2017江苏省中职组网络空间安全赛项赛题B
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2017年江苏省职业学校信息技术类技能大赛
网络空间安全(中职组)B卷
一、竞赛时间
9:00-12:00,共计3小时。
二、竞赛阶段简介
三、竞赛任务书内容
(一)拓扑图
(二)第一阶段任务书
1.根据网络拓扑图所示,配置交换机的管理VLAN为VLAN888;
2.根据网络拓扑图所示,配置交换机管理VLAN的IP地址为
88.88.88.X/24。(X为每参赛队所在组号);
3.据网络拓扑图所示,配置交换机telnet服务,交换机Telnet用户名:zhongke;密码:选手自行设定;
4.根据《赛场参数表》,配置交换机上连实战平台网络接口为Trunk;
5.根据《赛场参数表》,配置交换机实战平台管理VLAN为VLAN80,并将PC1所连接口划入该VLAN;
6.根据网络拓扑图所示,在第二阶段开始时按照《赛场参数表》配置交换机渗透测试VLAN,并将PC2所连接口划入该VLAN;
7.根据网络拓扑图所示,在第三阶段开始时按照《赛场参数表》配置交换机渗透测试VLAN,并预备将PC2所连接口划入该VLAN。
8.将交换机配置内容拷贝成文本文件保存到U盘根目录,文件名为参赛队所在组号。
(三)第二阶段任务书
请使用谷歌浏览器登录服务器192.168.80.1,根据《赛场参数表》提供的用户名密码登录,登录后点击“闯关关卡”,左侧有第二阶段的任务列表。
点击右侧的“网络靶机”,进入虚机完成任务,找到FLAG值,填入空框内,点击“提交任务”按钮。
提示:所有FLAG中包含的字符全部是英文字符。
虚拟机:Backtrack5(用户名:root;密码:toor)
虚拟机:WindowsXP(用户名:administrator;密码:123456)
任务1. 数据库安全加固
任务环境说明:
✓服务器场景:WebServ2003(用户名:administrator;密码:空)
✓服务器场景操作系统:Microsoft Windows2003 Server
✓服务器场景安装服务/工具1:Apache2.2;
✓服务器场景安装服务/工具2:Php6;
✓服务器场景安装服务/工具3:Microsoft SqlServer2000;
✓服务器场景安装服务/工具4:EditPlus;
1.对服务器场景WebServ2003安装补丁,使其中的数据库Microsoft SqlServer2000能够支持远程连接,并将补丁包程序所在目录名称作为Flag提交。
2.对服务器场景WebServ2003安装补丁,使其中的数据库Microsoft SqlServer2000能够支持远程连接,在安装补丁后的服务器场景中运行netstat –an命令,将回显的数据库服务连接状态作为Flag提交。
3.通过PC2中的渗透测试平台对服务器场景WebServ2003进行数据库服务
扫描渗透测试,并将扫描结果作为Flag提交。
4.通过PC2中的渗透测试平台对服务器场景WebServ2003进行数据库服务超级管理员口令暴力破解(使用PC2中的渗透测试平台中的字典文件superdic.txt),并将破解结果中的最后一个字符串作为Flag提交。
5.通过PC2中的渗透测试平台对服务器场景WebServ2003进行数据库服务扩展存储过程进行利用,删除WebServ2003服务器场景C:\1.txt,并将渗透测试利用命令字符串以及渗透测试平台run结果第1行回显作为Flag提交。
6.通过对服务器场景WebServ2003的数据库服务进行安全加固,阻止PC2中渗透测试平台对其进行数据库超级管理员密码暴力破解渗透测试,并将加固身份验证选项中的最后一个字符串作为Flag提交。
7.验证在WebServ2003的数据库服务进行安全加固后,再次通过PC2中渗透测试平台对服务器场景WebServ2003进行数据库服务超级管理员口令进行暴力破解(使用PC2中的渗透测试平台中的字典文件superdic.txt),并将破解结果的上数第3行内容作为Flag提交。
任务2.Linux系统安全加固
任务环境说明:
✓服务器场景:CentOS5.5(用户名:root;密码:123456)
✓服务器场景操作系统:CentOS5.5
1.通过PC2中渗透测试平台对服务器场景CentOS5.5进行服务扫描渗透测试,并将扫描结果上数第5行的4个单词作为Flag(形式:单词1|单词2|单词3|单词4)提交。
2.在原目录下编译、运行./root/autorunp.c木马程序,使该木马程序能够实现远程连接 8080端口,并在该端口上运行/bin/sh命令行程序,并将编译./root/autorunp.c木马程序需要输入的命令字符串作为Flag提交。
3.在原目录下编译、运行./root/autorunp.c木马程序,使该木马程序能够实现远程连接 8080端口,并在该端口上运行/bin/sh命令行程序,并将运行./root/autorunp.c木马程序需要输入的命令字符串作为Flag(形式:命令
1|命令2|…|命令n)提交。
4.将autorunp.c木马程序设置为系统启动后自动加载,并转入系统后台运行,并将所修改的配置文件的路径和名称作为Flag提交。
5.重新启动CentOS5.5服务器场景,通过PC2中渗透测试平台NETCAT远程打开CentOS5.5服务器场景./bin/sh程序,并运行查看IP地址命令,并将运行查看IP地址命令字符串作为Flag提交。
6.对CentOS5.5服务器场景进行安全加固,阻止PC2中渗透测试平台对服务器场景CentOS5.5进行远程超级管理员口令暴力破解,并将所配置的文件的路径和名称字符串作为Flag提交。
(四)第三阶段任务书
请使用谷歌浏览器登录服务器192.168.80.100,根据《赛场参数表》提供的用户名密码登录进行三阶段比赛。
各位选手是某公司的系统安全管理员,负责服务器(受保护服务器IP、管理员账号见现场发放的参数表)的维护,该服务器可能存在着各种问题和漏洞(见漏洞列表)。你需要尽快对服务器进行加固,十五分钟之后将会有很多黑客对这台服务器进行攻击。
提示:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;需要加固常规漏洞;并对其它参赛队系统进行渗透测试,取得FLAG值并提交到裁判服务器。
十五分钟之后,各位选手将真正进入分组对抗环节。
注意事项:
注意1:任何时候不能人为关闭服务器常用服务端口(21、22、23、53、80),否则将判令停止比赛,第三阶段分数为0分;
注意2:不能对裁判服务器进行攻击,否则将判令停止比赛,第三阶段分数为0分。
注意3:在加固阶段(前十五分钟,具体听现场裁判指令)不得对任何服务器进行攻击,否则将判令攻击者停止比赛,第三阶段分数为0分。
注意4:FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅