2024 一带一路暨金砖国家技能发展与技术创新大赛【企业信息系统安全赛项】选拔赛样题

2024 一带一路暨金砖国家技能发展与技术创新大赛--企业信息系统安全赛项任务书

    • [第一阶段: CTF 夺旗](#第一阶段: CTF 夺旗)
        • [任务一 WEBCMS](#任务一 WEBCMS)
        • [任务二 杂项 MISC](#任务二 杂项 MISC)
        • [任务三 Linux 应急响应分析](#任务三 Linux 应急响应分析)
        • [任务四 Baby_PWN](#任务四 Baby_PWN)
        • [任务五 流量溯源](#任务五 流量溯源)
    • [第二阶段: 企业网络安全配置与渗透](#第二阶段: 企业网络安全配置与渗透)
    • 需要2023环境私信博主!

第一阶段: CTF 夺旗

背景:作为信息安全技术人员,除了要掌握安全运营、应急响应这些方面安全内容还应该经常参与CTF夺旗实战,通过夺旗赛能够进一步提升实战技术能力,磨炼选手的耐心,增强选手的学习能力。

CTF夺旗阶段题目主要包含:注入攻击,模版逃逸,序列化漏洞,服务漏洞等相关内容。

任务一 WEBCMS

任务描述:你是一名网络安全服务工程师,因A集团公司某页面站点操作不当导致代码泄露使得服务器易遭受攻击,现在需要你对A集团网站进行安全渗透与防护。

1.使用扫描器,获取靶机的Web服务端口号并提交,格式:flag{xxxx};

2.获取网站源码,将根目录下的文件夹个数提交,格式:flag{xxxx};

3.找出网站管理后台,提交后台页面的地址,格式:flag{xxxx};

4.找出数据库的密码并提交,格式:flag{xxxx};

5.登录靶机数据库,提交后台密码的密文,格式:flag{xxxx};

6.重置网站后台密码,修改为"hacker",将修改的内容提交(网页中有隐藏线索),格式:flag{xxxx};

7.登录管理后台,将后台中隐藏的flag提交,格式:flag{xxxx}; 8.获取服务器根目录下的flag并提交,格式:flag{xxxx}。

任务二 杂项 MISC

任务描述:访问靶机http://服务器ip/,下载文件。

1.访问目标网站下载MISC.zip文件,将文件1中的flag值提交,提交格式:flag{};
2.访问目标网站下载MISC.zip文件,将文件2中的flag值提交,提交格式:flag{
};

3.访问目标网站下载MISC.zip文件,将文件3中的flag值提交,提交格式:flag{};
4.访问目标网站下载MISC.zip文件,将文件4中的flag值提交,提交格式:flag{
};

5.访问目标网站下载MISC.zip文件,将文件5中的flag值提交,提交格式:flag{******}。

任务三 Linux 应急响应分析

任务描述:A 集团的一台服务器系统遭受了恶意攻击,你现在是一名应急响应小组的安全工程师,请你通过分析漏洞找出其中的蛛丝马迹。root 用户为弱口令。

1.对该WebServer服务器进行分析,将黑客ip作为flag,提交格式: flag{};
2.对该WebServer服务器进行分析,将黑客使用的漏洞扫描器工具名作为flag;提交格式:flag{
};

3.对该WebServer服务器继续分析,将黑客第一次入侵时间作为flag; 提交格式:flag{******};

4.对该WebServer服务器进行分析,将黑客利用漏洞成功写入木马的

路径作为flag;提交格式:flag{};
5.对该WebServer服务器进行分析,将黑客在服务器上提权使用的二进制文件路径名作为flag 提交格式:flag{
}。

任务四 Baby_PWN

任务描述:访问靶机http://服务器ip/pwn,下载文件。

1.访问目标网页下载pwn程序,对该程序进行安全审计,通过相应的漏洞得到隐藏的flag,提交格式:flag{******}。

任务五 流量溯源

任务描述:A 集团的一台服务器遭受了恶意攻击,你现在是一名安全工程师,请你通过分析可疑流量文件找出其中的蛛丝马迹。访问靶机 SMB 服务下载附件。

1.找出黑客的IP地址;

2.提交黑客扫描的端口范围并提交黑客得到了哪些端口开放的信息, 提交格式:[xxxx:xxxx]+[xxxx,xxxx,xxxx];

3.将黑客渗透进入系统后得到的用户名称作为flag提交;

4.分析流量包,将黑客打开的第一个文件内容解密,将解密的内容作为flag提交;

5.分析流量包,从中获得压缩包,将其修复得到内容作为flag提交;

6.将上述加密信息解密,密钥即为用户名。

第二阶段: 企业网络安全配置与渗透

背景:您的团队正在对 A 集团进行等保测评,请寻找该企业中有缺陷的服务器,这些服务器可能存在着各种各样的渗透漏洞。您的团队需要渗透这些服务器并找出漏洞,按照下列题目要求进行服务器的环境加固后再次进行渗透测试,以此来确认加固的有效性。

任务 1:找到 A 集团总站点,对目标进行渗透测试,找到站点的后台管理页面以及该站点运行的系统账户,将端口号与账户名作为flag 值提交, 提交格式:flag{后台端口+服务运行账户};

任务 2:将 A 集团后台管理员"admin"的密码作为 flag 值提交,提交格式:flag{密码};

任务 3:对A 集团进行渗透测试,将主站点root 目录下的flag 提交, 提交格式:flag{};
任务 4:对总站点进行加固,在 FW 上开启认证,使用对应方式进行维护, 将对应的模块名称进行提交, 多个请用/隔开, 提交格式: flag{
};

任务 5:再次渗透总站点的后台管理页面,将页面回显的第三行的最后一个单词作为flag 值提交,提交格式flag{};
任务 6:对 A 集团的 DB 服务器进行渗透测试,找到管理页面,将管理页面中的flag 作为flag 值提交,提交格式:flag{
};

任务 7:对 A 集团的 DB 服务器进行渗透测试,将数据库管理员密码作为flag 值提交,提交格式:flag{};
任务 8:对 A 集团的DB 服务器进行渗透测试,将 root 家目录下的flag 提交,提交格式:flag{
};

任务 9:在 WAF 上配置基础防御功能,建立特征规则"HTTP 防御", 使用对应方式进行维护,将对应的模块名称进行提交flag{};
任务 10:再次对 A 集团的DB 服务器管理页面进行渗透,将页面回显的第一行的第四个单词作为flag 值提交,提交格式flag{
}。

需要2023环境私信博主!

相关推荐
学Linux的语莫1 小时前
Ansible使用简介和基础使用
linux·运维·服务器·nginx·云计算·ansible
踏雪Vernon1 小时前
[OpenHarmony5.0][Docker][环境]OpenHarmony5.0 Docker编译环境镜像下载以及使用方式
linux·docker·容器·harmonyos
学Linux的语莫2 小时前
搭建服务器VPN,Linux客户端连接WireGuard,Windows客户端连接WireGuard
linux·运维·服务器
legend_jz2 小时前
【Linux】线程控制
linux·服务器·开发语言·c++·笔记·学习·学习方法
Komorebi.py2 小时前
【Linux】-学习笔记04
linux·笔记·学习
黑牛先生2 小时前
【Linux】进程-PCB
linux·运维·服务器
友友马2 小时前
『 Linux 』网络层 - IP协议(一)
linux·网络·tcp/ip
猿java3 小时前
Linux Shell和Shell脚本详解!
java·linux·shell
A.A呐4 小时前
【Linux第一章】Linux介绍与指令
linux
Gui林4 小时前
【GL004】Linux
linux