2017广西职业院校技能大赛中职组《网络空间安全》样题概要1讲解
中职组“网络空间安全赛项”竞赛题-A
2019年山东省职业院校技能大赛中职组“网络空间安全”赛项竞赛题-A卷一、竞赛时间8:30-11:30,共计3小时。
二、竞赛阶段三、竞赛任务书内容(一)拓扑图(二)第一阶段任务书(700分)任务一:暴力破解任务环境说明:✓服务器场景名称:sql008✓服务器场景操作系统:Microsoft Windows2008 Server✓服务器场景用户名:administrator;密码:未知1.使用渗透机场景kali中工具扫描服务器场景,将iis的版本号作为flag提交;2.使用渗透机场景windows7访问服务器场景,并下载某文件夹下的web目录下的username.txt和wxl_pass_burp.txt,并将username.txt中的用户数量作为flag提交;3.使用渗透机场景windows7访问服务器中的暴力破解首页,并将首页的flag提交;4.使用渗透机场景windows7访问服务器场景web暴力破解页面(结合1、2题),进入基于表单的暴力破解进行账号密码的爆破,将爆破后返回的flag提交;5.使用渗透机场景windows7访问服务器场景web暴力破解页面(结合1、2题),进入验证码绕过(on server)进行账号密码的爆破,将爆破后返回的flag提交;6.使用渗透机场景windows7访问服务器场景web暴力破解页面(结合1、2题),进入验证码绕过(on client)进行账号密码的爆破,将爆破后返回的flag提交;任务二:Linux操作系统渗透测试任务环境说明:✓服务器场景:Linux2020✓服务器场景操作系统:Linux(版本不详)1.通过本地PC中渗透测试平台Kali2.0对服务器场景Linux2020进行系统服务及版本扫描渗透测试,并将该操作显示结果中21端口对应的服务版本信息字符串作为Flag值提交;2.通过本地PC中渗透测试平台Kali2.0对服务器场景Linux2020进行渗透测试,将该场景/var/www目录中唯一一个后缀为.bmp文件的文件名称作为Flag值提交;3.通过本地PC中渗透测试平台Kali2.0对服务器场景Linux2020进行渗透测试,将该场景/var/www目录中唯一一个后缀为.bmp的图片文件中的英文单词作为Flag值提交;。
2017年广西职业院校技能大赛中职组网络空间安全赛项
“2017年广西职业院校技能大赛”中职组网络空间安全赛项任务书一、竞赛时间A组:9:00-12:00B组:14:00-17:00每组竞赛时间共计3小时,含赛题发放、收卷时间。
二、竞赛阶段简介B组参考以上时间区间开展。
三、竞赛任务(一)竞赛拓扑图(二)第一阶段任务1.根据网络拓扑图所示,配置交换机的管理VLAN为VLAN88;2.根据网络拓扑图所示,配置交换机管理VLAN的IP地址为88.88.88.X/24。
(X为参赛选手编号);3.据网络拓扑图所示,配置交换机telnet服务,交换机Telnet用户名:gxskills;密码: (选手自行设定并填写,注意字体工整);4.根据《赛场参数表》,配置交换机上连实战平台网络接口为Trunk;5.根据《赛场参数表》,配置交换机实战平台管理VLAN为VLAN80,并将PC1所连接口划入该VLAN;6.根据网络拓扑图所示,在第二阶段开始时按照《赛场参数表》配置交换机渗透测试VLAN,并将PC2所连接口划入该VLAN;7.根据网络拓扑图所示,在第三阶段开始时按照《赛场参数表》配置交换机渗透测试VLAN,并预备将PC2所连接口划入该VLAN。
(三)第二阶段任务请使用谷歌浏览器登录服务器192.168.XX.YY,根据《赛场参数表》提供的用户名和密码登录,登录后点击“闯关关卡”,左侧有第二阶段的任务列表。
点击右侧的“网络靶机”,进入虚拟机完成任务,找到FLAG值,填入空框内,点击“提交任务”按钮。
提示:所有FLAG中包含的字符全部是英文字符。
虚拟机:Backtrack5(用户名:root;密码:toor)虚拟机:Windows XP(用户名:administrator;密码:123456)任务1.Web应用程序SQL Inject安全攻防任务环境说明:服务器场景:WebServ2003(用户名:administrator;密码:空) 服务器场景操作系统:Microsoft Windows2003 Server服务器场景安装服务/工具1:Apache2.2;服务器场景安装服务/工具2:Php6;服务器场景安装服务/工具3:Microsoft SqlServer2000;服务器场景安装服务/工具4:EditPlus;1.进入WebServ2003服务器场景,分析源文件login.php,找到提交的变量名,并将全部的变量名作为Flag(形式:[变量名1&变量名2&变量名3…&变量名n])提交。
2017年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书
2017年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书一、赛项时间9:00-15:00,共计6小时,含赛题发放、收卷及午餐时间。
二、赛项信息三、赛项内容本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要提交任务“操作文档”,“操作文档”需要存放在裁判组专门提供的U盘中。
第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹(xx用具体的工位号替代),赛题第一阶段完成任务操作的文档放置在文件夹中。
例如:08工位,则需要在U盘根目录下建立“08工位”文件夹,并在“08工位”文件夹下直接放置第一个阶段的操作文档文件。
特别说明:只允许在根目录下的“08工位”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一)赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP地址规划表、设备初始化信息。
1.网络拓扑图PC环境说明:PC-1(须使用物理机中的虚拟机):物理机操作系统:Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统:WindowsXP虚拟机安装服务/工具1:Microsoft Internet Explorer 6.0虚拟机安装服务/工具2:Ethereal0.10.10.0虚拟机安装服务/工具3:HttpWatch Professional Edition虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC-2(须使用物理机中的虚拟机):物理机操作系统:Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统:WindowsXP虚拟机安装服务/工具1:Microsoft Internet Explorer 6.0虚拟机安装服务/工具2:Ethereal0.10.10.0虚拟机安装服务/工具3:HttpWatch Professional Edition虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC-3(须使用物理机中的虚拟机):物理机操作系统:Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统:Kali Linux(Debian7 64Bit)虚拟机安装服务/工具:Metasploit Framework虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)2.IP地址规划表3.设备初始化信息(二)第一阶段任务书(300分)任务1:网络平台搭建(60分)任务2:网络安全设备配置与防护(240分)DCFW:1.在总公司的DCFW上配置,连接LAN接口开启PING,HTTP,HTTPS功能,连接Internet接口开启PING、HTTPS功能;并且新增一个用户,用户名dcn2017,密码dcn2017,该用户只有读-执行权限;2.DCFW配置NTP 和 LOG, Server IP为X.X.X.X,NTP认证密码为Dcn2017;3.DCFW连接LAN的接口配置二层防护,ARP Flood超过500个每秒时丢弃超出的ARP包,ARP扫描攻击超过300个每秒时弃超出的ARP包;配置静态ARP绑定,MAC地址880B.0A0B.0C0D与IP地址X.X.X.X绑定;4.DCFW连接Internet的区域上配置以下攻击防护:FW1,FW2攻击防护启以下Flood防护:ICMP洪水攻击防护,警戒值2000,动作丢弃;UDP供水攻击防护,警戒值1500,动作丢弃;SYN洪水攻击防护,警戒值5000,动作丢弃;开启以下DOS防护:Ping of Death攻击防护;Teardrop攻击防护;IP选项,动作丢弃;ICMP大包攻击防护,警戒值2048,动作丢弃;5.限制LAN到Internet流媒体RTSP应用会话数,在周一至周五8:00-17:00每5秒钟会话建立不可超过20;6.DCFW上配置NAT功能,使PC2能够通过WEB方式正常管理到WAF,端口号使用10666;)7.总公司DCFW配置SSLVPN,建立用户dcn01,密码dcn01,要求连接Internet PC2可以拨入,配置下载客户端端口为9999,数据连接端口为9998,SSLVPN地址池参见地址表;8.DCFW加强访问Internet安全性,禁止从HTTP打开和下载可执行文件和批处理文件;9.DCFW配置禁止所有人在周一至周五工作时间9:00-18:00访问京东和淘宝;相同时间段禁止访问中含有“娱乐”、“新闻”的WEB页面;10.DCFW上配置ZONE和放行策略,连接Internet接口为“Untrust”区域,连接DCRS接口为“Trust”区域,连接SSL VPN接口为“VPN HUB”区域,要求配置相应的最严格安全策略;)DCBI:11.在公司总部的DCBI上配置,设备部署方式为旁路模式,并配置监控接口与管理接口;增加非admin账户DCN2017,密码dcn2017,该账户仅用于用户查询设备的系统状态和统计报表;12.在公司总部的DCBI上配置,监控周一至周五9:00-18:00 PC-1所在网段用户访问的URL中包含xunlei的HTTP访问记录,并且邮件发送告警;13.在公司总部的DCBI上配置,监控PC-1所在网段用户周一至周五9:00-18:00的即时聊天记录;14.公司总部LAN中用户访问网页中带有“MP3”、“MKV”、“RMVB”需要被DCBI记录;邮件内容中带有“银行账号”记录并发送邮件告警;15.DCBI监控LAN中用户访问网络游戏,包括“QQ游戏”、“魔兽世界”并作记录;16.DCBI配置应用及应用组“快播视频”,UDP协议端口号范围23456-23654,在周一至周五9:00-18:00监控LAN中所有用户的“快播视频”访问记录;17.DCBI上开启邮件告警,邮件服务器地址为X.X.X.X,端口号25,告警所用邮箱用户名dcnadmin,密码Dcn2017;当DCBI磁盘使用率超过75%时发送一次报警;WAF:18.在公司总部的WAF上配置,编辑防护策略,定义HTTP请求体的最大长度为512,防止缓冲区溢出攻击;19.在公司总部的WAF上配置,防止某源IP地址在短时间内发送大量的恶意请求,影响公司网站正常服务。
2017广西职业院校技能大赛中职组《网络空间安全》样题概要1讲解
“网络空间安全”项目竞赛任务书(样题)一、赛项时间每场3小时。
二、赛项信息三、赛项内容(一)赛项环境设置1.网络拓扑图2.IP地址规划表(二)第一阶段任务书(10分)任务:网络空间安全平台搭建(10分)1.根据网络拓扑图所示,设计连线,制作网线,做好机柜布线系统。
2.根据网络拓扑图所示,按照IP地址参数表,对网络设备的名称、各接口IP地址进行配置。
3.根据网络拓扑图所示,按照IP地址参数表,部署服务器和主机。
4.据网络拓扑图所示,按照IP地址参数表,在交换机交换机上创建相应的VLAN,并将相应接口划入VLAN。
5.配置三层交换机,通过Gratuitous ARP来抵御来自VLAN20接口的针对网关的ARP欺骗攻击。
6.配置三层交换机,通过ARP Guard来抵御来自VLAN20接口的针对网关的ARP欺骗攻击。
7.在三层交换机的PC2所连接端口配置Port Security特性,阻止PC2发起MACFlooding渗透测试。
8.在三层交换机上配置Access Management安全特性,阻止PC2发起ARP Spoofing渗透测试。
9.在三层交换机上配置端口环路检测(Loopback Detection),防止来自任意物理接口下的单端口环路,并配置存在环路时的检测时间间隔为50秒,不存在环路时的检测时间间隔为20秒。
10.配置三层交换机生成树协议安全特性,阻止PC2发起BPDU DOS渗透测试。
(三)第二阶段任务书(60分)任务1:SQL注入攻防任务环境说明:服务器场景:WebServ2003服务器场景操作系统:Microsoft Windows2003 Server服务器场景安装服务/工具1:Apache2.2;服务器场景安装服务/工具2:Php6;服务器场景安装服务/工具3:Microsoft SqlServer2000;服务器场景安装服务/工具4:EditPlus;1. 访问WebServ2003服务器场景,进入login.php页面,分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;2. 对该任务题目1页面注入点进行SQL注入渗透测试,使该Web站点可通过任意用户名登录,并将登录密码作为Flag提交;3. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到loginAuth.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入,并将修改后的PHP源程序中的Flag提交;4. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交;5. 访问WebServ2003服务器场景,"/"->"Employee Information Query",分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;6. 对该任务题目5页面注入点进行渗透测试,根据输入“%”以及“_”的返回结果确定是注入点,Web页面回显作为Flag提交;7. 通过对该任务题目5页面注入点进行SQL注入渗透测试,删除WebServ2003服务器场景的C:\目录下的1.txt文档,并将注入代码作为Flag提交;8. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到QueryCtrl.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入渗透测试,并将修改后的PHP源程序中的Flag提交;9. 再次对该任务题目5页面注入点进行渗透测试,验证此次利用注入点对该WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交。
2017 技能大赛 拟设赛题 高职 计算机网络应用 题库B卷
“2017年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题B卷赛题说明一、竞赛内容分布第一部分:网络规划与实施(80%)模块一:无线网络规划与实施(10%)模块二:云计算融合网络部署(23%)模块三:移动互联网络组建与优化(14%)模块四:网络空间安全部署(15%)模块五:云计算网络服务环境搭建(18%)第二部分:综合布线规划与设计(15%)另有:赛场规范和文档规范(5%)二、竞赛时间竞赛时间为4个小时。
三、竞赛注意事项1.竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。
2.请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3.操作过程中,需要及时保存设备配置。
比赛结束后,所有设备保持运行状态,不要拆动硬件连接。
4.比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
5.裁判以各参赛队提交的竞赛结果文档为主要评分依据。
所有提交的文档必须按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等信息。
四、竞赛结果文件的提交按照题目要求,提交符合模板的WORD文件和Visio图纸文件和设备配置文件。
第一部分:网络规划与实施注意事项●赛场提供一组云平台环境,已经安装好JCOS系统及导入虚拟机模板镜像(Windows Server 2008 R2及CentOS 7.0)。
JCOS系统的IP地址为172.16.0.2。
●考生通过WEB页面登录到JCOS系统中,基于模板镜像建立虚拟机并对虚拟机中的操作系统进行相关网络服务配置。
JCOS系统的登录用户名和密码都是XX(现场提供)。
●Windows操作系统的管理员和CentOS的root用户密码都是Root2017。
●考生在PC机上通过SecureCRT软件配置网络设备,软件已经安装在电脑中。
2017年XXX中等职业学生技能大赛——网络搭建及应用竞赛试题
2017年XX市中等职业学生技能大赛网络搭建及应用竞赛(总分100分)赛题说明一、竞赛内容分布“网络搭建及应用”竞赛共分三个部分,其中:第一部分:网络搭建项目 40%第二部分:服务器配置及应用项目 55%第三部分:职业规范及团队精神5%二、竞赛注意事项(1)禁止携带和使用比赛提供之外的移动存储设备和资料。
(2)请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
(3)本试卷共有两个部分。
请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
(4)操作过程中,需要及时保存设备配置。
比赛结束后,所有设备保持运行状态,不要拆、动硬件连接。
(5)比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
(6)所有需要提交的文档和配置截图均按照赛题中结果提交要求放置在PC1主机桌面的“工位号+比赛文档”文件夹中,禁止在纸质资料上填写与竞赛无关的标记,如违反规定,可视为0分。
2017年XX市中等职业学生技能大赛网络搭建及应用竞赛题(7)裁判以各参赛队提交的竞赛结果文档和配置截图为主要评分依据。
网络搭建部分所有提交的结果采用Word文档方式保存,文档均按照设备名称正确命名,防火墙保存配置功能截图并进行功能描述、其它设备保存show run所有配置命令。
网络服务器部分所有提交的结果采用截图方式并按照题目编号保存到Word文档中,该Word文档须按照赛题要求进行命名并放置在相应的文件夹中,未按试题要求进行截图的不得分。
项目简介:某集团公司经过业务发展,设立了分公司,为了实现快捷的信息交流和资源共享,需要构建统一网络。
公司总部对外采用双出口模式分别连接到电信网络和联通网络,并实现策略路由。
内部采用双核心的网络架构,路由器通过专用链路来传输业务数据流。
总部为了安全管理每个部门的用户,使用VLAN技术将每个部门的用户划分到不同的VLAN中。
2017 技能大赛 拟设赛题 高职 计算机网络应用 题库A卷
“2017年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题A卷赛题说明一、竞赛内容分布第一部分:网络规划与实施(80%)模块一:无线网络规划与实施(10%)模块二:云计算融合网络部署(23%)模块三:移动互联网络组建与优化(14%)模块四:网络空间安全部署(15%)模块五:云计算网络服务环境搭建(18%)第二部分:综合布线规划与设计(15%)另有:赛场规范和文档规范(5%)二、竞赛时间竞赛时间为4个小时。
三、竞赛注意事项1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3. 操作过程中,需要及时保存设备配置。
比赛结束后,所有设备保持运行状态,不要拆动硬件连接。
4. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。
所有提交的文档必须按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等信息。
四、竞赛结果文件的提交按照题目要求,提交符合模板的WORD文件、Visio图纸文件和设备配置文件。
第一部分:网络规划与实施注意事项●赛场提供一组云平台环境,已经安装好JCOS系统及导入虚拟机模板镜像(Windows Server 2008 R2及CentOS 7.0)。
JCOS系统的IP地址为172.16.0.2。
●考生通过WEB页面登录到JCOS系统中,基于模板镜像建立虚拟机并对虚拟机中的操作系统进行相关网络服务配置。
JCOS系统的登录用户名和密码都是XX(现场提供)。
●Windows操作系统的管理员和CentOS的root用户密码都是Root2017。
●考生在PC机上通过SecureCRT软件配置网络设备,软件已经安装在电脑中。
中职组网络空间安全大赛样题
中职组⽹络空间安全⼤赛样题⽹络空间安全⼤赛赛项规程⼀、赛项名称赛项名称:⽹络空间安全中职学⽣组⼆、竞赛内容重点考核参赛选⼿⽹络系统安全策略部署、信息保护、⽹络安全运维管理的综合实践能⼒,具体包括:1.参赛选⼿能够在赛项提供的服务器上配置各种协议和服务,实现⽹络系统的运⾏,并根据⽹络业务需求配置各种安全策略,以满⾜应⽤需求。
2.参赛选⼿能够根据⼤赛提供的赛项要求,实施⽹络空间安全防护操作。
3.参赛选⼿能够根据⽹络实际运⾏中⾯临的安全威胁,确定安全策略并部署实施,防范并制⽌⽹络恶意⼊侵和攻击⾏为。
4. 参赛选⼿通过分组混合对抗的形式,能够实时防护⾃⼰服务器,抵御外界的攻击,同时能够对⽬标进⾏渗透和攻击。
5.竞赛总时长为3个⼩时,各竞赛阶段安排如下:序号内容模块具体内容说明第⼀阶段单兵模式系统渗透测试密码学和VPN密码学、IPSec VPN、IKE:PreSharedKey(预共享密钥认证)、IKE:PKI(公钥架构认证)、SSL VPN等。
操作系统渗透测试及加固Windows操作系统渗透测试及加固、Linux操作系统渗透测试及加固等。
Web应⽤渗透测试及加固SQL Injection(SQL注⼊)漏洞渗透测试及加固、Command Injection(命令注⼊)漏洞渗透测试及加固、File Upload(⽂件上传)漏洞渗透测试及加固、DirectoryTraversing(⽬录穿越)漏洞渗透测试及加固、XSS(Cross Site Script)漏洞渗透测试及加固、CSRF(Cross Site RequestForgeries)漏洞渗透测试及加固、SessionHijacking(会话劫持)漏洞渗透测试及加固⽹络安全数据分析能够利⽤⽇志收集和分析⼯具对⽹络流量收集监控,维护⽹络安全。
常⽤渗透扫描⼯具使⽤与脚本语⾔应⽤能够利⽤如Nmap、Nessus、metasploit等常⽤渗透扫描⼯具进⾏信息收集及系统渗透;熟悉shell,Python等脚本语⾔的应⽤。
2017 中职 正式赛卷 网络空间安全 试卷评分标准
2017年全国职业院校技能大赛中职组“网络空间安全”赛项评分规则第一阶段评分规则规则1:第一阶段总分为70分,分为三个任务,每道题细分如下:规则2:系统自动评分和排名,显示在大屏幕上;规则3:同分的选手会根据系统提供的答题时间进行排名,答题时间为最后一个正确FLAG值提交的时间,先提交者排名靠前。
第二阶段评分规则规则1:第二阶段总分为30分,初始分为10分;规则2:每提交1次对手靶机的FLAG值增加2分,每当被对手提交1次自身靶机的FLAG值扣除2分,每个对手靶机的FLAG值只能提交一次;规则3:在实际得分和大屏显示中,某选手得分可能会显示负分或者超过30分;凡是负分的,本阶段评判成绩一律为0分;凡是超过30分的,本阶段评判成绩一律为30分;选手成绩排名次序保持不变,得分相同的选手根据实际得分以及得分时间点不同而排名不同。
【名辞解释】实际成绩:这是系统自动打出的分数,会显示在大屏幕上,分数可能是负数,可能是超过第二阶段满分30分的分数;评判成绩:0-30分之间,是裁判长根据系统导出的成绩进行修订,保证第二阶段成绩不影响其他阶段成绩。
整体合分规则规则1:如果总分相同,以第二阶段评判成绩高低排序,第二阶段评判成绩高者靠前;规则2:如果第二阶段评判成绩也相同,以第二阶段提交正确FLAG值(实际成绩)高低排序,实际成绩高者排名靠前;规则3:第二阶段提交正确FLAG值(实际成绩)相同,以第二阶段提交最后一个正确的FALG时间排序,先完成者排名靠前。
成绩录入规则规则1:成绩录入系统的分数不能相同;规则2:同分选手,按照排名顺序,从最后一位选手开始,排名每靠前一位,增加0.01分录入系统。
各赛题答案1.1.1service httpd start1.1.2O1.1.3Linux 2.6.9 - 2.6.301.1.4sV1.1.5Apache httpd 2.2.3 ((CentOS)) 1.1.6service httpd stop1.1.722/tcp1.2.1</body>1.2.21.2.35051.3.1socket.time.optparse1.3.2AF_INET.SOCK_STREAM.1.3.3IP.UDP.ICMP1.3.4socket1.3.5haslayer1.3.6port1.3.7parser.tgtHost1.3.8[+]80/tcp open。
广西区高职技能大赛_题目_第5套
2010年全国职业院校技能大赛高职组计算机网络组建与安全维护竞赛试题参赛说明一、注意事项1、检查硬件设备、软件、工具、线缆和耗材线等的数量是否齐全,电脑设备是否正常。
2、禁止携带和使用移动存储设备、运算器、通信工具及参考资料。
3、操作完成后,需要保存设备配置,不要关闭任何设备,不要拆动硬件的连接,不要对设备随意加密码,试卷留在考场。
4、赛场准备的比赛所需要竞赛设备、竞赛软件和竞赛材料等。
二、竞赛环境硬件环境软件环境注:硬盘中的软件,放置于d:\其他耗材及工具注:防火墙证书文件、VPN管理中心和VPN远程接入系统,放置于d:\三、网络拓扑如下图所示:2010年全国职业院校技能大赛高职组——计算机网络组建与安全维护竞赛试题3 / 12试题题目试题一:项目组建与规划(50分)(1)IP地址与业务规划(30分)该实施项目为两地隔离的总公司和分公司通过互联网实现信息互通的项目实施案例。
R1、R2、R3之间模拟运营商路由器,之间运行RIP、OSPF路由协议。
R1和R2之间通过1.1.2.0/30地址互联、R1和R3之间通过1.1.3.0/30地址相连,互联地址中的第一个地址均在R1的接口上。
总公司申请到了202.1.100.0/30网段地址,运营商提供的网关为202.1.100.1/30。
总公司局域网使用192.168.0.0/23网段地址。
其中,服务器网段使用192.168.0.0/24地址,两个服务器网段规划为一样大,分别使用VLAN 10和VLAN 11以后均会扩展到80-90台服务器。
服务器网段的最后一个地址需要使用本网段的最后一个可用地址。
防火墙以网关模式接入网络,防火墙和SW1、防火墙和SW2、R3和SW1、R3和SW2、SW1和SW2,均使用30位掩码地址互连,以最节省地址的方式,使用192.168.1.64/27网段的由低到高进行分配,其中SW1或SW2使用奇数地址。
总公司局域网内部有两个部门,分别使用VLAN 100和VLAN 200。
2017年度全国职业技能大赛中职组网络空间安全赛项
2017年度全国职业技能大赛中职组“网络空间安全”赛项山西省比赛竞赛任务书一、竞赛时间9:00-12:00,共计3小时。
二、竞赛阶段简介三、竞赛任务书内容(一)拓扑图(二)第一阶段任务书任务1.ARP扫描渗透测试任务环境说明:服务器场景:CentOS5.5服务器场景操作系统:CentOS5.51. 通过PC2中渗透测试平台对服务器场景CentOS5.5进行ARP扫描渗透测试(使用工具arping,发送请求数据包数量为5个),并将该操作使用命令中固定不变的字符串作为Flag提交;2. 通过PC2中渗透测试平台对服务器场景CentOS5.5进行ARP扫描渗透测试(使用工具arping,发送请求数据包数量为5个),并将该操作结果的最后1行,从左边数第2个数字作为Flag提交;3. 通过通过PC2中渗透测试平台对服务器场景CentOS5.5进行ARP扫描渗透测试(使用工具Metasploit中arp_sweep模块),并将工具Metasploit 中arp_sweep模块存放路径字符串作为Flag(形式:字符串1/字符串2/字符串3/…/字符串n)提交;4. 通过通过PC2中渗透测试平台对服务器场景CentOS5.5进行ARP扫描渗透测试(使用工具Metasploit中arp_sweep模块),假设目标服务器场景CentOS5.5在线,请将工具Metasploit中arp_sweep模块运行显示结果的最后1行的最后1个单词作为Flag提交;5. 通过通过PC2中渗透测试平台对服务器场景CentOS5.5进行ARP扫描渗透测试(使用工具Metasploit中arp_sweep模块),假设目标服务器场景CentOS5.5在线,请将工具Metasploit中arp_sweep模块运行显示结果的第1行出现的IP地址右边的第1个单词作为Flag提交;6. 通过通过PC2中渗透测试平台对服务器场景CentOS5.5进行ARP扫描渗透测试(使用工具Metasploit中arp_sweep模块),假设目标服务器场景CentOS5.5在线,请将工具Metasploit中arp_sweep模块的运行命令字符串作为Flag提交;任务2. Linux系统安全加固任务环境说明:✓服务器场景:CentOS5.5✓服务器场景操作系统:CentOS5.51.通过PC2中渗透测试平台对服务器场景CentOS5.5进行服务扫描渗透测试,并将扫描结果上数第5行的4个单词作为Flag(形式:单词1|单词2|单词3|单词4)提交;2.通过PC2中渗透测试平台对服务器场景CentOS5.5进行远程超级管理员口令暴力破解(使用PC2中的渗透测试平台中的字典文件superdic.txt),并将破解结果Success:后面2个空格之间的字符串作为Flag提交;3.通过PC2中渗透测试平台打开已经建立的会话,在与CentOS5.5的会话中新建用户admin,并将该用户提权至root权限,并将新建用户admin并提权至root权限全部命令作为Flag(形式:命令1|命令2|…|命令n)提交;4.修改并在原目录下编译、运行./root/autorunp.c木马程序,使该木马程序能够实现远程连接 8080端口,并在该端口上运行/bin/sh命令行程序,并将运行./root/autorunp.c木马程序以及运行后的系统网络连接状态(netstat -an)增加行内容作为Flag提交;5.将autorunp.c木马程序设置为系统启动后自动加载,并转入系统后台运行,并将在配置文件中增加的内容作为Flag提交;6.重新启动CentOS5.5服务器场景,通过PC2中渗透测试平台NETCAT远程打开CentOS5.5服务器场景./bin/sh程序,并运行查看IP地址命令,并将运行该命令需要输入的字符串作为Flag提交;7.对CentOS5.5服务器场景进行安全加固,阻止PC2中渗透测试平台对服务器场景CentOS5.5进行远程超级管理员口令暴力破解,并将配置文件增加的内容字符串作为Flag提交;任务3. 数据库安全加固任务环境说明:✓服务器场景:WebServ2003✓服务器场景操作系统:Microsoft Windows2003 Server✓服务器场景安装服务/工具1:Apache2.2;✓服务器场景安装服务/工具2:Php6;✓服务器场景安装服务/工具3:Microsoft SqlServer2000;✓服务器场景安装服务/工具4:EditPlus;1.对服务器场景WebServ2003安装补丁,使其中的数据库Microsoft SqlServer2000能够支持远程连接,并将补丁包程序所在目录名称作为Flag提交;2.对服务器场景WebServ2003安装补丁,使其中的数据库Microsoft SqlServer2000能够支持远程连接,在安装补丁后的服务器场景中运行netstat –an命令,将回显的数据库服务连接状态作为Flag提交;3.通过PC2中的渗透测试平台对服务器场景WebServ2003进行数据库服务扫描渗透测试,并将扫描结果作为Flag提交;4.通过PC2中的渗透测试平台对服务器场景WebServ2003进行数据库服务超级管理员口令暴力破解(使用PC2中的渗透测试平台中的字典文件superdic.txt),并将破解结果中的最后一个字符串作为Flag提交;5.通过PC2中de1渗透测试平台对服务器场景WebServ2003进行数据库服务扩展存储过程进行利用,删除WebServ2003服务器场景C:\1.txt,并将渗透测试利用命令以及渗透测试平台run结果第1行回显作为Flag提交;6.通过对服务器场景WebServ2003的数据库服务进行安全加固,阻止PC2中渗透测试平台对其进行数据库超级管理员密码暴力破解渗透测试,并将加固身份验证选项中的最后一个字符串作为Flag提交:7.验证在WebServ2003的数据库服务进行安全加固后,再次通过PC2中渗透测试平台对服务器场景WebServ2003进行数据库服务超级管理员口令进行暴力破解(使用PC2中的渗透测试平台中的字典文件superdic.txt),并将破解结果的上数第3行内容作为Flag提交;(三)第二阶段任务书各位选手是某公司的系统安全管理员,负责服务器(受保护服务器IP、管理员账号见现场发放的参数表)的维护,该服务器可能存在着各种问题和漏洞(见漏洞列表)。
2017 技能大赛 高职 正式赛卷 计算机网络应用 赛题
“2017年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛试题 B卷2017年全国职业院校技能大赛组委会2017年5月赛题说明一、竞赛内容分布第一部分:网络规划与实施(80%)模块一:无线网络规划与实施(10%)模块二:云计算融合网络部署(23%)模块三:移动互联网络组建与优化(14%)模块四:网络空间安全部署(15%)模块五:云计算网络服务环境搭建(18%)第二部分:综合布线规划与设计(15%)另有:赛场规范和文档规范(5%)二、竞赛时间竞赛时间为4个小时。
三、竞赛注意事项1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3. 操作过程中,需要及时保存设备配置。
比赛结束后,所有设备保持运行状态,不要拆动硬件连接。
4. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。
所有提交的文档必须按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等信息。
四、竞赛结果文件的提交按照题目要求,提交符合模板的WORD文件以及对应的PDF文件(利用Office Word另存为pdf文件方式生成pdf文件)、Visio图纸文件和设备配置文件。
第一部分:网络规划与实施注意事项●赛场提供一组云平台环境,已经安装好JCOS系统及导入虚拟机镜像WindowsServer 2008 R2。
JCOS系统的IP地址为172.16.0.2。
●考生通过WEB页面登录到JCOS系统中,建立虚拟机并对虚拟机中的操作系统进行相关网络服务配置。
JCOS系统的登录密码是XX(现场提供)。
●考生在PC机上通过SecureCRT软件配置网络设备,软件已经安装在电脑中。
职业院校技能大赛“网络空间安全”项目比赛任务书
职业院校技能大赛“网络空间安全”项目比赛任务书赛事背景随着数字化时代的到来,网络空间安全面临着严峻的考验。
越来越多的企业和组织对网络安全的重视程度也在逐渐提升。
在这种情况下,网络空间安全人才的需求越来越大,相关专业的就业形势也越来越广阔。
为了提高职业院校网络空间安全人才的素质,同时增强学生实践技能,本次比赛将围绕“网络空间安全”主题展开,旨在通过实践操作和竞赛比拼,推广网络空间安全知识,提高网络技术人才培养质量,为网络空间安全人才的培养和招募提供平台。
比赛宗旨为了进一步深入贯彻落实国家网络安全战略,增强职业技术教育人才培养质量,开拓教育教学的多元化和创新模式,推进职业院校国际化教育合作,特以“网络空间安全”为主题,邀请参赛队员在宣传网络安全知识、提升网络安全技能方面展开比拼,进一步弘扬“技能荣誉、岗位荣誉、学校荣誉”理念,传承和弘扬师德师风,提高学生的实践能力和团队协作意识,遵守赛场规则,比赛公平公正,体现比赛的公正性,促进学校网络技术课程的实践应用和教学改革,推动我校网络技术专业教学和科研的发展。
参赛对象各职业院校的在校生和实训课程学员,年龄不限,专业不限。
比赛要求参赛队员需要在本次比赛中编写并提交关于“网络空间安全”方面的作品,作品需包含以下内容:1. 任务题目每支队伍需要在规定时间内完成一项任务,任务内容与网络空间安全相关。
任务内容在比赛开始前将会发布,完成任务后需要提交相应的报告,报告应当详细描述如何完成任务,并且呈现出比赛成果。
2. 课程设计参赛队员需要展示他们所学习的网络空间安全相关的课程设计,并且要求在比赛中进行现场演示。
演示的重难点在于如何解决网络空间安全方面的问题,如何预防并处理恶意攻击等。
课程设计需要满足实用性和创新性。
3. 实验实践参赛队员需要展示他们在网络空间安全领域的实验实践能力。
实验内容需要关联网络空间安全行业领域,并且实验设计和实现需要得到各个评委的认可。
实验实践需要附带完善的实验报告。
2017 技能大赛 拟设赛题 高职 计算机网络应用 样题J卷
“2017年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题J卷赛题说明一、竞赛内容分布第一部分:网络规划与实施(80%)模块一:无线网络规划与实施(10%)模块二:云计算融合网络部署(23%)模块三:移动互联网络组建与优化(14%)模块四:网络空间安全部署(15%)模块五:云计算网络服务环境搭建(18%)第二部分:综合布线规划与设计(15%)另有:赛场规范和文档规范(5%)二、竞赛时间竞赛时间为4个小时。
三、竞赛注意事项1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3. 操作过程中,需要及时保存设备配置。
比赛结束后,所有设备保持运行状态,不要拆动硬件连接。
4. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。
所有提交的文档必须按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等信息。
四、竞赛结果文件的提交按照题目要求,提交符合模板的WORD文件、Visio图纸文件和设备配置文件。
第一部分:网络规划与实施注意事项●赛场提供一组云平台环境,已经安装好JCOS系统及导入虚拟机镜像(WindowsServer 2008 R2及CentOS 7.0)。
JCOS系统的IP地址为172.16.0.2。
●考生通过WEB页面登录到JCOS系统中,建立虚拟机并对虚拟机中的操作系统进行相关网络服务配置。
JCOS系统的登录用户名和密码都是XX(现场提供)。
●Windows操作系统的管理员和CentOS的root用户密码都是Root2017。
●考生在PC机上通过SecureCRT软件配置网络设备,软件已经安装在电脑中。
全国职业院校技能大赛中职组“网络空间安全”赛卷
2019年全国职业院校技能大赛中职组“网络空间安全”赛卷八一、竞赛阶段二、拓扑图PC机环境:物理机:Windows7;虚拟机1:Ubuntu Linux 32bit(用户名:root;密码:123456),安装工具集:Backtrack5,安装开发环境:Python3;虚拟机2:Kali1.0(用户名:root;密码:toor);虚拟机3:Kali2.0(用户名:root;密码:toor);虚拟机4:WindowsXP(用户名:administrator;密码:123456)。
三、竞赛任务书(一)第一阶段任务书(700分)任务1. Wireshark数据包分析(100分)任务环境说明:✓服务器场景:PYsystem20191✓服务器场景操作系统:Windows(版本不详)1.使用Wireshark查看并分析PYsystem20191桌面下的capture4.pcap 数据包文件,找出黑客获取到的可成功登录目标服务器FTP的账号密码,并将黑客获取到的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;(9分)2.继续分析数据包capture4.pcap,找出黑客使用获取到的账号密码登录FTP的时间,并将黑客登录FTP的时间作为Flag值(例如:14:22:08)提交;(13分)3.继续分析数据包capture4.pcap,找出黑客连接FTP服务器时获取到的FTP服务版本号,并将获取到的FTP服务版本号作为Flag值提交;(15分)4.继续分析数据包capture4.pcap,找出黑客成功登录FTP服务器后执行的第一条命令,并将执行的命令作为Flag值提交;(11分)5.继续分析数据包capture4.pcap,找出黑客成功登录FTP服务器后下载的关键文件,并将下载的文件名称作为Flag值提交;(13分)6.继续分析数据包capture4.pcap,找出黑客暴力破解目标服务器Telnet服务并成功获取到的用户名与密码,并将获取到的用户名与密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;(9分)7.继续分析数据包capture4.pcap,找出黑客在服务器网站根目录下添加的文件,并将该文件的文件名称作为Flag值提交;(13分)8.继续分析数据包capture4.pcap,找出黑客在服务器系统中添加的用户,并将添加的用户名与密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交。
职业院校技能大赛中职组《网络安全》赛项样题
职业院校技能大赛中职组《网络安全》赛项样题一、竞赛项目简介“网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。
竞赛时间安排和分值权重见表1。
二、竞赛注意事项1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2.请根据大赛所提供的竞赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3.在进行任何操作之前,请阅读每个部分的所有任务。
各任务之间可能存在一定关联。
4.操作过程中需要及时按照答题要求保存相关结果。
竞赛结束后,所有设备保持运行状态,评判以最后提交的成果为最终依据。
5.竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将竞赛所用的所有物品(包括试卷等)带离赛场。
6.禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为O分。
模块A基础设施设置与安全加固(本模块共200分)一、项目和任务描述假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录和密码策略、数据库安全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。
本模块要求对具体任务的操作截图并加以相应的文字说明,并以Word文档的形式书写,以PDF格式保存,并以赛位号作为文件名.二、服务器环境说明IDS:入侵检测系统服务器(Snort),操作系统为Linux1.OG:日志服务器(SPIUnk),操作系统为LinuxWeb:IIS服务器,操作系统为WindowsData:数据库服务器(MySq1),操作系统为LinUX三、具体任务任务一登录安全加固1.密码策略(IDS,LOG,Web,Data)a.最小密码长度不少于12个字符;2.登录策略(IDS,LOG,Web,Data)a.在用户登录系统时,应该有"Forauthorizedusersonly”提示信息;3.用户权限分配(WEB)a.禁止来宾账户登录和访问;任务二数据库加固(Data)1.以普通帐户安全运行mysqld,禁止mysql以管理员帐号权限运行;4.删除默认数据库(test);任务三Web安全加固(Web)1.删除默认站点;5.限制目录执行权限,对图片或者上传目录设置执行权限为无;任务四流量完整性保护(Web,Data)1.HTTP重定向HTTPS,仅使用HTTPS协议访问网站(Web);6.防止密码被窃取,仅使用证书登录SSH(Data)o任务五事件监控7.Web服务器开启审核策略:登录事件成功/失败;特权使用成功;策略更改成功/失败;进程跟踪成功/失败;模块B网络安全事件、数字取证调查和应用安全(本模块共400分)一、项目和任务描述:假定你是某网络安全技术支持团队成员,某企业的服务器系统被黑客攻击,你的团队前来帮助企业进行调查并追踪本次网络攻击的源头,分析黑客的攻击方式,发现系统漏洞,提交网络安全事件响应报告,修复系统漏洞,删除黑客在系统中创建的后门,并帮助系统恢复正常运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
“网络空间安全”项目竞赛任务书(样题)一、赛项时间每场3小时。
二、赛项信息三、赛项内容(一)赛项环境设置1.网络拓扑图2.IP地址规划表(二)第一阶段任务书(10分)任务:网络空间安全平台搭建(10分)1.根据网络拓扑图所示,设计连线,制作网线,做好机柜布线系统。
2.根据网络拓扑图所示,按照IP地址参数表,对网络设备的名称、各接口IP地址进行配置。
3.根据网络拓扑图所示,按照IP地址参数表,部署服务器和主机。
4.据网络拓扑图所示,按照IP地址参数表,在交换机交换机上创建相应的VLAN,并将相应接口划入VLAN。
5.配置三层交换机,通过Gratuitous ARP来抵御来自VLAN20接口的针对网关的ARP欺骗攻击。
6.配置三层交换机,通过ARP Guard来抵御来自VLAN20接口的针对网关的ARP欺骗攻击。
7.在三层交换机的PC2所连接端口配置Port Security特性,阻止PC2发起MACFlooding渗透测试。
8.在三层交换机上配置Access Management安全特性,阻止PC2发起ARP Spoofing渗透测试。
9.在三层交换机上配置端口环路检测(Loopback Detection),防止来自任意物理接口下的单端口环路,并配置存在环路时的检测时间间隔为50秒,不存在环路时的检测时间间隔为20秒。
10.配置三层交换机生成树协议安全特性,阻止PC2发起BPDU DOS渗透测试。
(三)第二阶段任务书(60分)任务1:SQL注入攻防任务环境说明:服务器场景:WebServ2003服务器场景操作系统:Microsoft Windows2003 Server服务器场景安装服务/工具1:Apache2.2;服务器场景安装服务/工具2:Php6;服务器场景安装服务/工具3:Microsoft SqlServer2000;服务器场景安装服务/工具4:EditPlus;1. 访问WebServ2003服务器场景,进入login.php页面,分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;2. 对该任务题目1页面注入点进行SQL注入渗透测试,使该Web站点可通过任意用户名登录,并将登录密码作为Flag提交;3. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到loginAuth.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入,并将修改后的PHP源程序中的Flag提交;4. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交;5. 访问WebServ2003服务器场景,"/"->"Employee Information Query",分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;6. 对该任务题目5页面注入点进行渗透测试,根据输入“%”以及“_”的返回结果确定是注入点,Web页面回显作为Flag提交;7. 通过对该任务题目5页面注入点进行SQL注入渗透测试,删除WebServ2003服务器场景的C:\目录下的1.txt文档,并将注入代码作为Flag提交;8. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到QueryCtrl.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入渗透测试,并将修改后的PHP源程序中的Flag提交;9. 再次对该任务题目5页面注入点进行渗透测试,验证此次利用注入点对该WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交。
任务2:XSS和CSRF攻防任务环境说明:服务器场景:WebServ2003服务器场景操作系统:Microsoft Windows2003 Server服务器场景安装服务/工具1:Apache2.2;服务器场景安装服务/工具2:Php6;服务器场景安装服务/工具3:Microsoft SqlServer2000;服务器场景安装服务/工具4:EditPlus;1. 访问WebServ2003服务器场景,"/"->" Employee Message Board",分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;2. 对该任务题目1页面注入点进行XSS渗透测试,并进入"/"->" Employee Message Board"->"Display Message"页面,根据该页面的显示,确定是注入点,并将Web页面回显内容作为Flag提交;3. 对该任务题目1页面注入点进行渗透测试,使"/"->" Employee Message Board"->"Display Message"页面的访问者执行网站(/)中的木马程序:/TrojanHorse.exe,并将注入代码内容作为Flag提交;4. 通过IIS搭建网站(/),并通过PC2生成木马程序TrojanHorse.exe,将该程序复制到网站(/)的WWW根目录下,并将该网站标题作为Flag提交;5. 当"/"->" Employee Message Board"->"Display Message"页面的访问者执行网站(/)中的木马程序TrojanHorse.exe以后,访问者主机需要被PC-3远程控制,打开访问者主机的CMD.exe命令行窗口,并将该操作结果回显作为Flag提交;6. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到insert.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御XSS渗透测试,并将修改后的PHP源程序中的Flag提交;7. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对WebServ2003服务器场景进行XSS渗透测试无效,并将Web页面回显作为Flag提交;8. 访问WebServ2003服务器场景,"/"->" Shopping Hall",分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;9. 对该任务题目1页面注入点进行渗透测试,使"/"->" Employee MessageBoard"->"Display Message"页面的访问者向页面ShoppingProcess.php提交参数goods=cpu&quantity=999999,查看"/"->"PurchasedGoods.php页面,并将注入代码作为Flag提交;10. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到DisplayMessage.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御CSRF渗透测试,并将修改后的源程序中的Flag提交;11. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对WebServ2003服务器场景进行CSRF渗透测试无效,并将Web页面回显内容作为Flag提交;(四)第三阶段任务书:分组对抗(30分)假定各位选手是某公司的系统管理员,负责服务器(受保护服务器IP、管理员账号见现场发放的参数表)的维护,该服务器可能存在着各种问题和漏洞(见漏洞列表)。
你需要尽快对服务器进行加固,十五分钟之后将会有很多黑客对这台服务器进行攻击。
提示1:该题不需要保存文档;提示2:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;提示3:加固常规漏洞;提示4:对其它参赛队系统进行渗透测试,取得FLAG值并提交到裁判服务器。
十五分钟之后,各位选手将真正进入分组对抗环节。
注意事项:注意1:任何时候不能关闭80端口,否则将判令停止比赛,第三阶段分数为0分;注意2:不能对裁判服务器进行攻击,否则将判令停止比赛,第三阶段分数为0分。
注意3:在加固阶段(前十五分钟,具体听现场裁判指令)不得对任何服务器进行攻击,否则将判令攻击者停止比赛,第三阶段分数为0分。
注意4:FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅有一个。
在这个环节里,各位选手需要继续保护你的服务器免受各类黑客的攻击,你可以继续加固你的服务器,你也可以选择攻击其他组的保护服务器(其他服务器网段见现场发放的参数表)。
漏洞列表:1. 靶机上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限。
2. 靶机上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限3. 靶机上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权4. 操作系统提供的服务包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限。
5. 操作系统提供的服务可能包含了缓冲区溢出漏洞,要求用户找到缓冲区溢出漏洞的服务,并利用此漏洞获取系统权限。
6. 操作系统中可能存在一些系统后门,选手可以找到此后门,并利用预留的后门直接获取到系统权限。
选手通过以上的所有漏洞点,最后得到其他选手靶机的最高权限,并获取到其他选手靶机上的FLAG值进行提交。