试场号:机号:参赛号:总分:分2019年温州市技能大赛信息技术类网络空间安全赛项试题
一、竞赛阶段
二、拓扑图
PC机环境:
物理机:Windows7;
虚拟机1:Ubuntu Linux 32bit(用户名:root;密码:toor),安装工具集:Backtrack5,安装开发环境:Python3;
虚拟机2:Kali(用户名:root;密码:toor);
虚拟机3:WindowsXP(用户名:administrator;密码:空)。
三、竞赛任务书
(一)第一阶段任务书(700分)
任务1. 网络信息收集(40分)
任务环境说明:
✓服务器场景:CentOS(用户名:root;密码:123456)
✓服务器场景操作系统:CentOS5.5
1.通过渗透测试平台对服务器场景CentOS5.5进行ARP扫描渗透测试(使用工具arping,发送请求数据包数量为4个),并将该操作使用命令中固定不变的字符串作为Flag提交;(20分)
2.通过渗透测试平台对服务器场景CentOS5.5进行ARP扫描渗透测试(使用工具arping,发送请求数据包数量为4个),并将该操作结果的最后1行,从左边数第2个数字作为Flag提交;(20分)
任务2. 操作系统信息收(90分)
任务环境说明:
✓服务器场景:CentOS(用户名:root;密码:123456)
✓服务器场景操作系统:CentOS5.5
1.通过渗透测试平台对服务器场景CentOS5.5进行ping扫描渗透测试(使用工具nmap,使用参数n,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为Flag提交;(20分)
2.通过渗透测试平台对服务器场景CentOS5.5进行ping扫描渗透测试(使用工具nmap),并将该操作显示结果的上数第3行的单词作为Flag提交;(20分)
3.通过渗透测试平台对服务器场景CentOS5.5进行综合性扫描渗透测试(使用工具nmap,使用参数n,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为Flag提交;(20分)
4.通过渗透测试平台对服务器场景CentOS
5.5进行综合性扫描渗透测试(使用工具nmap,使用参数n,使用必须要使用的参数),并将该操作显示结果的Running项的值作为Flag提交;(30分)
任务3. Linux系统提权渗透(100分)
任务环境说明:
✓服务器场景:CentOS(用户名:root;密码:123456)
✓服务器场景操作系统:CentOS5.5
1.通过渗透测试平台对服务器场景CentOS5.5,使用nmap进行服务扫描渗透测试,并将扫描结果上数第6行的4个单词作为Flag(形式:单词1|单词2|单词3|单词4)提交;(20分)
2.通过渗透测试平台对服务器场景CentOS5.5,使用metaspolit进行远程超级管理员口令暴力破解(使用的渗透测试平台中的字典文件
<),并将破解结果Success:后面2个空格之间的字符串作为Flag 提交;(20分)
3.通过渗透测试平台打开已经建立的会话,在与CentOS5.5的会话中新建
用户admin,并将该用户提权至root权限,并将新建用户admin并提权至root 权限全部命令作为Flag(形式:命令1|命令2|…|命令n)提交;(30分)
xp提交更改
任务4. Linux系统后门程序利用1(70分)
任务环境说明:
✓服务器场景:CentOS(用户名:root;密码:123456)
✓服务器场景操作系统:CentOS5.5
1.修改并在原目录下编译、运行/root/autorunp.c木马程序,使该木马程序能够实现远程连接 8080端口,并在该端口上运行/bin/sh命令行程序,并将运行/root/autorunp.c木马程序以及运行后的系统网络连接状态(netstat -an)增加行内容作为Flag提交;(20分)
2.将autorunp.c木马程序设置为系统启动后自动加载,并转入系统后台运行,并将在配置文件中增加的内容作为Flag提交;(20分)
3.重新启动CentOS5.5服务器场景,通过渗透测试平台NETCAT远程打开CentOS5.5服务器场景/bin/sh程序,并运行查看IP地址命令,并将运行该命令需要输入的字符串作为Flag提交;(30分)
任务5. SQL注入攻击(210分)
任务环境说明:
✓服务器场景:WebServ2003
✓服务器场景操作系统:Windows server 2003
1.进入WebServ2003服务器场景,分析源文件login.php,到提交的变量名,并将全部的变量名作为Flag(形式:[变量名1&变量名2&变量名3…&变量名n])提交;(20分)
2.进入WebServ2003服务器场景,"/"->"Employee Information Query",查看该页面源文件,到提交的变量名,并将全部的变量名作为Flag(形式:[变量名1&变量名2&变量名3…&变量名n])提交;(20分)
3.对该login.php页面注入点进行SQL注入渗透测试,使该Web站点可通过万能用户名、任意密码登录,并将万能用户名字符串中的不变部分作为Flag 提交;(30分)
4.进入WebServ2003服务器场景,"/"->"Employee Information Query",对该页面注入点进行渗透测试,根据注入“_”的返回结果确定是注入点,并将注入后页面回显第1行作为Flag提交;(30分)
5.进入WebServ2003服务器场景,"/"->"Employee Information Query",对该页面注入点进行SQL注入渗透测试,在WebServ2003服务器场景中添加账号“Hacker”,密码“P@ssword”,并将注入语句作为Flag提交;(30分)
6.进入WebServ2003服务器场景,分析源文件login.php,到提交的变量名,并将全部的变量名作为Flag(形式:[变量名1&变量名2&变量名3…&变量名n])提交;(20分)
7.进入WebServ2003服务器场景,"/"->"Employee Information Query",查看该页面源文件,到提交的变量名,并将全部的变量名作为Flag(形式:[变量名1&变量名2&变量名3…&变量名n])提交;(20分)
8.对该login.php页面注入点进行SQL注入渗透测试,使该Web站点可通过万能用户名、任意密码登录,并将万能用户名字符串中的不变部分作为Flag 提交;(30分)
9.进入WebServ2003服务器场景,"/"->"Employee Information Query",对该页面注入点进行渗透测试,根据注入“_”的返回结果确定是注入点,并将注入后页面回显第1行作为Flag提交;(20分)
10.进入WebServ2003服务器场景,"/"->"Employee Information Query",对该页面注入点进行SQL注入渗透测试,在WebServ2003服务器场景中添加账号“Hacker”,密码“P@ssword”,并将注入语句作为Flag提交;(40分)
任务6. 防范SQL注入攻击(70分)
任务环境说明:
✓服务器场景:WebServ2003
✓服务器场景操作系统:Windows server 2003

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。