2020年中职组“网络空间安全”赛项福州市竞赛任务书.docx-资料库

hesysd-13104994-（题解）2020年中职组“网络空间安全赛项”福州市竞赛任务书.docx.pdf-第1页.png

第1页 / 共6页

hesysd-13104994-（题解）2020年中职组“网络空间安全赛项”福州市竞赛任务书.docx.pdf-第2页.png

第2页 / 共6页

hesysd-13104994-（题解）2020年中职组“网络空间安全赛项”福州市竞赛任务书.docx.pdf-第3页.png

第3页 / 共6页

hesysd-13104994-（题解）2020年中职组“网络空间安全赛项”福州市竞赛任务书.docx.pdf-第4页.png

第4页 / 共6页

hesysd-13104994-（题解）2020年中职组“网络空间安全赛项”福州市竞赛任务书.docx.pdf-第5页.png

第5页 / 共6页

hesysd-13104994-（题解）2020年中职组“网络空间安全赛项”福州市竞赛任务书.docx.pdf-第6页.png

第6页 / 共6页

2020 年中职组“网络空间安全”赛项福州市竞赛任务书一、竞赛时间共计：180 分钟二、竞赛阶段竞赛阶段任务阶段竞赛任务竞赛时间分值任务一 Nmap 扫描渗透测试第一阶段单兵模式系任务二 SSH 弱口令渗透测试统渗透测试任务三 Linux 操作系统渗透测试任务四隐藏信息探索备战阶段攻防对抗准备工作第二阶段分组对抗系统加固渗透测试 150 150 200 200 0 300 100 分钟 20 分钟 15 分钟 45 分钟三、竞赛任务书内容（一）拓扑图 1 / 6

（二）第一阶段任务书（700 分）任务一：nmap 扫描渗透测试任务环境说明：  服务器场景：Linux  服务器场景操作系统：Linux（关闭链接） 1. 通过 PC 中的渗透测试平台 BT5 对服务器场景 Linux 进行 TCP 同步扫描 (使用工具 nmap，使用参数 n，使用必须要使用的参数)，并将该操作使用命令中必须要使用的参数作为 Flag 提交；sS 2. 通过 PC 中的渗透测试平台 BT5 对服务器场景 Linux 进行 TCP 同步扫描 (使用工具 nmap，使用参数 n，使用必须要使用的参数)，并将该操作显示结果中从下往上数第 4 行的服务器信息作为 Flag 提交；mysql 3. 通过 PC2 中渗透测试平台 BT5 对服务器场景 Linux 不 ping 主机进行扫描（使用工具 nmap，使用参数 n，使用必须要使用的参数），并将该操作使用命令中必须要使用的参数作为 Flag 提交；PO 4. 通过 PC2 中渗透测试平台 BT5 对服务器场景 Linux 不 ping 主机进行扫描（使用工具 nmap，使用参数 n，使用必须要使用的参数），并将该操作显示结果中从下往上数第 10 行的“：”后的数字作为 Flag 提交； 994 5. 通过 PC2 中渗透测试平台 BT5 对服务器场景 Linux 进行 UDP 扫描渗透测试只扫描 53， 111 端口（使用工具 nmap，使用参数 n，使用必须要使用的参数），并将该操作显示结果中 111 端口的状态作为 Flag 提交；open 6. 通过 PC2 中渗透测试平台 BT5 对服务器场景 Linux 进行滑动窗口扫描渗透测试（使用工具 nmap，使用必须要使用的参数），并将该操作使用命令中必须要使用的参数作为 Flag 提交； sW 7. 通过 PC2 中渗透测试平台 BT5 对服务器场景 Linux 进行 RPC 扫描扫描渗透测试（使用工具 nmap，使用必须要使用的参数）,并将该操作使用命令中必须要使用的参数作为 Flag 提交； sR 8. 通过 PC2 中渗透测试平台 BT5 对服务器场景 Linux 进行 RPC 扫描扫描渗透测试（使用工具 nmap，使用必须要使用的参数）,并将该操作显示结果中从下往上数第 7 行的服务版本信息作为 Flag 提交；rpcbind 任务二：SSH 弱口令渗透测试任务环境说明：  服务器场景：Linux  服务器场景操作系统：Linux（关闭链接） 2 / 6

1. 在本地 PC 渗透测试平台 BT5 中使用 zenmap 工具扫描服务器场景 Linux 所在网段(例如：172.16.101.0/24)范围内存活的主机 IP 地址和指定开放的 21、22、23 端口。并将该操作使用的命令中必须要添加的字符串作为 FLAG 提交（忽略 ip 地址）； -p 21,22,23 2. 通过本地 PC 中渗透测试平台 BT5 对服务器场景 Linux 进行系统服务及版本扫描渗透测试，并将该操作显示结果中 SSH 服务对应的服务端口信息作为 FLAG 提交； 22/tcp 3. 在本地 PC 渗透测试平台 BT5 中使用 MSF 模块对其爆破，使用 search 命令，并将扫描弱口令模块的名称信息作为 FLAG 提交； Auxiliary/scanner/ssh/ssh_login 4. 在上一题的基础上使用命令调用该模块，并查看需要配置的信息（使用 show options 命令），将回显中需要配置的目标地址,密码使用的猜解字典,线程,账户配置参数的字段作为 FLAG 提交（之间以英文逗号分隔，例 hello,test，..,..）； RHOSTS PASS_FILE,THREADS,USERNAME 5. 在 msf 模块中配置目标靶机 IP 地址，将配置命令中的前两个单词作为 FLAG 提交； Set RHOSTS 6. 在 msf 模块中指定密码字典，字典路径为/root/2.txt，用户名为 test 爆破获取密码并将得到的密码作为 FLAG 提交； aaabc3 7. 在上一题的基础上，使用第 6 题获取到的密码 SSH 到靶机，将 test 用户家目录中唯一一个后缀为.bmp 图片的文件名的字符串作为 FLAG 提交。 nauiwrevy 任务四：Linux 操作系统渗透测试任务环境说明：  服务器场景：Linux2020  服务器场景操作系统：Linux（版本不详）（关闭链接） 1. 通过本地 PC 中渗透测试平台 Kali2.0 对服务器场景 Linux2020 进行系统服务及版本扫描渗透测试，并将该操作显示结果中 21 端口对应的服务版本信息字符串作为 Flag 值提交； vsftpd 2.3.4 2. 通过本地 PC 中渗透测试平台 Kali2.0 对服务器场景 Linux2020 进行渗透测试，将该场景/var/www 目录中唯一一个后缀为.bmp 文件的文件名称作为 Flag 值提交； wuslwczr 3. 通过本地 PC 中渗透测试平台 Kali2.0 对服务器场景 Linux2020 进行渗透测试，将该场景/var/www 目录中唯一一个后缀为.bmp 的图片文件中的英文单词作为 Flag 值提交； gutldhan 4. 通过本地 PC 中渗透测试平台 Kali2.0 对服务器场景 Linux2020 进行渗透测试，将该场景/var/vsftpd 目录中唯一一个后缀为.docx 文件的文件名称作为 Flag 值提交； bmqfldne 5. 通过本地 PC 中渗透测试平台 Kali2.0 对服务器场景 Linux2020 进行渗透测试，将该场景/var/vsftpd 目录中唯一一个后缀为.docx 文件的文件内容作为 Flag 值提交； tywajsfk 6. 通过本地 PC 中渗透测试平台 Kali2.0 对服务器场景 Linux2020 进行渗透测试，将该场景/home/guest 目录中唯一一个后缀为.pdf 文件的文件名称作为 Flag 值提交； 3 / 6

7. 通过本地 PC 中渗透测试平台 Kali2.0 对服务器场景 Linux2020 进行渗透测试，将该场景/home/guest 目录中唯一一个后缀为.pdf 文件的文件内容作为 Flag 值提交； 8. 通过本地 PC 中渗透测试平台 Kali2.0 对服务器场景 Linux2020 进行渗透测试，将该场景/root 目录中唯一一个后缀为.txt 文件的文件名称作为 Flag 值提交； 9. 通过本地 PC 中渗透测试平台 Kali2.0 对服务器场景 Linux2020 进行渗透测试，将该场景/root 目录中唯一一个后缀为.txt 文件的文件内容作为 Flag 值提交。任务四：隐藏信息探索任务环境说明：  服务器场景：Web20200529  服务器场景操作系统：未知（关闭链接） 1. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Web20200529 中的网站进行访问，找到登录界面中的 FLAG，并将 FLAG 提交； 2. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Web20200529 中的网站进行访问，找到登录界面背景中的 FLAG，并将 FLAG 提交； 3. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Web20200529 中的网站进行访问，在登录界面中登录，登录成功后在成功的界面中找到 FLAG 并提交； 4. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Web20200529 中的网站进行访问，登录成功后找到页面中的月亮，将月亮中的信息解密，并将解密后的信息作为 FLAG 提交； 5. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Web20200529 中的网站进行访问，登录成功后找到页面中的十字星，将十字星中页面内容进行下载，将下载到的文件解密，并将解密后的文件内容作为 FLAG 提交； 6. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Web20200529 中的网站进行访问，在登录界面中登录，登录失败后找到页面中的链接访问连接并下载文件，将文件中的隐藏文件全称作为 FLAG 提交； 7. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Web20200529 中的网站进行访问，在登录界面中登录，登录失败后找到页面中的链接访问连接并下载文件，将文件中隐藏信息文件的内容作为 FLAG 提交； 8. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Web20200529 中的网站进行访问，寻找每页中的隐藏信息，将每条信息按顺序合并，作为 FLAG 提交；（三）第二阶段任务书（300）假定各位选手是某电子商务企业的信息安全工程师，负责企业某些服务器的安全防护，该服务器可能存在着各种问题和漏洞。你需要尽快对该服务器进行 4 / 6

安全加固，15 分钟之后将会有其它参赛队选手对这些服务器进行渗透。根据《赛场参数表》提供的第二阶段的信息，请使用 PC 的谷歌浏览器登录实战平台。靶机服务器环境说明：场景 1：HZBJ（版本不详）；注意事项： 1.不能对裁判服务器进行攻击，警告一次后若继续攻击将判令该参赛队离场； 2.Flag 值为每台靶机服务器的唯一性标识，每台靶机服务器仅有 1 个； 3.靶机服务器的 Flag 值存放在/root/flagvalue.txt 文件或 C:\flagvalue.txt 文件中； 4.在登录自动评分系统后，提交对手靶机服务器的 Flag 值，同时需要指定对手靶机服务器的 IP 地址； 5.系统加固时需要保证靶机对外提供服务的可用性，服务只能更改配置，不允许更改内容； 6.本环节是对抗环节，不予补时。 7.HZBJ 不允许关闭的端口及服务（21/ftp、22/ssh、80/http、23/telnet）可能的漏洞列表如下： 1.服务器中的漏洞可能是常规漏洞也可能是系统漏洞； 2.靶机服务器上的网站可能存在命令注入的漏洞，要求选手找到命令注入的相关漏洞，利用此漏洞获取一定权限; 3.靶机服务器上的网站可能存在文件上传漏洞，要求选手找到文件上传的相关漏洞，利用此漏洞获取一定权限; 4.靶机服务器上的网站可能存在文件包含漏洞，要求选手找到文件包含的相关漏洞，与别的漏洞相结合获取一定权限并进行提权; 5.操作系统提供的服务可能包含了远程代码执行的漏洞，要求用户找到远程代码执行的服务，并利用此漏洞获取系统权限; 6.操作系统提供的服务可能包含了缓冲区溢出漏洞，要求用户找到缓冲区溢 5 / 6

出漏洞的服务，并利用此漏洞获取系统权限; 7.操作系统中可能存在一些系统后门，选手可以找到此后门，并利用预留的后门直接获取到系统权限。 6 / 6

资料库

2020年中职组“网络空间安全”赛项福州市竞赛任务书.docx

相关推荐

安全技术

热门标签

最新资料