2023年江西省赣州市职业院校技能大赛(中职组) 网络安全竞赛试题(6月17日竞赛真题))

news2024/12/26 9:19:59

2023年江西省赣州市职业院校技能大赛(中职组) 网络安全竞赛试题

三、竞赛任务书内容
(一)拓扑图
在这里插入图片描述

(二)A模块基础设施设置/安全加固(200分)
一、项目和任务描述:
假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录和密码策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。
二、说明:
1.所有截图要求截图界面、字体清晰,并粘贴于相应题目要求的位置;
2.文件名命名及保存:网络安全模块A-XX(XX为工位号),PDF格式保存;
3.文件保存到U盘提交。

A-1:登录安全加固

请对服务器按要求进行相应的设置,提高服务器的安全性。

  1. 密码策略
    A1.密码策略必须同时满足大小写字母、数字、特殊字符
  2. 登录策略
    a. 设置账户锁定阈值为6次错误锁定账户,锁定时间为1分钟,复位账户锁定计数器为1分钟之后
    b. 一分钟仅允许5次登录失败,超过5次,登录账号锁定1分钟
  3. 用户安全管理
    a. 禁止发送未加密的密码到第三方SMB服务器
    b. 禁用来宾账户,禁止来宾用户访问计算机或访问域的内置账户

A-2:本地安全策略设置

  1. 关闭系统时清楚虚拟内存页面文件
  2. 禁止系统在未登录的情况下关闭
  3. 禁止软盘复制并访问所有驱动器和所有文件夹
  4. 禁止显示上次登录的用户名

A-3:流量完整性保护

  1. 创建www.chinaskills.com站点,在C:\web文件夹中创建 名称为chinaskills.html的主页,主页内容”热烈庆祝2023年职业教育活动周全国启动仪式顺利开幕”,同时只允许使用SSL且只能采用域名(域名www.test.com)方式进行访问
  2. 为了防止密码在登录或者传输信息中被窃取,仅使用证书登录SSH

A-4:事件监控

  1. 应用程序日志文件最大大小达到60M时将其存档,不覆盖事件

A-5:服务加固

  1. SSH服务加固
    a. SSH禁止root用户远程登录
    b. 设置root用户的计划任务。每天早上7:50自动开启SSH服务,22:50关闭;每周六的7:30重新启动SSH服务
    c. 修改SSH服务端口为2228
  2. VSFTPD服务加固
    a. 设置数据连接的超时时间为60秒
    b. 设置站点本地用户访问的最大传输速率为2M
  3. IIS加固
    a. 防止文件枚举漏洞枚举网络服务器根目录文件,禁止IIS短文件名泄露
    b. 关闭IIS的WebDAV功能增强网站的安全性
    (三)B模块安全事件响应/网络安全数据取证/应用安全(400分)

B-1:操作系统渗透测试

1.通过本地PC中渗透测试平台Kali对服务器场景进行系统服务 及版本扫描渗透测试,并将该操作显示结果中samba服务对应的服务 版本信息字符串作为Flag值提交,Flag格式为flag{xxx};
2.通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试, 将该场景网络连接信息中的DNS信息作为Flag值 (例如:8.8.8.8) 提交,Flag格式为flag{xxx};
3.通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试, 将该场景中的当前最高账户管理员的密码作为Flag值提交,Flag格 式为flag{xxx};
4.通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试, 将该场景桌面上111文件夹中文件的文件名称作为Flag值提交,Flag 格式为flag{xxx};
5.通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试, 将该场景桌面上文件夹中文件的文档内容作为Flag值提交,Flag格 式为flag{xxx};
6.通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试, 将该场景桌面上文件夹中唯一一个图片中的内容作为Flag值提交, Flag格式为flag{xxx};

B-2:网络安全应急响应

任务环境说明:
 服务器场景:Server2228(开放链接)
 用户名:root,密码:p@ssw0rd123

  1. 找出被黑客修改的系统别名,并将倒数第二个别名作为Flag值提交;
  2. 找出系统中被植入的后门用户删除掉,并将后门用户的账号作为Flag值提交(多个用户名之间以英文逗号分割,如:admin,root);
  3. 找出黑客在admin用户家目录中添加的ssh后门,将后门的写入时间作为Flag值(提交的时间格式为:2022-01-12 08:08:18)
  4. 找出黑客篡改过的环境变量文件并还原,将文件的md5值作为Flag值提交;
  5. 找出黑客修改了bin目录下的某个文件,将该文件的格式作为Flag值提交;
  6. 找出黑客植入系统中的挖矿病毒,将矿池的钱包地址作为Flag值(提交格式为:0xa1d1fadd4fa30987b7fe4f8721b022f4b4ffc9f8)提交。

B-3:跨站脚本文件渗透

1.访问服务器网站目录1,根据页面信息完成条件,将获取到弹
框信息作为flag提交,Flag格式为flag{xxx};
2.访问服务器网站目录2,根据页面信息完成条件,将获取到弹
框信息作为flag提交,Flag格式为flag{xxx};
3.访问服务器网站目录3,根据页面信息完成条件,将获取到弹
框信息作为flag提交,Flag格式为flag{xxx};
4.访问服务器网站目录4,根据页面信息完成条件,将获取到弹
框信息作为flag提交,Flag格式为flag{xxx};
5.访问服务器网站目录5,根据页面信息完成条件,将获取到弹
框信息作为flag提交,Flag格式为flag{xxx};
6.访问服务器网站目录6,根据页面信息完成条件,将获取到弹
框信息作为flag提交,Flag格式为flag{xxx};

B-4:Web渗透测试

1.访问地址http://靶机IP/task1,分析页面内容,获取flag值,Flag格式为flag{xxx};

2.访问地址http://靶机IP/task2,访问登录页面。用户user01的密码为1-1000以内的树,获取用户user01的密码,将密码作为Flag提交,Flag格式为flag{xxx};

  1. 访问地址http://靶机IP/task3,访问购物页面,分析页面内容,获取flag值,Flag格式为flag{xxx};

  2. 访问地址http://靶机IP/task4,分析页面内容,获取flag值,Flag格式为flag{xxx};

  3. 访问地址http://靶机IP/task5,分析页面内容,获取flag值,Flag格式为flag{xxx};

B-5:渗透提权

1.访问服务器主机,找到主机中管理员名称,将管理员名称作为flag值提交;
2.访问服务器主机,找到主机中补丁信息,将补丁编号作为 flag 值提交;
3.访问服务器主机,找到主机中管理员密码,将管理员密码作为flag值提交;
4.访问服务器主机,找到主机中管理员桌面下文本文档信息,将文本文档名称作为 flag 值提交;
5.访问服务器主机,找到主机中管理员桌面下文本文档信息,将文本文档中信息作为 flag 值提交;
6.访问服务器主机,找到主机中回收站唯一信息,将信息中的内容作为 flag6 值提交。
(四)模块C CTF夺旗-攻击(本模块200分)
一、项目和任务描述:
假定你是某企业的网络安全渗透测试工程师,负责企业某些服务器的安全防护,为了更好的寻找企业网络中可能存在的各种问题和漏洞。你尝试利用各种攻击手段,攻击特定靶机,以便了解最新的攻击手段和技术,了解网络黑客的心态,从而改善您的防御策略。
请根据《赛场参数表》提供的信息,在客户端使用谷歌浏览器登录答题平台。
二、操作系统环境说明:
客户机操作系统:Windows 10/Windows7
靶机服务器操作系统:Linux/Windows
三、漏洞情况说明:
1.服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
2.靶机服务器上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限;
3.靶机服务器上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限;
4.靶机服务器上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权;
5.操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限;
6.操作系统提供的服务可能包含了缓冲区溢出漏洞,要求用户找到缓冲区溢出漏洞的服务,并利用此漏洞获取系统权限;
7.操作系统中可能存在一些系统后门,选手可以找到此后门,并利用预留的后门直接获取到系统权限。
四、注意事项:
1.不能对裁判服务器进行攻击,警告一次后若继续攻击将判令该参赛队离场;
2.flag值为每台靶机服务器的唯一性标识,每台靶机服务器仅有1个;
3.选手攻入靶机后不得对靶机进行关闭端口、修改密码、重启或者关闭靶机、删除或者修改flag、建立不必要的文件等操作;
4.在登录自动评分系统后,提交靶机服务器的flag值,同时需要指定靶机服务器的IP地址;
5.赛场根据难度不同设有不同基础分值的靶机,对于每个靶机服务器,前三个获得flag值的参赛队在基础分上进行加分,本阶段每个队伍的总分均计入阶段得分,具体加分规则参照赛场评分标准;
6.本环节不予补时。
(五)模块D CTF夺旗-防御(本模块200分)
一、项目和任务描述:
假定各位选手是某安全企业的网络安全工程师,负责若干服务器的渗透测试与安全防护,这些服务器可能存在着各种问题和漏洞。你需要尽快对这些服务器进行渗透测试与安全防护。每个参赛队拥有专属的堡垒机服务器,其他队不能访问。参赛选手通过扫描、渗透测试等手段检测自己堡垒服务器中存在的安全缺陷,进行针对性加固,从而提升系统的安全防御性能。
请根据《赛场参数表》提供的信息,在客户端使用谷歌浏览器登录答题平台。
二、操作系统环境说明:
客户机操作系统:Windows 10/Windows7
堡垒服务器操作系统:Linux/Windows
三、漏洞情况说明:
1.堡垒服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
2.堡垒服务器上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限;
3.堡垒服务器上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限;
4.堡垒服务器上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权;
5.操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限;
6.操作系统提供的服务可能包含了缓冲区溢出漏洞,要求用户找到缓冲区溢出漏洞的服务,并利用此漏洞获取系统权限;
7.操作系统中可能存在一些系统后门,选手可以找到此后门,并利用预留的后门直接获取到系统权限。
四、注意事项:
1.每位选手需要对加固点和加固过程截图,并自行制作系统防御实施报告,最终评分以实施报告为准;
2.系统加固时需要保证堡垒服务器对外提供服务的可用性;
3.不能对裁判服务器进行攻击,警告一次后若继续攻击将判令该参赛队离场;
4.本环节不予补时。
二、说明:
1.所有截图要求截图界面、字体清晰;
2.文件名命名及保存:网络安全模块D-XX(XX为工位号),PDF格式保存;
3.文件保存到U盘提交。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/656502.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

宾利添越升级ACC自适应巡航+抬头显示HUD+Naim音响案例分享

大家好,我是小志bzs878,专注名车原厂升级,欢迎戳戳右上角“”号关注一下,持续为您带来精彩改装案例 今天装车一台宾利添越,几百个W的气场非常强大的豪车还需要加装什么项目? 车子还未上牌,今天…

python---------xpath提取数据------打破局限

作者前言 欢迎小可爱们前来借鉴我的gtiee秦老大大 (qin-laoda) - Gitee.com 目录 为什么要学习XPATH和LXML类库 什么是XPATH 认识XML XML的节点关系 常⽤节点选择⼯具 节点选择语法 节点修饰语法 选择未知节点 lxml库 _____________________________________________…

层次分析法(MATLAB)

对之前的学习进行总结,整个比赛下来好像就用到了这个方法,最后也不知道对不对,反正最后还有点赶,就是很懵的那种,对于层次分析话的还是有点了解了,由于是纯小白,有错误的地方希望各位大佬能够指…

微服务远程调用openFeign整合

✅作者简介:大家好,我是Cisyam,热爱Java后端开发者,一个想要与大家共同进步的男人😉😉 🍎个人主页:Cisyam-Shark的博客 💞当前专栏: 微服务探索之旅 ✨特色专…

go详细环境配置(windows)

下载go 安装包 官网: https://go.dev/dl/ 下载压缩包,解压 环境变量配置 GOROOT 配置你解压的目录 在Path中追加一条 %GOROOT%\bin 这里go对比JAVA还多了一个配置: GOPATH 配置go以后项目的地址 并在自己新建的GOPATH路径文件夹下新建三…

微服务中常见问题

Spring Cloud 组件 Spring Cloud五大组件有哪些? Eureka:注册中心 Ribbon:负载均衡 Feign:远程调用 Hystrix:服务熔断 Zuul/Gateway:服务网关 随着SpringCloud Alibaba在国内兴起,我们项目中…

MySQL安装教程(2023年,4月)

一、MySQL下载(安装版) 1、进入MySQL官网 官网地址:https://www.mysql.com/ 2、点击【DOWNLOADS】。 3、向下滑,点击【MySQL Community (GPL) Downloads】下载MySQL社区版。 4、点击【MySQL Installer for Windows】下载MySQL安…

pandas解决数据缺失、重复的方法与实践

1. 数据缺失 常见的数据缺失是指一条数据记录中,某个数据项没有值,延申到实际应用中,还有一种时间序列的缺失,例如按整点采集数据,缺少某一时刻的数据(缺少一整行数据)。 解决方法&#xff0c…

Type-C PD显示器方案简介

方案概述 LDR6020 Type-C PD显示器方案可以给显示器提供一个全功能C口,支持手机,电脑,游戏主机等一线投屏功能,同时支持PD快充输出。LDR6020内置了 USB Power Delivery 控制器和 PD BMC PHY 收发器,支持PD2.0/3.0等快…

leetcode:1848. 到目标元素的最小距离(python3解法)

难度:简单 给你一个整数数组 nums (下标 从 0 开始 计数)以及两个整数 target 和 start ,请你找出一个下标 i ,满足 nums[i] target 且 abs(i - start) 最小化 。注意:abs(x) 表示 x 的绝对值。 返回 abs(…

Jenkins之节点的使用

节点概念 Jenkins服务运行在一台服务器上,服务器的资源是有限的,Jenkins服务的构建速度受服务器资源影响,也是有限的。当我们需要构建的项目比较多或规模比较大的时候,可能会超出Jenkins的构建能力,超出其构建能力&am…

el-table合计行单元格合并、单元格样式修改

1、目标效果 源码放在下面,复制粘贴即可 (1)合计行放在头部,且字体颜色变粗、合计行背景色变粗 (2)合计行年龄算平均值且字体颜色为绿色,财产算总数且字体颜色为红色 2、原理 2.1、el-table中s…

clickhosue:8123和9000

8123和9000是ClickHouse数据库的两个不同的端口,它们具有不同的功能和使用方式。 8123端口(HTTP端口): 用于通过HTTP协议与ClickHouse数据库进行交互。 支持RESTful API和HTTP查询语法。 可以使用浏览器、curl等工具发送HTTP请…

【备战秋招】每日一题:4月8日美团春招第四题:题面+题目思路 + C++/python/js/Go/java带注释

为了更好的阅读体检,为了更好的阅读体检,,可以查看我的算法学习博客第四题-田地行走 在线评测链接:P1169 题目描述 塔子哥是一个农民,他有一片 大小的田地,共 n 行 m 列,其中行和列都用从 1 开始的整数…

lua中chunk的理解

在Lua中,一个chunk是一段可执行的Lua代码。通常,一个chunk由一系列语句和表达式组成,可以是一个完整的程序文件,也可以是一个交互式控制台中输入的一行代码。 例如,下面是一个简单的Lua chunk: print(&qu…

阿里巴巴最新30万字1008道Java经典面试题总结(附答案)限时开源

前言 在备战面试的时候,大家总会通过刷题的方式来准备,然而刷题是有用没错,有时候还得看看押题能不能压中重点,大厂喜欢问些什么技术点,不然当那个笑眯眯的面试官问出那些你再熟悉不过的问题 Java 问题时,…

vue2.x项目引入CKEditor4的两种方式

百度用了不行的看过来&#xff0c;本文专治各种流程不通的 一.直接npm下载型 下载ckeditor到vue项目 npm install ckeditor4-vue2.在main.js里导入 import Vue from vue; import CKEditor from ckeditor4-vue;Vue.use( CKEditor );3.在需要使用的组件里这样使用 <templ…

day54_spring整合mybatis

SpringMybatis整合【重点】 Spring学完了,主要学习Spring两个内容:IOCAOP 利用这两个知识来完成spring和mybatis的整合 IOC: 控制反转,用来创建对象 XxxService通过数据源创建数据库连接创建SqlSessionFactory创建SqlSession获得XxxMapper代理对象 AOP: 面向切面 控制事务 具体…

基于spring的前后端一体化积分商城系统

系统介绍 积分商城系统是一个基于Spring、MySQL和Redis等技术栈构建的全功能商城解决方案。该系统旨在为用户提供一个便捷的购物体验&#xff0c;并以积分作为支付和奖励的核心机制。 系统的核心功能包括商品浏览、购买下单、积分管理和订单处理。用户可以通过客户端访问系统…

一业余无线电爱好者因违规被罚2.4万美元,是否合理?

据一份名为《关于处罚款项的通知》&#xff0c;美国联邦通信委员会经过调查&#xff0c;对加利福尼亚州的一名业余无线电持有人菲利普J博代特&#xff08;业余电台呼号&#xff1a;N6PJB&#xff09;&#xff0c;处以巨额罚款&#xff0c;罚款金额为2.4万美元&#xff0c;折合人…