2024 一带一路暨金砖国家技能发展与技术创新大赛【企业信息系统安全赛项】选拔赛样题

2024 一带一路暨金砖国家技能发展与技术创新大赛--企业信息系统安全赛项任务书

    • 第一阶段: CTF 夺旗
        • 任务一 WEBCMS
        • 任务二 杂项 MISC
        • 任务三 Linux 应急响应分析
        • 任务四 Baby_PWN
        • 任务五 流量溯源
    • 第二阶段: 企业网络安全配置与渗透
    • 需要2023环境私信博主!

第一阶段: CTF 夺旗

背景:作为信息安全技术人员,除了要掌握安全运营、应急响应这些方面安全内容还应该经常参与CTF夺旗实战,通过夺旗赛能够进一步提升实战技术能力,磨炼选手的耐心,增强选手的学习能力。
CTF夺旗阶段题目主要包含:注入攻击,模版逃逸,序列化漏洞,服务漏洞等相关内容。

任务一 WEBCMS

任务描述:你是一名网络安全服务工程师,因A集团公司某页面站点操作不当导致代码泄露使得服务器易遭受攻击,现在需要你对A集团网站进行安全渗透与防护。
1.使用扫描器,获取靶机的Web服务端口号并提交,格式:flag{xxxx};
2.获取网站源码,将根目录下的文件夹个数提交,格式:flag{xxxx};
3.找出网站管理后台,提交后台页面的地址,格式:flag{xxxx};
4.找出数据库的密码并提交,格式:flag{xxxx};
5.登录靶机数据库,提交后台密码的密文,格式:flag{xxxx};
6.重置网站后台密码,修改为“hacker”,将修改的内容提交(网页中有隐藏线索),格式:flag{xxxx};
7.登录管理后台,将后台中隐藏的flag提交,格式:flag{xxxx}; 8.获取服务器根目录下的flag并提交,格式:flag{xxxx}。

任务二 杂项 MISC

任务描述:访问靶机http://服务器ip/,下载文件。
1.访问目标网站下载MISC.zip文件,将文件1中的flag值提交,提交格式:flag{};
2.访问目标网站下载MISC.zip文件,将文件2中的flag值提交,提交格式:flag{
};
3.访问目标网站下载MISC.zip文件,将文件3中的flag值提交,提交格式:flag{};
4.访问目标网站下载MISC.zip文件,将文件4中的flag值提交,提交格式:flag{
};
5.访问目标网站下载MISC.zip文件,将文件5中的flag值提交,提交格式:flag{******}。

任务三 Linux 应急响应分析

任务描述:A 集团的一台服务器系统遭受了恶意攻击,你现在是一名应急响应小组的安全工程师,请你通过分析漏洞找出其中的蛛丝马迹。root 用户为弱口令。

1.对该WebServer服务器进行分析,将黑客ip作为flag,提交格式: flag{};
2.对该WebServer服务器进行分析,将黑客使用的漏洞扫描器工具名作为flag;提交格式:flag{
};
3.对该WebServer服务器继续分析,将黑客第一次入侵时间作为flag; 提交格式:flag{******};
4.对该WebServer服务器进行分析,将黑客利用漏洞成功写入木马的

路径作为flag;提交格式:flag{};
5.对该WebServer服务器进行分析,将黑客在服务器上提权使用的二进制文件路径名作为flag 提交格式:flag{
}。

任务四 Baby_PWN

任务描述:访问靶机http://服务器ip/pwn,下载文件。

1.访问目标网页下载pwn程序,对该程序进行安全审计,通过相应的漏洞得到隐藏的flag,提交格式:flag{******}。

任务五 流量溯源

任务描述:A 集团的一台服务器遭受了恶意攻击,你现在是一名安全工程师,请你通过分析可疑流量文件找出其中的蛛丝马迹。访问靶机 SMB 服务下载附件。

1.找出黑客的IP地址;
2.提交黑客扫描的端口范围并提交黑客得到了哪些端口开放的信息, 提交格式:[xxxx:xxxx]+[xxxx,xxxx,xxxx];
3.将黑客渗透进入系统后得到的用户名称作为flag提交;
4.分析流量包,将黑客打开的第一个文件内容解密,将解密的内容作为flag提交;
5.分析流量包,从中获得压缩包,将其修复得到内容作为flag提交;
6.将上述加密信息解密,密钥即为用户名。

第二阶段: 企业网络安全配置与渗透

背景:您的团队正在对 A 集团进行等保测评,请寻找该企业中有缺陷的服务器,这些服务器可能存在着各种各样的渗透漏洞。您的团队需要渗透这些服务器并找出漏洞,按照下列题目要求进行服务器的环境加固后再次进行渗透测试,以此来确认加固的有效性。
任务 1:找到 A 集团总站点,对目标进行渗透测试,找到站点的后台管理页面以及该站点运行的系统账户,将端口号与账户名作为flag 值提交, 提交格式:flag{后台端口+服务运行账户};
任务 2:将 A 集团后台管理员“admin”的密码作为 flag 值提交,提交格式:flag{密码};
任务 3:对A 集团进行渗透测试,将主站点root 目录下的flag 提交, 提交格式:flag{};
任务 4:对总站点进行加固,在 FW 上开启认证,使用对应方式进行维护, 将对应的模块名称进行提交, 多个请用/隔开, 提交格式: flag{
};
任务 5:再次渗透总站点的后台管理页面,将页面回显的第三行的最后一个单词作为flag 值提交,提交格式flag{};
任务 6:对 A 集团的 DB 服务器进行渗透测试,找到管理页面,将管理页面中的flag 作为flag 值提交,提交格式:flag{
};
任务 7:对 A 集团的 DB 服务器进行渗透测试,将数据库管理员密码作为flag 值提交,提交格式:flag{};
任务 8:对 A 集团的DB 服务器进行渗透测试,将 root 家目录下的flag 提交,提交格式:flag{
};
任务 9:在 WAF 上配置基础防御功能,建立特征规则“HTTP 防御”, 使用对应方式进行维护,将对应的模块名称进行提交flag{};
任务 10:再次对 A 集团的DB 服务器管理页面进行渗透,将页面回显的第一行的第四个单词作为flag 值提交,提交格式flag{
}。

需要2023环境私信博主!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/5608.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

element-plus中使用el-switch时,用‘0,1’或者0,1来代替true,false绑定

介绍 switch 开关默认用 true, false来绑定的,但是在实际的项目中,有时候根据后端的接口返回,也可能会用字符串0 和 1 ,或者数字 0,1来代替; 具体实现如下 详情: 主要实现方式是通过使用el-switch组件里的 active-val…

企业计算机服务器中了rmallox勒索病毒怎么处理,rmallox勒索病毒处理建议

在网络技术不断发展的时代,网络在企业中的应用广泛,可以为企业带来更多的便利,大大提升了企业的生产效率,但网络作为虚拟世界,在为企业提供便利的同时,也为企业数据安全带来严重威胁。近期,云天…

mysql 删除数据,导致存在表空间碎片的解决方法

mysql删除数据,导致存在表空间碎片的解决方法 1.分区表2. 使用OPTIMIZE TABLE3. 定期重建表4. 监控和维护5. 考虑其他存储引擎或数据库系统:6. 调整删除策略: 删除大量数据,尤其是频繁发生的删除操作,确实可能导致表空…

ffmpeg命令行工具安装

1. root用户安装 #!/bin/bash sudo yum install epel-release -y#由于CentOS没有官方FFmpeg rpm软件包。但是,我们可以使用第三方YUM源(Nux Dextop)完成此工作。--外网 sudo rpm --import http://li.nux.ro/download/nux/RPM-GPG-KEY-nux.ro…

【YOLO改进】换遍IoU损失函数之EIoU Loss(基于MMYOLO)

EIoU损失函数 设计原理 一、IoU的局限性 IoU(Intersection over Union)是一种常用于评估目标检测模型性能的指标,特别是在计算预测边界框与真实边界框之间的重叠程度时。然而,IoU存在一些局限性,尤其是当两个边界框…

[python趣味实战]----基于python代码实现浪漫爱心 დ

正文 01-效果演示 下图是代码运行之后的爱心显示结果: 下面的视频该爱心是动态效果,较为简洁,如果需要使用,可以进行完善,这里只是一个趣味实战,下面将对代码实现进行非常详细地描述: 浪漫爱心…

Java数据结构-模拟实现ArrayList

MyArrayList顺序结构: 接口和MyArrayList重写接口 接口 接口中的方法是很多类通用的,所以可以写到接口中 public interface IList {public void add(int data) ;// 在 pos 位置新增元素public void add(int pos, int data);// 判定是否包含某个元素p…

踏上R语言之旅:解锁数据世界的神秘密码(三)

多元相关与回归分析及R使用 文章目录 多元相关与回归分析及R使用一.变量间的关系分析1.两变量线性相关系数的计算2.相关系数的假设检验 二.一元线性回归分析的R计算三、回归系数的假设检验总结 一.变量间的关系分析 变量间的关系及分析方法如下: 1.两变量线性相关…

LeetCode 727. 菱形

输入一个奇数 n n n,输出一个由 * 构成的 n n n阶实心菱形。 输入格式 一个奇数 n n n。 输出格式 输出一个由 * 构成的 n n n阶实心菱形。 具体格式参照输出样例。 数据范围 1 ≤ n ≤ 99 1≤n≤99 1≤n≤99 输入样例: 5输出样例: *…

JAVA的多态

在Java中,多态(Polymorphism)是面向对象编程的三大特性之一,它允许一个引用变量在运行时引用不同类的对象,并根据实际对象的类型来执行对应的方法。多态的存在增加了代码的灵活性和可扩展性。 多态的实现通常依赖于以下…

一文掌握python上下文管理器(with语句)

目录 一、上下文管理协议 二、with 语句 三、自定义上下文管理器 四、生成器上下文管理器 五、几个常用例子 1、自动关闭网络连接 2、临时更改目录 3、数据库事务管理 4、计时器上下文管理器 5、日志记录上下文管理器 6、资源锁定上下文管理器 7、临时修改环境变量…

windows远程访问树莓派ubuntu22.04 桌面 - NoMachine

通过nomachine 实现 windows 安装 nomachine 下载:链接:https://pan.baidu.com/s/10rGBREs-AnwRz7D7QbLQ1A?pwd8651 提取码:8651 安装:下一步 下一步 使用: 下一步 下一步 ubuntu 安装 nomachine服务 下载&#…

Java基础知识总结(81)

JUC容器 JUC基于非阻塞算法(Lock Free 无锁编程)提供了一组高并发的List、Set、Queue、Map容器。 JUC高并发容器是基于非阻塞算法实现的容器类,无锁编程算法主要通过CAS(Compare And Swap)volatile的组合实现&#x…

【C++程序员的自我修炼】string 库中常见的用法 (一)

唤起一天明月照我满怀冰雪浩荡百川流鲸饮未吞海 剑气已横秋 目录 string 库的简介 string 的一些小操作 构造函数的使用 拷贝构造的常规使用 指定拷贝内容的拷贝构造 拷贝字符串开始的前 n 个字符 用 n 个字符初始化 计算字符串的长度 string 的三种遍历方式 常规的for循环 op…

利用大型语言模型提升数字产品创新:提示,微调,检索增强生成和代理的应用

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

Linux基础part-6

一、Shell编程理论和运用 1、程序的编程风格和执行模式 编程风格(Programming Style) 过程式编程:以指令为中心,来进行写程序,数据服务于指令。(bash shell) C 以指令为中心,程序的逻辑由一系…

「笔试刷题」:字母收集

一、题目 描述 有一个 𝑛∗𝑚 的矩形方阵,每个格子上面写了一个小写字母。 小红站在矩形的左上角,她每次可以向右或者向下走,走到某个格子上就可以收集这个格子的字母。 小红非常喜欢 "love" 这四个字母。…

FFmpeg开发笔记(二十三)使用OBS Studio开启RTMP直播推流

OBS是一个开源的直播录制软件,英文全称叫做Open Broadcaster Software,广泛用于视频录制、实时直播等领域。OBS不但开源,而且跨平台,兼容Windows、Mac OS、Linux等操作系统。 OBS的官网是https://obsproject.com/,录制…

【报错处理】ib_write_bw执行遇到Couldn‘t listen to port 18515原因与解决办法?

要点 要点: ib默认使用18515端口 相关命令: netstat -tuln | grep 18515 ib_write_bw --help |grep port# server ib_write_bw --ib-devmlx5_1 --port88990 # client ib_write_bw --ib-devmlx5_0 1.1.1.1 --port88990现象: 根因&#xff…

为什么公共事业机构会偏爱 TiDB :TiDB 数据库在某省妇幼健康管理系统的应用

本文介绍了某省妇幼健康管理系统的建设和数据库架构优化的过程。原有的数据库架构使用了 StarRocks 作为分析层,但随着业务的发展,这套架构暴露出诸多痛点,不再适应妇幼业务的需求。为解决这些问题,该系统选择了将原有架构中的 St…