测试平台的BT5在服务器现场Linux(使用与所需设置相匹配的工具图)进行RPC扫描渗透性测试,并作为旗号提供自下而上线7的结果的服务版本;

      任务二:SSH 门户过滤测试

      任务环境说明:

      • Linux用于服务器。
      • Linux(闭路链接)是服务器场景的操作系统。
      1. zemap程序用于当地PC渗透测试平台BT5扫描主机IP地址以及服务器现场所在的Linux网络内指定的21、22和23个开放港口(例如24/24)。作为 FLAG 发送必须在操作命令中附加的字符串( 点亮 Pip 地址 );
      1. 使用当地个人计算机渗透测试平台BT5对服务器现场Linux进行系统服务和版本扫描渗透测试,并提交服务港信息,以作为FLAG提供SSH服务结果;
      1. 在当地个人电脑渗透测试平台BT5上,使用MSF模块、搜索命令和名称信息扫描薄弱的密码模块,作为FLAG。
      1. 基于上述问题,使用命令来援引模块。要查看需要指定的信息( 使用显示选项命令),作为 FLAG 输入在回声中定义的目标地址、密码中使用的伪字典、线索和账户配置参数字段(英文,用逗号分隔)。嗨,测试。..,..);
      1. 在 msf 模块中配置目标 IP 地址, 将配置命令的前两个字改为 FLAG 。
      1. 在 msf 模块中,指定密码字典,字典路径是/root/2.txt, 用户名称是测试爆炸以检索密码, 由此产生的密码将作为 FLAG 提交;
      1. 基于上一个问题, 测试用户目录中唯一的后缀是 。 bmp 图像的文件名字符串将使用 SSH 密码以 FLAG 发送到问题6 中接收的目标系统 。

      3. 数据分析和法证

      任务环境说明:

      • PC2001是服务器现场。
      • 密码: 123456 服务器用户名:
      1. 公司的网络系统有缺陷黑客被指控对公司系统进行一系列扫描和攻击。读取和分析 PC201 服务器数据包文件 C: Users PublicDocuments. pcapng中的 dimps,确定黑客的IP地址当黑客的IP地址作为旗号值提供时(例如:);
      1. Pcapng确定目标服务器的服务是否受到黑客使用工具进行的基于密码的暴力查点测试。(a) 以旗号价值(如77/88/99/166/188)提供从最大到最小的相匹配服务港口;
      1. 继续分析软件包文件 dump. pcapng 以确定目标服务器上黑客获得的基本信息。 作为旗号值, 请提供黑客可以访问的目标服务器的主机名 。
      1. Pcapng确定了黑客成功解密并使用服务版本号作为旗号的服务(例如5: 5) 1.. ten (10)提交
      1. 进一步检查包件文件倾弃处.pcapng 发现黑客在数据库中写了木马,将木马的字名作为旗牌价值(名称缺乏后缀);
      1. 黑客通过数据库创造了一匹木马, 提供了黑客写的一匹木马的连接码, 作为对包文件堆放的旗号价值生产者的检查。 Pcapeng透露黑客通过一个数据库创造了一匹木马, 提供了黑客作为旗号价值写的一匹木马的连接码。
      1. 继续分析包文件 dump. pcapng, 确定黑客在连接到一匹木马时看的哪个文件, 并提交黑客观点的文件名作为旗号值 ;
      1. 继续分析包件文件的垃圾处理情况 对不起 佩肯黑客可能已经发现了一个不寻常的用户 并使用一个加密和暴力的印记 重新渗透到目标系统上他在成功解码服务密码后登录服务器并下载照片。图像文件中的英文词以旗号值提交 。

      第四任务:基于网络的爬行动物渗透测试

      任务环境说明:

      • PC2001是服务器现场。
      • 密码: 123456 服务器用户名:
      1. 从目标服务器屏幕 C 向本地传输文件: 用户 PublicDownload 路径webcrawlpentest. Py 。这个故事是我们对2011年埃及抗议的特别报导的一部分。为了使软件能够测试对目标范围关键文件的批量访问,它必须首先获得网络爬行动物的能力。要完成此文档中丢失的 F1 字符串,此字符串应作为旗号值发送 。
      1. 继续编辑命名为webcrawlpentest.py的Python程序文件,使该程序实现网络爬虫渗透测试,批量获取Flag文件的功能,填写该文件当中空缺的F2字符串,此字符串应作为旗号值发送 。
      1. 继续编辑命名为webcrawlpentest.py的Python程序文件,为了使软件能够测试对目标范围关键文件的批量访问,它必须首先获得网络爬行动物的能力。填写该文件当中空缺的F3字符串,此字符串应作为旗号值发送 。
      1. 继续编辑命名为webcrawlpentest.py的Python程序文件,为了使软件能够测试对目标范围关键文件的批量访问,它必须首先获得网络爬行动物的能力。填写该文件当中空缺的F4字符串,此字符串应作为旗号值发送 。
      1. 继续编辑命名为webcrawlpentest.py的Python程序文件,为了使软件能够测试对目标范围关键文件的批量访问,它必须首先获得网络爬行动物的能力。填写该文件当中空缺的F5字符串,此字符串应作为旗号值发送 。
      1. 继续编辑命名为webcrawlpentest.py的Python程序文件,为了使软件能够测试对目标范围关键文件的批量访问,它必须首先获得网络爬行动物的能力。填写该文件当中空缺的F6字符串,此字符串应作为旗号值发送 。
      1. 继续编辑命名为webcrawlpentest.py的Python程序文件,为了使软件能够测试对目标范围关键文件的批量访问,它必须首先获得网络爬行动物的能力。填写该文件当中空缺的F7字符串,将该字符串作为Flag值提交。

      (300) 第二阶段任务信函

      如果这些玩家是电子商务公司的信息安全工程师,并负责保护企业的特定服务器,服务器可能存在缺陷和空白。 您必须尽快保护服务器, 否则其它团队将在15分钟内渗透到服务器中。

      请使用PC Google浏览器使用第二阶段实地参数表格中提供的信息连接到外地平台。

      目标服务器环境描述 :

      假设1: Linux 2019(无法打开控制表运行目标机器,只能访问目标机器的IP,播放器需要其他强化方法),服务器操作系统:CentOS(没有可转换的版本);

      注意事项:

      一(b) 不得攻击法官的服务器,如果在警告后继续攻击,小组必须离开。

      2. 每个目标服务器的旗帜值分别贴上标记,每个目标服务器只贴上一个标记。

      在文件/root/flagvalue.txt或C:flagvalue.txt中保存目标服务器的3个炉渣值;

      四.(a) 在进入自动评级系统后,提供反目标服务器的旗号价值以及反目标服务器的IP地址。

      5个不能由Linux 2019关闭的港口是21、22、23和80。

      第六,该系统需要得到加强,以确保目标机器能够提供外部服务,外部服务只能按配置而不是内容加以调整;

      如果不能完成,这是对峙。

      以下是一些潜在差距的例子:

      一. 服务员的差距可以是经常性的或系统性的;

      目标服务器网站在指令注射中可能有窃听器, 要求播放器发现并利用指令注射中适用的缺陷, 以获得特定的权利 。

      目标服务器网站可能包含一个文件上传空白, 要求播放器发现和利用相应的文件上传问题, 以获得特定的权利 。

      四. 目标服务器网站可能存在漏洞,要求参与者发现文件中的相关空白,并将其与其他空白结合起来,以获取和推进特定特权。

      五. 操作系统的服务在远程代码执行方面可能存在差距,要求用户确定远程代码执行服务,并利用这一差距获得系统特权。

      六. 操作系统的服务在缓冲区内可能出现渗漏,需要使用者探测和使用缓冲区内的渗漏,才能进入该系统。

      七. 操作系统中可能有一个系统后门,播放器可以找到和利用该系统直接进入该系统。

      本文由 在线网速测试 整理编辑,转载请注明出处,原文链接:https://www.wangsu123.cn/news/25689.html

          热门文章

          文章分类