蓝桥杯网络安全组竞赛

竞赛规则及说明

选拔赛时长:4h

决赛时长:4h

竞赛形式:线上比赛:

个人赛:一人一机,全程机考

大赛制定竞赛系统,在时间内提交答案到比赛系统,超时无法提交

机器环境:

电脑自带摄像头,系统为windows或者macos(监控平台的浏览器插件只支持win系统,若用mac电脑,需要使用win虚拟机进行身份核验)

选手自带答题所需安全工具,选手可以使用任意工具进行竞赛

安全工具示例:(包括但不限于)

● 浏览器:Chrome 100 以上版本 / Firefox 100 以上版本

● 虚拟机:Kali Linux

● 语言环境:Python2.7、Python3.7、Java8 以上、phpstudy(配置多版本的 php)

● web 工具:BurpSuite、AntSword、phpstorm、hackbar、dirsearch

● 二进制工具:pwntools、IDA pro、findcrypt(ida 插件)

● Crypto 工具:PyCrypto、numpy、gmpy2、CyberChef

● 杂项工具:wireshark、volatility、FTK Imager、010editor、winhex;

参赛选手可根据不同机型及操作系统自行选择录屏软件(推荐使用 EVCapture 录屏软件、obs

录屏软件、Mac 自带录屏软件 Quicktime 等)。参赛选手需在赛前进行下载安装及调试,比赛前

不再提供下载安装及调试时间。如因参赛选手的个人原因未及时下载安装,导致比赛时间耽搁或

比赛成绩无效,责任由选手自行承担。参赛选手只能在参赛电脑的操作系统上录屏,录屏不能在

远程登录的系统或虚拟机中进行录屏;如参赛选手在解题过程中涉及分屏或多屏操作,则所有屏

幕均需录制。

试题形式:

竞赛题目类型为综合应用题,具体题型及题目数量以正式比赛时赛题为准,根据选手所提交的答案的测评结果为评分依据。

综合应用考察选手的网络安全实战能力,将网安新兴技术,有缺陷单的环境,数据流量等转换为赛题供选手进行分析,没到题目通过预置漏洞的方式来验证选手威胁发现的专业能力。比赛过程中,选手将通过平台进行赛题信息的查看、附件下载、赛题环境下发等操作。选手获取题目后通过代码审计,资产收集,端口扫描,程序分析等形式,从赛题环境中获得遗传具有特定格式的字符串一般称为flag,将其提交给平台,从而获得该题分数。

试题考查范围:包括但不限于,web漏洞挖掘与利用,操作系统安全,数据库安全,二进制程序逆向分析,代码审计,情报收集等。

使用平台自动评分。

样题

样题 :代码审计获取权限(综合应用题)

【问题描述】

平台下发了一个网站环境,选手通过代码审计发现其中存在的漏洞,上传一句话木马后即可

获得网站权限。

【答案提交】

1.审计发现在

shuipf/Application/Template/Controller/StyleController.class.php

的 add 函数中可以写文件:

2.写入一句话木马 payload:

3.通过一句话木马直接读取位于根目录下的 flag

相关推荐
Jasmin Tin Wei3 小时前
蓝桥杯 web 学海无涯(axios、ecahrts)版本二
前端·蓝桥杯
zhu12893035563 小时前
网络安全的重要性与防护措施
网络·安全·web安全
渗透测试老鸟-九青3 小时前
面试经验分享 | 成都渗透测试工程师二面面经分享
服务器·经验分享·安全·web安全·面试·职场和发展·区块链
SheepMeMe4 小时前
蓝桥杯2024省赛PythonB组——日期问题
python·算法·蓝桥杯
随便昵称4 小时前
蓝桥杯专项复习——前缀和和差分
c++·算法·前缀和·蓝桥杯
脑子慢且灵4 小时前
蓝桥杯冲刺:一维前缀和
算法·leetcode·职场和发展·蓝桥杯·动态规划·一维前缀和
姜威鱼4 小时前
蓝桥杯python编程每日刷题 day 21
数据结构·算法·蓝桥杯
virelin_Y.lin4 小时前
系统与网络安全------Windows系统安全(7)
windows·web安全·系统安全·ftp
写代码的小王吧5 小时前
【Java可执行命令】(十)JAR文件签名工具 jarsigner:通过数字签名及验证保证代码信任与安全,深入解析 Java的 jarsigner命令~
java·开发语言·网络·安全·web安全·网络安全·jar