2023年中職組「網路空間安全」賽項 莆田市競賽

2021-10-13 20:23:26 字數 3741 閱讀 2156

任務一:檔案md5校驗

任務環境說明:

 伺服器場景:centos6.8(使用者名稱:root;密碼:123456)

 伺服器場景作業系統:centos6.8

進入虛擬機器作業系統:centos 6.8中的/root目錄,找到test.txt檔案,並使用md5sum工具來計算出該檔案的md5值,並將計算該檔案md5的命令的字串作為flag進行提交;

進入虛擬機器作業系統:centos 6.8中的/root目錄,找到test.txt檔案,並使用md5sum校驗工具來計算出該檔案的md5值,並將計算該檔案得到的md5值的字串中前6位作為flag進行提交;

進入虛擬機器作業系統:centos 6.8中的/root目錄,將test.txt檔案的檔名稱改為txt.txt,然後再使用md5sum工具計算txt.txt檔案的md5值,並將計算該檔案得到的md5值的字串中前5位數字和之前test.txt檔案md5值的字串中前5位數字相減的結果作為flag進行提交;

進入虛擬機器作業系統:centos 6.8,使用md5sum工具來計算/etc/passwd檔案的md5值,並將改md5值匯入到passwd.md5檔案中,並將該命令的字串作為flag進行提交;

進入虛擬機器作業系統:centos 6.8,建立乙個新的使用者,使用者名為user6,密碼為123456。再次計算/etc/passwd的md5值,並將該值與passwd.md5檔案中的值進行對比,並將新增使用者後/etc/passwd檔案的md5值的字串中前三位數字和之前/etc/passwd檔案md5值的字串中前三位數字相減的結果作為flag進行提交。

任務二:資料庫安全加固

任務環境說明:

 伺服器場景:centos6.8(使用者名稱:root;密碼:123456)

 伺服器場景作業系統:centos6.8

進入虛擬機器作業系統:centos 6.8,登陸資料庫(使用者名稱:root;密碼:root),檢視資料庫版本號,將檢視資料庫版本號的命令作為flag提交;

進入虛擬機器作業系統:centos 6.8,登陸資料庫(使用者名稱:root;密碼:root),檢視資料庫版本號,將查詢到的資料庫版本號作為flag提交;

進入虛擬機器作業系統:centos 6.8,登陸資料庫(使用者名稱:root;密碼:root),檢視資料庫列表,將檢視資料庫列表的命令作為flag提交;

進入虛擬機器作業系統:centos 6.8,登陸資料庫(使用者名稱:root;密碼:root),進入mysql資料庫,檢視所有使用者及許可權,找到可以從任意 ip 位址訪問的使用者,將該使用者的使用者名稱作為flag提交;(如有多個可以從任意 ip 位址訪問的使用者,提交形式為使用者名稱|使用者名稱|使用者名稱|使用者名稱)

進入虛擬機器作業系統:centos 6.8,登陸資料庫(使用者名稱:root;密碼:root),進入mysql資料庫,檢視所有使用者及許可權,找到可以從任意 ip 位址訪問的使用者,使用drop命令將該使用者刪除,將操作命令作為flag提交。

進入虛擬機器作業系統:centos 6.8,登陸資料庫(使用者名稱:root;密碼:root),進入mysql資料庫,改變預設 mysql 管理員的名稱,將系統的預設管理員root 改為 admin,防止被列舉,將操作命令作為flag提交。

通過本地pc中滲透測試平台kali2.0對伺服器場景linux2020進行系統服務及版本掃瞄滲透測試,並將該操作顯示結果中21埠對應的服務版本資訊字串作為flag值提交;

通過本地pc中滲透測試平台kali2.0對伺服器場景linux2020進行滲透測試,將該場景/var/www目錄中唯一乙個字尾為.bmp檔案的檔名稱作為flag值提交;

通過本地pc中滲透測試平台kali2.0對伺服器場景linux2020進行滲透測試,將該場景/var/www目錄中唯一乙個字尾為.bmp的檔案中的英文單詞作為flag值提交;

通過本地pc中滲透測試平台kali2.0對伺服器場景linux2020進行滲透測試,將該場景/var/vsftpd目錄中唯一乙個字尾為.docx檔案的檔名稱作為flag值提交;

通過本地pc中滲透測試平台kali2.0對伺服器場景linux2020進行滲透測試,將該場景/var/vsftpd目錄中唯一乙個字尾為.docx檔案的檔案內容作為flag值提交;

通過本地pc中滲透測試平台kali2.0對伺服器場景linux2020進行滲透測試,將該場景/home/guest目錄中唯一乙個字尾為.pdf檔案的檔名稱作為flag值提交;

通過本地pc中滲透測試平台kali2.0對伺服器場景linux2020進行滲透測試,將該場景/home/guest目錄中唯一乙個字尾為.pdf檔案的檔案內容作為flag值提交;

通過本地pc中滲透測試平台kali2.0對伺服器場景linux2020進行滲透測試,將該場景/root目錄中唯一乙個字尾為.txt檔案的檔名稱作為flag值提交;

通過本地pc中滲透測試平台kali2.0對伺服器場景linux2020進行滲透測試,將該場景/root目錄中唯一乙個字尾為.txt檔案的檔案內容作為flag值提交。

通過url訪問http://靶機ip/1,對該頁面進行滲透測試,將完成後返回的結果內容作為flag值提交;

通過url訪問http://靶機ip/2,對該頁面進行滲透測試,將完成後返回的結果內容作為flag值提交;

通過url訪問http://靶機ip/3,對該頁面進行滲透測試,將完成後返回的結果內容作為flag值提交;

通過url訪問http://靶機ip/4,對該頁面進行滲透測試,將完成後返回的結果內容作為flag值提交;

通過url訪問http://靶機ip/5,對該頁面進行滲透測試,將完成後返回的結果內容作為flag值提交;

通過url訪問http://靶機ip/6,對該頁面進行滲透測試,將完成後返回的結果內容作為flag值提交;

(三)第二階段任務書(300)

假定各位選手是某電子商務企業的資訊保安工程師,負責企業某些伺服器的安全防護,該伺服器可能存在著各種問題和漏洞。你需要盡快對該伺服器進行安全加固,15分鐘之後將會有其它參賽隊選手對這些伺服器進行滲透。

根據《賽場參數列》提供的第二階段的資訊,請使用pc的谷歌瀏覽器登入實戰平台。

靶機伺服器環境說明:

場景1:hzlinux(使用者名稱:root,密碼:123456),伺服器作業系統:centos(版本不詳);

注意事項:

1.不能對裁判伺服器進行攻擊,警告一次後若繼續攻擊將判令該參賽隊離場;

2.flag值為每台靶機伺服器的唯一性標識,每台靶機伺服器僅有1個;

3.靶機伺服器的flag值存放在/root/fla**alue.txt檔案或c:\fla**alue.txt檔案中;

4.在登入自動評分系統後,提交對手靶機伺服器的flag值,同時需要指定對手靶機伺服器的ip位址;

5. hzlinux不允許關閉的埠為 21、22、23、80;

6.系統加固時需要保證靶機對外提供服務的可用性,服務只能更改配置,不允許更改內容;

7.本環節是對抗環節,不予補時。

可能的漏洞列表如下:

1.伺服器中的漏洞可能是常規漏洞也可能是系統漏洞;

2.靶機伺服器上的**可能存在命令注入的漏洞,要求選手找到命令注入的相關漏洞,利用此漏洞獲取一定許可權;

3.靶機伺服器上的**可能存在檔案上傳漏洞,要求選手找到檔案上傳的相關漏洞,利用此漏洞獲取一定許可權;

4.靶機伺服器上的**可能存在檔案包含漏洞,要求選手找到檔案包含的相關漏洞,與別的漏洞相結合獲取一定許可權並進行提權;

5.作業系統提供的服務可能包含了遠端**執行的漏洞,要求使用者找到遠端**執行的服務,並利用此漏洞獲取系統許可權;

6.作業系統提供的服務可能包含了緩衝區溢位漏洞,要求使用者找到緩衝區溢位漏洞的服務,並利用此漏洞獲取系統許可權;

7.作業系統中可能存在一些系統後門,選手可以找到此後門,並利用預留的後門直接獲取到系統許可權。

2023年中總結

2019年中總結簡單說下前端開發感受呢,就是懵,雖然都是寫 但是細節上差距甚遠。不過華通公司的同事不錯,教了我很多東西。還有個很有意思的東西,年齡,我98年的,很多同事都會聊起年齡,然後說,哇,你好小啊!這個年齡小給我帶來了兩個優勢還有乙個缺點。優勢是 能包容我犯錯,似乎年輕就可以多犯錯?還有一點是...

2023年中小結

過去半年如同過去一整年的節奏一樣,充滿了變動。過去的半年,我從寫 轉向看 從掃瞄轉向遠控,從寢室搬了出來,有了自己的狗窩,不再需要去澡堂,生活時間更為自由,上下班通勤時間縮短,可以經常用我的小電鍋煮點粥喝。唯一完成的工程,應該是用python訓練了乙個樸素貝葉斯分類器,雖然後面被通知高層決定先擱置。...

2023年中級前端自檢清單

能區分行內元素和塊級元素 元資訊類標籤的使用目的 title head meta 了解瀏覽器繪製dom樹的大致原理,理解重繪重排 會使用canvas,svg。盒模型 選擇器的優先順序 水平垂直居中方案,越多越好 至少會使用一種預處理語言,sass less等 熟悉css3規則,動畫 過渡 漸變等 常...