2024 一带一路暨金砖国家技能发展与技术创新大赛【企业信息系统安全赛项】选拔赛样题

2024 一带一路暨金砖国家技能发展与技术创新大赛--企业信息系统安全赛项任务书

    • [第一阶段: CTF 夺旗](#第一阶段: CTF 夺旗)
        • [任务一 WEBCMS](#任务一 WEBCMS)
        • [任务二 杂项 MISC](#任务二 杂项 MISC)
        • [任务三 Linux 应急响应分析](#任务三 Linux 应急响应分析)
        • [任务四 Baby_PWN](#任务四 Baby_PWN)
        • [任务五 流量溯源](#任务五 流量溯源)
    • [第二阶段: 企业网络安全配置与渗透](#第二阶段: 企业网络安全配置与渗透)
    • 需要2023环境私信博主!

第一阶段: CTF 夺旗

背景:作为信息安全技术人员,除了要掌握安全运营、应急响应这些方面安全内容还应该经常参与CTF夺旗实战,通过夺旗赛能够进一步提升实战技术能力,磨炼选手的耐心,增强选手的学习能力。

CTF夺旗阶段题目主要包含:注入攻击,模版逃逸,序列化漏洞,服务漏洞等相关内容。

任务一 WEBCMS

任务描述:你是一名网络安全服务工程师,因A集团公司某页面站点操作不当导致代码泄露使得服务器易遭受攻击,现在需要你对A集团网站进行安全渗透与防护。

1.使用扫描器,获取靶机的Web服务端口号并提交,格式:flag{xxxx};

2.获取网站源码,将根目录下的文件夹个数提交,格式:flag{xxxx};

3.找出网站管理后台,提交后台页面的地址,格式:flag{xxxx};

4.找出数据库的密码并提交,格式:flag{xxxx};

5.登录靶机数据库,提交后台密码的密文,格式:flag{xxxx};

6.重置网站后台密码,修改为"hacker",将修改的内容提交(网页中有隐藏线索),格式:flag{xxxx};

7.登录管理后台,将后台中隐藏的flag提交,格式:flag{xxxx}; 8.获取服务器根目录下的flag并提交,格式:flag{xxxx}。

任务二 杂项 MISC

任务描述:访问靶机http://服务器ip/,下载文件。

1.访问目标网站下载MISC.zip文件,将文件1中的flag值提交,提交格式:flag{};
2.访问目标网站下载MISC.zip文件,将文件2中的flag值提交,提交格式:flag{
};

3.访问目标网站下载MISC.zip文件,将文件3中的flag值提交,提交格式:flag{};
4.访问目标网站下载MISC.zip文件,将文件4中的flag值提交,提交格式:flag{
};

5.访问目标网站下载MISC.zip文件,将文件5中的flag值提交,提交格式:flag{******}。

任务三 Linux 应急响应分析

任务描述:A 集团的一台服务器系统遭受了恶意攻击,你现在是一名应急响应小组的安全工程师,请你通过分析漏洞找出其中的蛛丝马迹。root 用户为弱口令。

1.对该WebServer服务器进行分析,将黑客ip作为flag,提交格式: flag{};
2.对该WebServer服务器进行分析,将黑客使用的漏洞扫描器工具名作为flag;提交格式:flag{
};

3.对该WebServer服务器继续分析,将黑客第一次入侵时间作为flag; 提交格式:flag{******};

4.对该WebServer服务器进行分析,将黑客利用漏洞成功写入木马的

路径作为flag;提交格式:flag{};
5.对该WebServer服务器进行分析,将黑客在服务器上提权使用的二进制文件路径名作为flag 提交格式:flag{
}。

任务四 Baby_PWN

任务描述:访问靶机http://服务器ip/pwn,下载文件。

1.访问目标网页下载pwn程序,对该程序进行安全审计,通过相应的漏洞得到隐藏的flag,提交格式:flag{******}。

任务五 流量溯源

任务描述:A 集团的一台服务器遭受了恶意攻击,你现在是一名安全工程师,请你通过分析可疑流量文件找出其中的蛛丝马迹。访问靶机 SMB 服务下载附件。

1.找出黑客的IP地址;

2.提交黑客扫描的端口范围并提交黑客得到了哪些端口开放的信息, 提交格式:[xxxx:xxxx]+[xxxx,xxxx,xxxx];

3.将黑客渗透进入系统后得到的用户名称作为flag提交;

4.分析流量包,将黑客打开的第一个文件内容解密,将解密的内容作为flag提交;

5.分析流量包,从中获得压缩包,将其修复得到内容作为flag提交;

6.将上述加密信息解密,密钥即为用户名。

第二阶段: 企业网络安全配置与渗透

背景:您的团队正在对 A 集团进行等保测评,请寻找该企业中有缺陷的服务器,这些服务器可能存在着各种各样的渗透漏洞。您的团队需要渗透这些服务器并找出漏洞,按照下列题目要求进行服务器的环境加固后再次进行渗透测试,以此来确认加固的有效性。

任务 1:找到 A 集团总站点,对目标进行渗透测试,找到站点的后台管理页面以及该站点运行的系统账户,将端口号与账户名作为flag 值提交, 提交格式:flag{后台端口+服务运行账户};

任务 2:将 A 集团后台管理员"admin"的密码作为 flag 值提交,提交格式:flag{密码};

任务 3:对A 集团进行渗透测试,将主站点root 目录下的flag 提交, 提交格式:flag{};
任务 4:对总站点进行加固,在 FW 上开启认证,使用对应方式进行维护, 将对应的模块名称进行提交, 多个请用/隔开, 提交格式: flag{
};

任务 5:再次渗透总站点的后台管理页面,将页面回显的第三行的最后一个单词作为flag 值提交,提交格式flag{};
任务 6:对 A 集团的 DB 服务器进行渗透测试,找到管理页面,将管理页面中的flag 作为flag 值提交,提交格式:flag{
};

任务 7:对 A 集团的 DB 服务器进行渗透测试,将数据库管理员密码作为flag 值提交,提交格式:flag{};
任务 8:对 A 集团的DB 服务器进行渗透测试,将 root 家目录下的flag 提交,提交格式:flag{
};

任务 9:在 WAF 上配置基础防御功能,建立特征规则"HTTP 防御", 使用对应方式进行维护,将对应的模块名称进行提交flag{};
任务 10:再次对 A 集团的DB 服务器管理页面进行渗透,将页面回显的第一行的第四个单词作为flag 值提交,提交格式flag{
}。

需要2023环境私信博主!

相关推荐
java叶新东老师2 小时前
git stash 命令详解
linux·运维·flink
写bug的羊羊3 小时前
CentOS 9 配置国内 YUM 源
linux·运维·centos
Johny_Zhao6 小时前
CentOS Stream 9上部署FTP应用服务的两种方法(传统安装和docker-compose)
linux·网络安全·信息安全·kubernetes·云计算·containerd·ftp·yum源·系统运维
守望时空336 小时前
RustDesk搭建指南
linux
C++ 老炮儿的技术栈6 小时前
在 Scintilla 中为 Squirrel 语言设置语法解析器的方法
linux·运维·c++·git·ubuntu·github·visual studio
白鹭7 小时前
基于LNMP架构的分布式个人博客搭建
linux·运维·服务器·网络·分布式·apache
java叶新东老师7 小时前
linux 部署 flink 1.15.1 并提交作业
linux·运维·flink
程序员JerrySUN8 小时前
Linux系统架构核心全景详解
linux·运维·系统架构
无敌的牛8 小时前
Linux文件理解,基础IO理解
linux·运维·服务器
未来之窗软件服务8 小时前
跨平台 WebSocket 服务器的设计与实现 —— 基于.NET 8 的跨操作系统解决方案linux,macos,windows——开发工具
linux·服务器·websocket·仙盟创梦ide·东方仙盟