2022年全国职业院校技能大赛高职组“信息安全管理与评估”赛项第三阶段任务书

第三阶段竞赛项目试题

本文件为信息安全管理与评估项目竞赛-第三阶段试题。根据信息安全管理与评估项目技术文件要求,第三阶段为夺旗挑战CTF(网络安全渗透)。

本次比赛时间为180分钟。

介绍

夺旗挑战赛(CTF)的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。

本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等渗透测试技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的flag值。

所需的设备、机械、装置和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本项目阶段分数为350分。

培训、环境、资料、考证
公众号:Geek极安云科
网络安全群:624032112
网络系统管理群:223627079 
网络建设与运维群:870959784 
移动应用开发群:548238632

极安云科校企合作经理VX liuliu5488233

极安云科专注于技能提升,赋能
2024年广东省高校的技能提升,受赋能的客户院校均获奖!
2024年江苏省赛一二等奖前13名中,我们赋能客户占五支队伍!
2024年湖南省赛赋能三所院校均获奖!
2024年山东省赛赋能两所院校均获奖!
2024年湖北省赛赋能参赛院校九支队伍,共计斩获一等奖2项、三等奖7项!

注意事项

通过找到正确的flag值来获取得分,它的格式如下所示:flag{<flag值>}

这种格式在某些环境中可能被隐藏或混淆。所以,注意一些敏感信息并把它找出来。

项目和任务描述

在A集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络中存在着一定

网络安全隐患,请利用你所掌握的渗透测试技术,通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗透测试,在测试中获取flag值。网络环境参考样例请查看附录A、附录B。

本模块所使用到的渗透测试技术包含但不限于如下技术领域:

  • 信息收集
  • 逆向文件分析
  • 二进制漏洞利用
  • 应用服务漏洞利用
  • 杂项与密码学分析

所有设备和服务器的IP地址请查看现场提供的设备列表。

工作任务

  • Web1 服务器

|--------|------------------------------------------------------------------------------|----|
| 任务编号 | 任务描述 | 答案 |
| Web1-1 | Web1系统主页存在隐藏信息,请根据页面提示,分析并找出flag,并将 flag提交。flag格式flag{<flag值>} (5分) | |
| Web1-2 | Web1系统后台存在漏洞,结合Web1-2 的信息,分析并利用漏洞找出flag,并将flag提交。flag格式flag{<flag 值>}(15分) | |

  • Web2服务器

|------|------------------------------------------------------------------|----|
| 任务编号 | 任务描述 | 答案 |
| Web2 | Web2服务器存在隐藏信息,分析并利用漏洞找出flag,并将flag提交。 flag格式flag{<flag值>}(20分) | |

  • Web3服务器

|--------|------------------------------------------------------------------------|----|
| 任务编号 | 任务描述 | 答案 |
| Web3-1 | Web3运维监控平台存在漏洞,分析并利用漏洞找出平台中的flag,并将 flag提交。flag格式flag{<flag值>} (30分) | |
| Web3-2 | 结合Web3-1的信息,获取Web3服务器中的flag,并将flag提交。flag格式 flag{<flag值>}(30分) | |

  • FTP 服务器

|---------|---------------------------------------------------------------------|----|
| 任务编号 | 任务描述 | 答案 |
| Crypto1 | 请获取FTP服务器上对应的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}(15分) | |
| Crypto2 | 请获取FTP服务器上对应的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}(30分) | |
| Misc1 | 请获取FTP服务器上对应的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}(15分) | |
| Misc2 | 请获取FTP服务器上对应的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}(20分) | |
| Misc3 | 请获取FTP服务器上对应的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}(30分) | |
| Misc4 | 请获取FTP服务器上对应的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}(30分) | |
| Re1 | 请获取FTP服务器上对应的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}(25分) | |
| Re2 | 请获取FTP服务器上对应的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}(30分) | |

  • Pwn1服务器

|------|-------------------------------------------------------------------------------------------------|----|
| 任务编号 | 任务描述 | 答案 |
| Pwn1 | 请获取FTP服务器上对应的应用程序,连接Pwn1服务器的10000端口,对服务器进行漏洞利用,找出其中隐藏的flag,并将flag提交。flag格式 flag{<flag值>}(25分) | |

  • Pwn2服务器

|------|-------------------------------------------------------------------------------------------------|----|
| 任务编号 | 任务描述 | 答案 |
| Pwn2 | 请获取FTP服务器上对应的应用程序,连接Pwn2服务器的10001端口,对服务器进行漏洞利用,找出其中隐藏的flag,并将flag提交。flag格式 flag{<flag值>}(30分) | |

|---|
| |

|---|---|
| |
| | |

附录A

图1 网络拓扑结构图

附录B

|---|
| |

|---|---|
| |
| | |

服务器IP地址列表

|----|-------------------------------------------------|------------|---------------|
| 序号 | 任务编号 | 服务器名称 | IP地址 |
| 1 | Web1 | Web1 | 192.168.1.101 |
| 2 | Web2 | Web2 | 192.168.1.123 |
| 3 | Web3-1 Web3-2 | Web3 | 192.168.1.134 |
| 4 | Crypto1 Crypto2 Misc1 Misc2 Misc3 Misc4 Re1 Re2 | FTP | 192.168.1.115 |
| 5 | Pwn1 | FTP 存放应用程序 | 192.168.1.115 |
| 5 | Pwn1 | Pwn1 应用服务器 | 192.168.1.151 |
| 6 | Pwn2 | FTP 存放应用程序 | 192.168.1.115 |
| 6 | Pwn2 | Pwn2 应用服务器 | 192.168.1.152 |

相关推荐
独行soc18 分钟前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
独行soc2 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
Clockwiseee3 小时前
php伪协议
windows·安全·web安全·网络安全
黑客Ash3 小时前
安全算法基础(一)
算法·安全
云云3214 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云3214 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
xcLeigh4 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全
白乐天_n4 小时前
腾讯游戏安全移动赛题Tencent2016A
安全·游戏
安全小王子5 小时前
Kali操作系统简单介绍
网络·web安全
光路科技6 小时前
八大网络安全策略:如何防范物联网(IoT)设备带来的安全风险
物联网·安全·web安全