2023 金砖国家职业技能大赛网络安全省赛二三阶段样题(金砖国家未来技能挑战赛)

2023 金砖国家职业技能大赛网络安全省赛二三阶段样题(金砖国家未来技能挑战赛)

在这里插入图片描述

第二阶段: 安全运营

**背景:**作为信息安全技术人员必须能够掌握操作系统加固与安全管控、防火

墙一般配置、常见服务配置等相关技能,利用这些技能我们能够进一步保障重要

业务平稳运行。

安全运营阶段题目主要包含应用系统安全加固与配置、操作系统安全加固与

配置等内容,详细内容见下表:

序号

内容模块

说明

第二阶段

(实操)

应用系统安全运营管理

中间件安全运营、数据库安全运营、应用软件安全运营、

安全设备运营;

操作系统安全运营管理

系统安全策略、系统日志、系统帐户安全、系统事件监控、系统应用运营

项目 1.

操作系统安全配置与加固

任务一 Linux 加固

你作为 A 公司的安全运营人员,当前有一部 Linux 系统电脑需要加固,请按

照下面要求完成相关操作,保障系统安全运行。

\1. Linux 操作系统中修改本地登录显示信息的文件路径为;

\2. Linux 操作系统中锁定 user 用户的命令为;

\3. Linux 操作系统新建用户的密码最长使用天数需要修改的配置是;

\4. Linux 操作系统 SSH 服务禁止空密码登陆需要修改的配置是;

\5. Linux 操作系统 SSH 服务允许密码错误次数需要修改的配置是;

\6. 查看此 Linux 操作系统中/file/目录下哪个文件既有不可更改属性,又有

SUID 权限,将文件名作为 Flag 进行提交。2023 金砖国家职业技能大赛(金砖国家未来技能挑战赛)

BRICS-FS-28-SA_网络安全_样题TP

23 / 27

项目 2.

应用服务安全

任务二 My****SQL 数据库配置

你作为 A 公司的安全运营人员,当前有一部 MySQL 的数据库服务器的需要配

置,请按照下面要求完成相关操作,保障系统安全运行。

\1. 通过分析数据库服务器的配置,获得 MySQL 当前配置的错误日志路径,将

获得的完整错误日志路径作为 flag 值提交,提交格式:flag{******};

\2. 将当前 MySQL 服务器设置为只允许本机访问,将需要修改的配置参数和配

置内容作为 flag 值提交,配置参数和配置内容用=分隔,提交格式:

flag{=};

\3. 当前 MySQL 服务器的密码被遗忘了,现需要通过其他的方式登录到 MySQL

中,获取 flag数据库中的 flag值作为flag 值提交,提交格式:

flag{******};

\4. 黑客经常通过 SQL 注入的方式获取系统核心文件,mysql 对本地文件的存取

主要通过 LoadDATA LOCAL INFILE 等 SQL 语句实现,对当前的 MySQL 服务

进行安全配置,禁止黑客通过数据库获取到系统文件,将需要修改的配置

参数和配置内容作为 flag 值提交,配置参数和配置内容用=分隔,提交格

式:flag{=};

\5. 为了防止弱口令爆破,数据库的密码长应该设有复杂度要求,查看当前

MySQL 配置,将当前 MySQL 密码最少长度要求的值作为 flag 进行提交,提

交格式:flag{******}

\6. MySQL 安全策略中需要启用登录失败处理功能,查看当前 MySQL 配置,获取

登录失败次数限制与登录发生延迟时,延迟的最小时间(单位为毫秒),将

两个值通过/进行分隔,然后作为 flag 进行提交,提交格式:flag{/}

第三阶段: 应急响应

**背景:**作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、

恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、

分析蛛丝马迹帮助我们更好的完成应急响应工作。

应急响应阶段题目主要包含安全事件应急响应及数字取证与调查等内容,详

细内容见下表:2023 金砖国家职业技能大赛(金砖国家未来技能挑战赛)

BRICS-FS-28-SA_网络安全_样题TP

24 / 27

序号

内容模块

说明

第三阶段

(实操)

安全事件应

急响应

系统日志分析、进程分析、内存文件分析、木马病毒分

析、程序逆向分析、恶意脚本分析、追踪溯源;

数字取证与

调查

网络流量分析、协议流量分析、文件分析取证、编码转

换、加解密、数据恢复、数据隐写

项目 1.

安全事件应急响应

任务一 数据泄露应急响应事件

某台服务器由于存在 SQL 注入漏洞,被不法分析获取到了网站的某个管理员

的账号和密码,现需要您通过登入到服务器中进行研判分析。(SSH 账号:user,

口令:toor)

\1. 找到服务器中记录到此次攻击事件的日志文件,将此日志文件的文件名

(包括后缀)作为 flag 进行提交;

\2. 上一步中找到的日志分析中发现有多个 IP 地址对此服务器进行了访问或

者攻击,找到访问或攻击次数最多的 IP 地址,将该 IP 地址字符串通过

SHA256 运算后返回哈希值的十六进制结果作为 Flag 值(形式:十六进

制字符串)提交;

\3. 找到访问或攻击次数最多的 IP 地址,将此 IP 地址访问和攻击的总次数作

为 Flag 进行提交;

\4. 哪一个 IP 地址对此服务器发起了 SQL 注入攻击,并最终获取到了 Web

应用中 admin 用户的密码,将该 IP 地址字符串通过 SHA256 运算后返回

哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)提交;

\5. 通过日志分析找到被泄露的 Web 应用中 admin 用户的密码,并使用浏览

器访问此 Web 应用,使用被泄露的用户名和密码进行登录,获得 Flag

值进行提交。

任务二 漏洞利用应急响应事件

某服务器由于存在漏洞导致黑客可以访问到不该访问的机密文件,现需要你

登入到服务器中,通过分析找到此漏洞,并对存在的漏洞进行修复(SSH 账号:

user,口令:toor)2023 金砖国家职业技能大赛(金砖国家未来技能挑战赛)

BRICS-FS-28-SA_网络安全_样题TP

25 / 27

\1. 找到存在漏洞的应用服务,将此应用服务的名称作为 Flag 进行提交;

\2. 黑客利用此漏洞获取了某个机密文件,此机密文件中存在机密信息,将

此机密信息解密后作为 Flag 进行提交;

\3. 找到存在漏洞的配置文件,将此配置文件在服务器中的绝对路径通过

SHA256 运算后返回哈希值的十六进制结果作为 Flag 值(形式:十六进

制字符串)提交

\4. 对此漏洞进行修复,靶机中存在自动检测脚本,脚本每 5 分钟运行一次,

修复完成后,选手可以到/tmp/secret 文件中查看修复结果。如:Result:

Fail(表示失败),Result:Success(表示成功,并会给出 flag 字符串)

项目 2.

电子取证分析

任务三 磁盘分析取证

\1. 分析磁盘文件,并对磁盘进行挂载,挂载成功后,在磁盘的 file/目录下

获取 Flag 进行提交;

\2. 修复磁盘中 img/目录下被损坏的图片文件,并获取 Flag 进行提交;

\3. 磁盘的 file/目录下存在被隐藏的文件,找到此隐藏文件并进行恢复,在

恢复后的文件中找到 Flag 进行提交;

\4. 磁盘中的一些文件已经被删除,将其恢复,并将文件中的机密字符串解

密后作为 Flag 进行提交。

第四阶段: CTF 夺旗

**背景:**作为信息安全技术人员,除了要掌握安全运营、应急响应这些方面安

全内容还应该经常参与 CTF 夺旗实战,通过夺旗赛能够进一步提升实战技术能力,

磨练选手的耐心,增强选手的学习能力。

CTF 夺旗阶段题目主要包含:Misc 综合、Crypto 加解密、Reverse 逆向、Web

安全、PWN 溢出。2023 金砖国家职业技能大赛(金砖国家未来技能挑战赛)

BRICS-FS-28-SA_网络安全_样题TP

26 / 27

项目 1.

Misc 综合

任务一 文件隐写

\1. 对压缩包 filezip1.zip 进行破解,获得 Flag 进行提交;

\2. 对压缩包 filezip2.zip 进行破解,获得 Flag 进行提交;

\3. 对压缩包中包含的文件进行修复,获得 Flag 进行提交。

项目 2.

Crypto 加解密

任务二 Crypto1

\1. 对题目中给出的密文进行解码与解密,获得 Flag 进行提交

任务三 Crypto2

\1. 分析题目附件,使用广播攻击,并编写脚本进行爆破公钥,获得明文 Flag

进行提交

项目 3.

Reverse 逆向

任务四 Reverse1

对文件中涉及到的算法进行分析,通过逆推加密过程并解密获得 Flag 进行提交;

项目 4.

Web 安全

任务五 Web1

\1. 分析题目给出的源代码,并利用源代码中存在的漏洞读取 Flag 进行提交;2023 金砖国家职业技能大赛(金砖国家未来技能挑战赛)

BRICS-FS-28-SA_网络安全_样题TP

27 / 27

任务六 Web2

\1. 获取题目源代码,在源代码中找到 Flag 进行提交;

\2. 利用题目环境中存在的漏洞,成功登陆到 Web 应用,在登录成功的提示

框中获得 Flag 进行提交;

\3. 利用题目环境中存在的任意文件漏洞,读取靶机网站根目录下的机密文

件内容,将文件内容作为 Flag 进行提交;

\4. 利用题目环境中存在的反序列化漏洞,获得靶机服务器权限,并读取靶

机服务器根目录下的机密文件内容,将文件内容作为 Flag 进行提交;

项目 5.

PWN 溢出

任务七 PWN1

\1. 利用栈溢出漏洞,得到服务器运行权限,获取 flag;

任务八 PWN2

\1. 利用堆溢出漏洞,得到服务器运行权限,获取 flag;

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/206386.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MangoDB数据可updata报错

报错详情 报错原因 语法错误,我们调整语法即可 update({要修改的行},{$set{要修改的字段}})

代码混淆技术探究与工具选择

引言 在软件开发中,保护程序代码的安全性是至关重要的一环。代码混淆(Obfuscated code)作为一种常见的保护手段,通过将代码转换成难以理解的形式来提升应用被逆向破解的难度。本文将介绍代码混淆的概念、方法以及常见的代码混淆工…

2023年5个自动化EDA库推荐

EDA或探索性数据分析是一项耗时的工作,但是由于EDA是不可避免的,所以Python出现了很多自动化库来减少执行分析所需的时间。EDA的主要目标不是制作花哨的图形或创建彩色的图形,而是获得对数据集的理解,并获得对变量之间的分布和相关…

测试文档---消息驿站

文章目录 项目背景测试计划服务器模块设计测试用例进行单元测试/黑盒测试 客户端模块设计测试用例进行单元测试/黑盒测试 转发规则模块设计测试用例进行单元测试/黑盒测试 测试总结 项目背景 在高并发量的情况下,针对某一台服务器的访问量激增就可能导致该服务器“…

欧拉操作系统

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、pandas是什么?二、使用步骤 1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 这个章节主要是介…

【微软技术栈】发布自己造的轮子 -- 创建Nuget包(分布操作)

目录 1、您的项目 2、创建 .nuspec 文件 3、一张图片胜过一千个拉取请求 4、包括自述文件 MD 文件 5、构建软件包 6、将包部署到 Nuget.Org 7、手动上传软件包 8、自动化和脚本化部署 9、我们如何构建和部署 ErrLog.IO Nuget 包 10、Nuget统计数据 11、最后的思考 创建 Nuget 包…

电话卡Giffgaff激活

Giffgaff是一家总部位于英国的移动电话公司。作为一家移动虚拟网络电信运营商,Giffgaff使用O2的网络,是O2的全资子公司,成立于2009年11月25日。 Giffgaff与传统的移动电话运营商不同,区别在于其用户也可以参与公司的部分运营&…

Java简易版:UDP协议实现群聊

服务端&#xff1a; package 二十一章;import java.io.*; import java.net.*; import java.util.ArrayList; public class T{public static ServerSocket server_socket;public static ArrayList<Socket> socketListnew ArrayList<Socket>(); public static void…

翡翠手镯镯子断了怎么修复?

修复翡翠镯子需要谨慎对待&#xff0c;因为翡翠是一种比较脆弱的宝石&#xff0c;不适合使用一般的胶水或者粘合剂。必须选择针对翡翠手镯玉器玉石珠宝宝石石材专用的胶粘剂&#xff1a; 1.收集断裂的部分&#xff1a; 尽量收集到所有断裂的部分&#xff0c;包括碎片。这有助于…

Raspberry Pi 2, 2 of n - Pi 作为 IoT 消息代理

目录 介绍 环境 先决条件 - 设置静态 IP 地址 安装 Mosquitto 启动/停止 Mosquitto 配置先决条件 - 安装 mqtt_spy 配置 Mosquitto 配置 Mosquitto - 无安全性 测试 Mosquitto 配置 - 无安全性 配置 Mosquitto - 使用密码身份验证 Mosquitto 测试 - 带密码验证 概括 介绍 在本文…

数据二十条

"数据二十条"即中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见&#xff0c;全文共分为五章二十条。 一、发布 2022年6月22日召开了中央全面深化改革委员会第二十六次会议。审议通过《关于构建数据基础制度更好发挥数据要素作用的意见》。 2022…

机器学习应用 | 使用 MATLAB 进行异常检测(下)

在使用MATLAB 进行异常检测&#xff08;上&#xff09;中&#xff0c;我们探讨了什么是异常值&#xff0c;简单的一维数据异常检测问题&#xff0c;针对高维数据的有监督异常检测方法。 在&#xff08;下&#xff09;篇中&#xff0c;我们将和大家一起探讨无监督异常检测。 没…

智能优化算法应用:基于金枪鱼群算法无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于金枪鱼群算法无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于金枪鱼群算法无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.金枪鱼群算法4.实验参数设定5.算法结果6.参考…

linux搭建nacos集群

准备 检查是否安装jdk [roothao /usr/local/software/elk/logstash]# java -version java version "1.8.0_341" Java(TM) SE Runtime Environment (build 1.8.0_341-b10) Java HotSpot(TM) 64-Bit Server VM (build 25.341-b10, mixed mode)配置nacos 去github下载…

【PTA-C语言】编程练习4 - 数组Ⅰ

如果代码存在问题&#xff0c;麻烦大家指正 ~ ~有帮助麻烦点个赞 ~ ~ 编程练习4 - 数组Ⅰ&#xff08;1~7&#xff09; 7-1 评委打分&#xff08;分数 10&#xff09;7-2 组合数的和&#xff08;分数 10&#xff09;7-3 找不同&#xff08;分数 15&#xff09;7-4 利用二分查找…

【Python】Python音乐网站数据+音频文件数据抓取(代码+报告)【独一无二】

&#x1f449;博__主&#x1f448;&#xff1a;米码收割机 &#x1f449;技__能&#x1f448;&#xff1a;C/Python语言 &#x1f449;公众号&#x1f448;&#xff1a;测试开发自动化【获取源码商业合作】 &#x1f449;荣__誉&#x1f448;&#xff1a;阿里云博客专家博主、5…

数据库:JDBC编程

专栏目录 MySQL基本操作-CSDN博客 MySQL基本操作-CSDN博客 数据库的增删查改&#xff08;CRUD&#xff09;基础版-CSDN博客 数据库增删改查&#xff08;CRUD&#xff09;进阶版-CSDN博客 数据库的索引-CSDN博客 基本概念 JDBC编程就是通过Java代码来操作数据库 api 数据库是…

深入理解网络 I/O 多路复用:SELECT、POLL

&#x1f52d; 嗨&#xff0c;您好 &#x1f44b; 我是 vnjohn&#xff0c;在互联网企业担任 Java 开发&#xff0c;CSDN 优质创作者 &#x1f4d6; 推荐专栏&#xff1a;Spring、MySQL、Nacos、Java&#xff0c;后续其他专栏会持续优化更新迭代 &#x1f332;文章所在专栏&…

工业4G路由器助力轨道交通城市地铁实现数字化转型

随着城市的科技不断发展&#xff0c;地铁系统的智能化程度也在不断提高。地铁闸机的网络部署已经成为地铁建设中必不可少环节。而4G路由器作为地铁闸机的网络通讯设备&#xff0c;助力轨道交通地铁闸机实现数字化转型。 工业4G路由器在地铁系统光纤宽带网络遇到故障或其他问题…

CGAL的推进前表面重建

从非结构化点云进行的曲面重建相当于生成一个合理的曲面&#xff0c;该曲面很好地近似于输入点。由于可能生成许多曲面&#xff0c;因此此问题不适合解决。已经提出了一系列广泛的方法来解决这个问题。其中包括变分方法、张量表决、隐式曲面和Delaunay三角剖分。 对于基于Delau…