当前位置：首页 > news >正文

2022年“网络安全”赛项山东省菏泽市选拔赛任务书

news 文章来源：https://blog.csdn.net/Aluxian_/article/details/129262144 2024/11/19 16:44:30

2022年“网络安全”赛项山东省菏泽市选拔赛任务书

任务书
一、竞赛时间
共计3小时。
二、竞赛阶段
竞赛阶段任务阶段竞赛任务竞赛时间分值

第一阶段单兵模式系统渗透测试
任务一：Apache安全配置
任务二：数据分析-A
任务三：Windows操作系统渗透测试
任务四：漏洞扫描与利用

第二阶段分组对抗
备战阶段攻防对抗准备工作
系统加固
渗透测试
三、竞赛任务书内容
（一）拓扑图
在这里插入图片描述

任务一：Apache安全配置
任务环境说明：
服务器场景：A-Server
服务器场景操作系统： Linux
服务器用户名：root;密码：123456
1.打开服务器场景（A-Server），通过命令行清除防火墙规则。在服务器场景上查看apache版本，将查看到的服务版本字符串完整提交；
2.检测服务器场景中此版本apache是否存在显示banner信息漏洞，如果验证存在，修改配置文件将此漏洞进行加固，并重启Apache服务，将此加固项内容字符串(不包含状态)作为flag提交；
3.检测服务器场景配置是否可以浏览系统目录，如果验证存在将此漏洞在Apache配置文件中进行加固，寻找系统根目录/var/www 的配置属性，对该属性的原内容进行权限删除的方式加固，并重启Apache服务，将此加固项删减字符串作为flag提交；
4.合理配置服务器场景apache的运行账户，并在httpd.conf中寻找运行帐户，将本服务配置的账户名称作为flag提交；
5.配置服务器场景中httpd.conf，限制禁止访问的文件夹，验证是否可以访问 /var/www/data 目录下index.php,如存在在此漏洞需进行加固，将此加固后完整字符串作为flag提交；（提示：（<Directory /var/www/data>）****号为需要添加内容）
6.配置服务器场景中httpd.conf，限制一些特殊目录的特定ip访问，如内部接口等。修改对data 目录的配置,重新启动apache 服务。将加固项固定部分作为flag提交；

任务二：数据分析-A
1.通过分析虚拟机windows7桌面上的数据包A.pcapng，找到黑客连接一句话木马的密码，将该密码作为FLAG提交；
2.通过分析数据包A.pcapng，找到黑客扫描的网段范围是多少（IP之间用”,”隔开，例：192.168.1.1-192.168.1.2）将该范围作为FLAG提交；
3.通过分析数据包A.pcapng，找到域服务器的密码是多少，将该密码作为FLAG提交;
4.通过分析数据包A.pcapng，找到服务器安装的第一个修补程序，将该修补程序的名称作为FLAG提交;
5.通过分析数据包A.pcapng，找到黑客下载的文件是什么，将该文件内容作为FLAG提交；

任务三：Windows操作系统渗透测试
任务环境说明：
服务器场景：Windows2020
服务器场景操作系统：Windows（版本不详）（关闭链接）
1.通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行系统服务及版本扫描渗透测试，并将该操作显示结果中8080端口对应的服务版本信息字符串作为Flag值提交；
2.通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行渗透测试，将该场景网络连接信息中的DNS信息作为Flag值 (例如：114.114.114.114) 提交；
3.通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行渗透测试，将该场景中的当前最高账户管理员的密码作为Flag值提交；
4.通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行渗透测试，将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文件名称作为Flag值提交；
5.通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行渗透测试，将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文档内容作为Flag值提交；
6.通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行渗透测试，将该场景桌面上222文件夹中唯一一个图片中的英文单词作为Flag值提交；
7.通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行渗透测试，将该场景中回收站内文件的文档内容作为Flag值提交。

任务四：漏洞扫描与利用
任务环境说明：
服务器场景：Windows2020
服务器场景操作系统：Windows（版本不详）（关闭链接）
1.通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行系统服务及版本扫描渗透测试，并将该操作显示结果中3389端口对应的服务版本信息字符串作为Flag值提交；
2.在msfconsole中用search命令搜索 MS12020 RDP拒绝访问攻击模块，并将回显结果中的漏洞披露时间作为Flag值（如：2012-10-16）提交；
3.在msfconsole中利用 MS12020 RDP拒绝访问漏洞辅助扫描模块，将调用此模块的命令作为Flag值提交；
4.在第3题的基础上查看需要设置的选项，并将回显中必须要设置的选项名作为Flag值提交；
5.使用set命令设置目标IP（在第4题的基础上），并检测漏洞是否存在，运行此模块将回显结果中倒数第二行最后一个单词作为Flag值提交；
6.在msfconsole中利用MS12020 RDP拒绝访问攻击模块，将调用此模块的命令作为Flag值提交；
7.使用set命令设置目标IP（在第6题的基础上），使用MS12020拒绝访问攻击模块，运行此模块将回显结果中倒数第一行的最后一个单词作为Flag值提交；
8.进入靶机关闭远程桌面服务，再次运行MS12020拒绝访问攻击模块，运行此模块将回显结果中倒数第二行的最后一个单词作为Flag值提交。

（三）第二阶段任务书（300）
假定各位选手是某电子商务企业的信息安全工程师，负责企业某些服务器的安全防护，该服务器可能存在着各种问题和漏洞。你需要尽快对该服务器进行安全加固，15分钟之后将会有其它参赛队选手对这些服务器进行渗透。
根据《赛场参数表》提供的第二阶段的信息，请使用PC的谷歌浏览器登录实战平台。
靶机服务器环境说明：
场景1：HZLinux服务器操作系统：CentOS（版本不详）；
注意事项：
1.不能对裁判服务器进行攻击，警告一次后若继续攻击将判令该参赛队离场；
2.Flag值为每台靶机服务器的唯一性标识，每台靶机服务器仅有1个；
3.靶机服务器的Flag值存放在/root/flagvalue.txt文件或C:\flagvalue.txt文件中；
4.在登录自动评分系统后，提交对手靶机服务器的Flag值，同时需要指定对手靶机服务器的IP地址；
5.HZLinux不允许关闭的端口为 21/ftp、22/ssh、23/telnet、80/httpd；
6.系统加固时需要保证靶机对外提供服务的可用性，服务只能更改配置，不允许更改内容；
7.本环节是对抗环节，不予补时。

可能的漏洞列表如下：
1.服务器中的漏洞可能是常规漏洞也可能是系统漏洞；
2.靶机服务器上的网站可能存在命令注入的漏洞，要求选手找到命令注入的相关漏洞，利用此漏洞获取一定权限;
3.靶机服务器上的网站可能存在文件上传漏洞，要求选手找到文件上传的相关漏洞，利用此漏洞获取一定权限;
4.靶机服务器上的网站可能存在文件包含漏洞，要求选手找到文件包含的相关漏洞，与别的漏洞相结合获取一定权限并进行提权;
5.操作系统提供的服务可能包含了远程代码执行的漏洞，要求用户找到远程代码执行的服务，并利用此漏洞获取系统权限;
6.操作系统提供的服务可能包含了缓冲区溢出漏洞，要求用户找到缓冲区溢出漏洞的服务，并利用此漏洞获取系统权限;
7.操作系统中可能存在一些系统后门，选手可以找到此后门，并利用预留的后门直接获取到系统权限。

2022年“网络安全”赛项山东省菏泽市选拔赛任务书

2022年“网络安全”赛项山东省菏泽市选拔赛任务书

相关文章：

2022年“网络安全”赛项山东省菏泽市选拔赛任务书

LeetCode练习四：栈

【Python实战】爬虫教程千千万，一到实战全完蛋？今天手把手教你一键采集某网站图书信息数据啦~排名第一的竟是...（爬虫+数据可视化）

【数据结构】堆的详解

New Bing怼人、说谎、PUA，ChatGPT已经开始胡言乱语了

简易计算器-课后程序(JAVA基础案例教程-黑马程序员编著-第十一章-课后作业)

chatGPT使用：询问简历和面试相关话题（持续更新中）

Java的 Stream流

FL Studio 21 中文正式版发布支持多种超个性化主题

【微信小程序】-- 全局配置 -- window - 导航栏（十五）

Spring中最常用的11个扩展点

网络协议丨HTTPS是什么？

Anaconda常用命令总结，anaconda、conda、miniconda的关系

【蓝桥杯入门到入土】最基础的数组你真的掌握了吗？

Java Set系列集合（Collections集合工具类、可变参数）

chromium构建原生AS项目-记录1

Mybatis-Plus 开发提速器：mybatis-plus-generator-ui

李迟2023年02月工作生活总结

【Python百日进阶-Web开发-Vue3】Day542 - Vue3 商城后台 02：Windi CSS 与 Vue Router4

Jupyter Lab | “丢下R，一起来快乐地糟蹋服务器！”

分页与分段

【UE4 】制作螺旋桨飞机

五.家庭：亲情背后有理性

【Leedcode】栈和队列必备的面试题（第三期）

《图机器学习》-GNN Augmentation and Training

【Node.js算法题】数组去重、数组删除元素、数组排序、字符串排序、字符串反向、字符串改大写、数组改大写、字符替换

Win10系统开始菜单无法点击解决方法分享

libmodbus从linux访问window上的服务超时问题

挑战图像处理100问（26）——双线性插值

NXP iMX8系列处理器Pin Multiplexing定义说明

pv3d 优秀网站/黄山seo

免费门户网站模板/搜狗seo软件

app下载安装官方网站/什么是软文营销

大专学历怎么自考/建站优化

网站建设公司网络服务/最新app推广项目平台

discuz网站建设/微信推广加人