2021年全国职业院校技能大赛中职组
“网络空间安全”赛卷八
一、竞赛阶段
竞赛阶段 | 任务阶段 | 竞赛任务 | 竞赛时间 | 分值 |
第一阶段 单兵模式系统渗透测试 | 任务1 | Wireshark数据包分析 | 100分钟 | 100 |
任务2 | 文件上传渗透测试 | 100 | ||
任务3 | Web渗透测试 | 100 | ||
任务4 | Windows操作系统渗透测试 | 100 | ||
任务5 | Linux操作系统渗透测试 | 100 | ||
任务6 | 网络协议栈渗透测试 | 100 | ||
任务7 | 系统综合渗透测试及安全加固 | 100 | ||
备战阶段 | 攻防对抗准备工作 | 20分钟 | 0 | |
第二阶段 分组对抗 | 系统加固:15分钟 | 60分钟 | 300 | |
渗透测试:45分钟 | ||||
二、拓扑图
PC机环境:
物理机:Windows7;
虚拟机1:Ubuntu Linux 32bit(用户名:root;密码:123456),安装工具集:Backtrack5,安装开发环境:Python3;
虚拟机2:Kali1.0(用户名:root;密码:toor);
虚拟机3:Kali2.0(用户名:root;密码:toor);
虚拟机4:WindowsXP(用户名:administrator;密码:123456)。
三、竞赛任务书
(一)第一阶段任务书(700分)
任务1. Wireshark数据包分析(100分)
任务环境说明:
✓服务器场景:PYsystem20191
✓服务器场景操作系统:Windows(版本不详)
1.使用Wireshark查看并分析PYsystem20191桌面下的capture4.pcap数据包文件,出黑客获取到的可成功登录目标服务器FTP的账号密码,并将黑客获取到的账号密码作为Flag
值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;(9分)
2.继续分析数据包capture4.pcap,出黑客使用获取到的账号密码登录FTP的时间,并将黑客登录FTP的时间作为Flag值(例如:14:22:08)提交;(13分)
3.继续分析数据包capture4.pcap,出黑客连接FTP服务器时获取到的FTP服务版本号,并将获取到的FTP服务版本号作为Flag值提交;(15分)
4.继续分析数据包capture4.pcap,出黑客成功登录FTP服务器后执行的第一条命令,并将执行的命令作为Flag值提交;(11分)
5.继续分析数据包capture4.pcap,出黑客成功登录FTP服务器后下载的关键文件,并将下载的文件名称作为Flag值提交;(13分)
6.继续分析数据包capture4.pcap,出黑客暴力破解目标服务器Telnet服务并成功获取到的用户名与密码,并将获取到的用户名与密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;(9分)
7.继续分析数据包capture4.pcap,出黑客在服务器网站根目录下添加的文件,并将该文件的文件名称作为Flag值提交;(13分)
8.继续分析数据包capture4.pcap,出黑客在服务器系统中添加的用户,并将添加的用户名与密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交。(17分)
任务2. 文件上传渗透测试(100分)
任务环境说明:
✓服务器场景:PYsystem20191
✓服务器场景操作系统:Windows(版本不详)
1.通过本地PC中渗透测试平台Kali2.0对服务器场景PYsystem20191进行网站目录暴力枚举测试(使用工具DirBuster,扫描服务器80端口),选择使用字典(使用默认字典)方式破解,并设置模糊测试的变量为“{dir}”,将回显信息中从上往下数第六行的数字作为Flag值提交;(11分)
2.通过本地PC中渗透测试平台Kali2.0对服务器场景PYsystem20191进行网站目录暴力枚举测试(使用工具DirBuster,扫描服务器80端口),通过分析扫描结果,到上传点并使用火狐浏览器访问包含上传点的页面,并将访问成功后的页面第一行的第一个单词作为Flag值提交;(13分)
3.访问成功后上传名为backdoor.php的php一句话木马至服务器,打开控制台使用网站安全狗检测本地是否存在木马,若检测出存在木马,则将木马所在的绝对路径作为Flag值提交,若未检测出木马则提交false;(15分)
4.通过本地PC中渗透测试平台Kali2.0对服务器场景PYsystem20191进行文件上传渗透测试,使用工具weevely在/目录下生成一个木马,木马名称为backdoor.php,密码为pass,该操作使用命令中固定不变的字符串作为Flag值提交;(17分)
5.上传使用weevely生成的木马backdoor1.php至服务器中,打开控制台使用网站安全狗检测本地是否存在木马,若检测出存在木马,则将木马所在的绝对路径作为Flag值提交,若未检测出木马则提交false;(11分)
6.通过本地PC中渗透测试平台Kali2.0对服务器场景PYsystem20191进行文件上传渗透测试(使用工具weevely,连接目标服务器上的木马文件),连接成功后将目标服务器主机名的字符串作为Flag值提交;(11分)
7.开启网站安全狗的所有防护,再次使用weevely生成一个新的木马文件并将其上传至目标服务器,将上传后页面提示的第二行内容作为Flag值提交;(13分)
8.开启网站安全狗的所有防护,再次使用weevely生成木马文件并将其上传至目标服务器,要求能够上传成功,将生成该木马必须要使用的参数作为Flag值提交。(9分)
任务3. Web渗透测试(100分)
任务环境说明:
✓服务器场景:PYsystem20192(用户名:root;密码:123456)
✓服务器场景操作系统:PYsystem20192(版本不详)
1.通过本地PC中渗透测试平台Kali1.0对服务器场景PYsystem20192进行Web渗透测试(使
用工具w3af的对目标Web服务器进行审计),在w3af的命令行界面下,使用命令列出所有用于审计的插件,将该操作使用的命令作为Flag值提交;(9分)
2.通过本地PC中渗透测试平台Kali1.0对服务器场景PYsystem20192进行Web渗透测试,使用工具w3af对Web服务器进行审计,在w3af的命令行界面下加载爬行模块来搜集phpinfo信息及蜘蛛爬行数据,将该操作使用的命令作为Flag值提交;(11分)
3.通过本地PC中渗透测试平台Kali1.0对服务器场景PYsystem20192进行Web渗透测试,使用工具w3af对Web服务器进行审计,在w3af的命令行界面下启用审计插件sql盲注、命令注入及sql注入来测试服务器网站安全性,并将该操作使用的命令作为Flag值提交;(13分)
4.通过本地PC中渗透测试平台Kali1.0对服务器场景PYsystem20192进行Web渗透测试,使用工具w3af对Web服务器进行审计,在w3af的命令行界面下设置目标服务器地址启动扫描,将该操作使用命令中固定不变的字符串作为Flag值提交;(11分)
5.在本地PC渗透测试平台Kali1.0中对审计结果进行查看,将审计结果中含有漏洞的URL地址作为Flag值(提交答案时IP用192.168.80.1代替,例如192.168.80.1/login.php)提交;(17分)
6.在第5题的基础上,进入exploit模式,加载sqlmap模块对网站进行SQL注入测试,将载入sqlmap模块对网站进行SQL注入测试需要使用的命令作为Flag值提交;(9分)
7.通过本地PC中渗透测试平台Kali1.0对服务器场景PYsystem20192进行SQL注入测试,将数据库最后一个库的库名作为Flag值提交; (19分)
8.通过本地PC中渗透测试平台Kali1.0对服务器场景PYsystem20192进行SQL注入测试,将数据库的root用户密码作为Flag值提交。 (11分)
任务4. Windows操作系统渗透测试(python虚拟机100分)
任务环境说明:
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论