2023年宜昌市中職組“網(wǎng)絡(luò)安全”賽項

競賽任務(wù)書-2

一、競賽時間

總計：180分鐘

二、競賽階段

三、競賽任務(wù)書內(nèi)容

（一）拓撲圖

?

（二）第一階段任務(wù)書（700分）

任務(wù)一：Windows操作系統(tǒng)滲透測試

任務(wù)環(huán)境說明：

• 服務(wù)器場景：Server2105
• 服務(wù)器場景操作系統(tǒng)：Windows（版本不詳）（關(guān)閉連接）

1. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行系統(tǒng)服務(wù)及版本掃描滲透測試，并將該操作顯示結(jié)果中445端口對應(yīng)的服務(wù)版本信息字符串作為Flag值提交；
2. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景網(wǎng)絡(luò)連接信息中的DNS信息作為Flag值 (例如：114.114.114.114) 提交；
3. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景中的當(dāng)前最高賬戶管理員的密碼作為Flag值提交；
4. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景桌面上111文件夾中唯一一個后綴為.docx文件的文件名稱作為Flag值提交；
5. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景桌面上111文件夾中唯一一個后綴為.docx文件的文檔內(nèi)容作為Flag值提交；
6. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景桌面上222文件夾中唯一一個圖片中的英文單詞作為Flag值提交；

任務(wù)二：Linux操作系統(tǒng)滲透測試

任務(wù)環(huán)境說明：

• 服務(wù)器場景：Server2106（關(guān)閉連接）
• 服務(wù)器場景操作系統(tǒng)：Linux（版本不詳）

1. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景/var/www目錄中唯一一個后綴為.bmp文件的文件名稱作為Flag值提交；
2. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景/var/www目錄中唯一一個后綴為.bmp的圖片文件中的英文單詞作為Flag值提交；
3. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景/var/vsftpd目錄中唯一一個后綴為.docx文件的文件名稱作為Flag值提交；
4. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景/var/vsftpd目錄中唯一一個后綴為.docx文件的文件內(nèi)容作為Flag值提交；
5. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景/home/guest目錄中唯一一個后綴為.pdf文件的文件名稱作為Flag值提交；
6. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景/home/guest目錄中唯一一個后綴為.pdf文件的文件內(nèi)容作為Flag值提交；
7. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景/root目錄中唯一一個后綴為.txt文件的文件名稱作為Flag值提交；
8. 通過本地PC中滲透測試平臺Kali對服務(wù)器場景進行滲透測試，將該場景/root目錄中唯一一個后綴為.txt文件的文件內(nèi)容作為Flag值提交。

任務(wù)三：數(shù)據(jù)包分析

任務(wù)環(huán)境說明：

• 服務(wù)器場景：FTPServer1124
• 服務(wù)器場景操作系統(tǒng)：未知（關(guān)閉連接）
• FTP用戶名：infiltration密碼：infiltration

1. 登錄FTP下載數(shù)據(jù)包文件infiltration.pacapng，找出惡意用戶的IP地址，并將惡意用戶的IP地址作為Flag（形式：[IP地址]）提交；
2. 分析出惡意用戶掃描了哪些端口，并將全部的端口作為Flag（形式：[端口名1，端口名2，端口名3…，端口名n]）從低到高提交；
3. 惡意用戶最終獲得靶機的密碼是什么，并將密碼作為Flag（形式：[用戶名]）；
4. 找出目的不可達的數(shù)據(jù)數(shù)量，并將目的不可達的數(shù)據(jù)數(shù)量作為Flag（形式：[數(shù)字]）提交；
5. 分析出惡意用戶使用的最后一個一句話木馬的密碼是什么，并將一句話密碼作為Flag（形式：[一句話密碼]）提交；
6. 分析出被滲透主機的服務(wù)器系統(tǒng)OS版本全稱是什么是，并將OS版本全稱作為Flag（形式：[服務(wù)器系統(tǒng)OS版本全稱]）提交；

任務(wù)四：隱藏信息探索

任務(wù)環(huán)境說明：

• 服務(wù)器場景：FTPServer1124（關(guān)閉連接）
• FTP用戶名：Steganography密碼：Steganography

1. 從靶機服務(wù)器的FTP上下載文件，找出隱寫文件夾1中的文件，將文件中的隱藏信息作為Flag值提交；
2. 找出隱寫文件夾2中的文件，將文件中的隱藏信息作為Flag值提交；
3. 找出隱寫文件夾3中的文件，將文件中的隱藏信息作為Flag值提交；
4. 找出隱寫文件夾4中的文件，將文件中的隱藏信息作為Flag值提交；
5. 找出隱寫文件夾5中的文件，將文件中的隱藏信息作為Flag值提交。

任務(wù)五：網(wǎng)頁滲透

任務(wù)環(huán)境說明：

• 服務(wù)器場景：Server2127
• 服務(wù)器場景操作系統(tǒng)：未知（關(guān)閉鏈接）

1. 訪問服務(wù)器網(wǎng)站目錄1，根據(jù)頁面信息完成條件，將頁面中的flag提交；
2. 訪問服務(wù)器網(wǎng)站目錄2，根據(jù)頁面信息完成條件，將頁面中的flag提交；
3. 訪問服務(wù)器網(wǎng)站目錄3，根據(jù)頁面信息完成條件，將頁面中的flag提交；
4. 訪問服務(wù)器網(wǎng)站目錄4，根據(jù)頁面信息完成條件，將頁面中的flag提交；
5. 訪問服務(wù)器網(wǎng)站目錄5，根據(jù)頁面信息完成條件，將頁面中的flag提交；
6. 訪問服務(wù)器網(wǎng)站目錄6，根據(jù)頁面信息完成條件，將頁面中的flag提交；

• 第二階段任務(wù)書（300）

假定各位選手是某電子商務(wù)企業(yè)的信息安全工程師，負責(zé)企業(yè)某些服務(wù)器的安全防護，該服務(wù)器可能存在著各種問題和漏洞。你需要盡快對該服務(wù)器進行安全加固，15分鐘之后將會有其它參賽隊選手對這些服務(wù)器進行滲透。

根據(jù)《賽場參數(shù)表》提供的第二階段的信息，請使用PC的谷歌瀏覽器登錄實戰(zhàn)平臺。

靶機服務(wù)器環(huán)境說明：

場景1：HZBJ，（封閉靶機）；

注意事項：

1.不能對裁判服務(wù)器進行攻擊，警告一次后若繼續(xù)攻擊將判令該參賽隊離場；

2.Flag值為每臺靶機服務(wù)器的唯一性標識，每臺靶機服務(wù)器僅有1個；

3.靶機服務(wù)器的Flag值存放在/root/flagvalue.txt文件或C:\flagvalue.txt文件中；

4.在登錄自動評分系統(tǒng)后，提交對手靶機服務(wù)器的Flag值，同時需要指定對手靶機服務(wù)器的IP地址；

5.系統(tǒng)加固時需要保證靶機對外提供服務(wù)的可用性，服務(wù)只能更改配置，不允許更改內(nèi)容；

6.本環(huán)節(jié)是對抗環(huán)節(jié)，不予補時。

可能的漏洞列表如下：

1.服務(wù)器中的漏洞可能是常規(guī)漏洞也可能是系統(tǒng)漏洞；

2.靶機服務(wù)器上的網(wǎng)站可能存在命令注入的漏洞，要求選手找到命令注入的相關(guān)漏洞，利用此漏洞獲取一定權(quán)限;

3.靶機服務(wù)器上的網(wǎng)站可能存在文件上傳漏洞，要求選手找到文件上傳的相關(guān)漏洞，利用此漏洞獲取一定權(quán)限;

4.靶機服務(wù)器上的網(wǎng)站可能存在文件包含漏洞，要求選手找到文件包含的相關(guān)漏洞，與別的漏洞相結(jié)合獲取一定權(quán)限并進行提權(quán);

5.操作系統(tǒng)提供的服務(wù)可能包含了遠程代碼執(zhí)行的漏洞，要求用戶找到遠程代碼執(zhí)行的服務(wù)，并利用此漏洞獲取系統(tǒng)權(quán)限;

6.操作系統(tǒng)提供的服務(wù)可能包含了緩沖區(qū)溢出漏洞，要求用戶找到緩沖區(qū)溢出漏洞的服務(wù)，并利用此漏洞獲取系統(tǒng)權(quán)限;

7.操作系統(tǒng)中可能存在一些系統(tǒng)后門，選手可以找到此后門，并利用預(yù)留的后門直接獲取到系統(tǒng)權(quán)限。文章來源地址http://www.zghlxwxcb.cn/news/detail-442478.html

到了這里，關(guān)于2023年宜昌市中職組“網(wǎng)絡(luò)安全”賽項競賽任務(wù)書-2的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！