2019年山东省职业院校技能大赛高职组
“信息安全管理与评估”赛项任务书
第二阶段题库
任务1:Web渗透测试
任务环境说明:
DCST:
攻击机场景:hackerpc
攻击机场景操作系统:WindowsXP
攻击机场景安装服务/工具1:sqlmap
攻击机场景安装服务/工具2:burpsuite
攻击机场景安装服务/工具3:firefox浏览器及hackbar插件攻击机场景安装服务/工具4:中国菜刀
服务器场景:WEB2017
服务器场景操作系统:Microsoft Windows Server 2003
服务器场景安装服务:apache2.4+php5.4+mysql集成环境
任务内容:
1.从hackerpc访问DCST中的WEB2017服务器的web页面(访问
靶机,在登录界面连按五次shift可获取靶机IP),到注
入点并进行sql注入攻击,获取藏在数据库中的flag,并对
结果进行截图。
2.尝试到网站的后台并进行登录,获取放在后台页面中的flag
值,并对结果进行截图。
3.寻后台存在漏洞的上传点,编写一句话木马并绕过上传,利
用一句话木马查看上传目录下的flag文件,并对结果进行截
图。
4.利用一句话木马进入服务器后,尝试到藏在管理员用户开机
自启文件夹中的flag文件,并对结果进行截图。
5.该服务器上存在一隐藏用户,尝试从注册表中到这个隐藏用
户,flag值为此用户的用户名,flag格式为flag{隐藏用户
的用户名},并对结果进行截图。
任务2:Mysql数据库攻防与加固
任务环境说明:
DCST:
服务器场景:MYSQLserver
服务器场景操作系统:Centos 6.5
mysql存储过程题目
服务器场景安装服务:mysql服务
任务内容:
1.访问DCST中的MYSQLserver,在/var/log目录下创建
access.log文件,并修改mysql服务配置文件,使其能够记
录所有的访问记录,对操作步骤进行截图。
2.进入mysql数据库,到可以从任何IP地址进行访问的用户,
对操作过程进行截图。
3.对题号2中的漏洞进行加固,删除可从任意IP地址进行登录
的用户,对操作步骤进行截图。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。