2023年信息安全管理与评估(赛项)评分标准第三阶段夺旗挑战CTF(网络安全渗透)
全国职业院校技能大赛
高职组
信息安全管理与评估
(赛项)
评分标准
第三阶段
夺旗挑战CTF(网络安全渗透)
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段赛题,内容包括:夺旗挑战CTF(网络安全渗透)。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为300分。
项目和任务描述
在A集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患,请通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗透测试,在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域:
• 数据库攻击
• 枚举攻击
• 权限提升攻击
• 基于应用系统的攻击
• 基于操作系统的攻击
• 逆向分析
• 密码学分析
• 隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分,flag统一格式如下所示:
flag{<flag值 >}
这种格式在某些环境中可能被隐藏甚至混淆。所以,注意一些敏感信息并利用工具把它找出来。
注:部分flag可能非统一格式,若存在此情况将会在题目描述中明确指出flag格式,请注意审题。
工作任务
一、人力资源管理系统(45分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务一 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag1,并将flag1提交。flag1格式flag1{<flag值>} | flag1{4a585509-abfe-4f32-961f-076745205597} | 15 |
| 任务二 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag2,并将flag2提交。flag2格式flag2{<flag值>} | flag2{bfbf52fe-2504-4395-b6ba-523c8d6403c0} | 15 |
| 任务三 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag3,并将flag3提交。flag3格式flag3{<flag值>} | flag3{488ea2a5-8fb9-472d-be31-f955de615ce4} | 15 |
- 邮件系统(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务四 | 请对邮件系统进行黑盒测试,利用漏洞找到flag1,并将flag1提交。flag1格式flag1{<flag值>} | flag1{19d299cb-3935-46ae-94fb-d8c936881295} | 15 |
| 任务五 | 请对邮件系统进行黑盒测试,利用漏洞找到flag2,并将flag2提交。flag2格式flag2{<flag值>} | flag2{44cae0f5-c9fe-4f26-8eb1-45f735dd9846} | 15 |
- FTP服务器(165分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务六 | 请获取FTP服务器上task6目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{5BC925649CB0188F52E617D70929191C} | 15 |
| 任务七 | 请获取FTP服务器上task7目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{eaf021ef-5c75-47f2-80dc-db677020a3db} | 15 |
| 任务八 | 请获取FTP服务器上task8目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{03c174ab-f0f0-6935-5435-836dc2518625} | 20 |
| 任务九 | 请获取FTP服务器上task9目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{7113c8ed-709b-465b-a06a-30051e62bd01} | 25 |
| 任务十 | 请获取FTP服务器上task10目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{6ed4c74e022cb18c8039e96de93aa9ce} | 20 |
| 任务十一 | 请获取FTP服务器上task11目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{8aa3c5cc-96fc-41e3-c2b2ebe53030} | 25 |
| 任务十二 | 请获取FTP服务器上task12目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{6e0ed660-9803-4933-8488-8ac33f8ef097} | 20 |
| 任务十三 | 请获取FTP服务器上task13目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{10a43302-3e2a-0c01-7aec-3a03e1cd9a02} | 25 |
- 应用系统服务器(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十四 | 应用系统服务器10000端口存在漏洞,获取FTP服务器上task14目录下的文件进行分析,请利用漏洞找到flag,并将flag提交。flag格式flag{<flag值>} | flag{d2725e77-3235-479a-8b30-163d40f63da4} | 30 |
- 运维服务器(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十五 | 测试系统服务器10001端口存在漏洞,获取FTP服务器上task15目录下的文件进行分析,请利用漏洞找到flag,并将flag提交。flag格式flag{<flag值>} | flag{764863c8-0020-47bd-abb1-b631ba9e2e0a} | 30 |
附录A
图1 网络拓扑结构图
相关文章:
2023年信息安全管理与评估(赛项)评分标准第三阶段夺旗挑战CTF(网络安全渗透)
全国职业院校技能大赛 高职组 信息安全管理与评估 (赛项) 评分标准 第三阶段 夺旗挑战CTF(网络安全渗透) 竞赛项目赛题 本文件为信息安全管理与评估项目竞赛-第三阶段赛题,内容包括:夺旗挑战CTF(…...
开启智能时代:深度解析智能文档分析技术的前沿与应用
开启智能时代:深度解析智能文档分析技术的前沿与应用 本章主要介绍文档分析技术的理论知识,包括背景介绍、算法分类和对应思路。通过本文学习,你可以掌握:1. 版面分析的分类和典型思想 2. 表格识别的分类和典型思想 3. 信息提取的…...
高级时钟项目
高级时钟项目 笔者来介绍一下一个简单的时钟项目,主要功能就是显示时间 1、背景 2、数码管版本(第一版) 3、OLED屏幕版本(第二版) 3.1、Boot 3.2、app 3.3、上位机 界面一:时间天气显示 界面二 &…...
跨境海淘攻略:如何实现自己批量养买家账号海淘
近年来,随着互联网的发展,网购已经成为人们日常生活中不可或缺的一部分。不仅在国内购买商品,在跨境电商行业越来越成熟,很多的消费者开始选择购买国外平台商品,价格相比国内专柜来说会更为优惠。因此,海淘…...
【lua】在微软 windows 系统上安装 lua
https://sourceforge.net/projects/luabinaries...
系统学习Linux-PXE无人值守装机(附改密)
目录 pxe实现系统自动安装pxe工作原理 大致的工作过程如下: PXE的组件: 一、配置vsftpd 二、配置tftp 三、准备pxelinx.0文件、引导文件、内核文件 四、配置dhcp 配置ip 配置dhcp 五、创建default文件 六、新建测试主机用来测试装机效果 七、…...
关于web3.0平台的详细说明
Web3.0是指下一代互联网的发展阶段,它以区块链技术为基础,具有去中心化、安全性强、用户数据私密性保护等特点。在Web3.0的社交平台中,人们可以更好地掌控自己的数据,并获得更加开放和透明的社交体验。 以下是一些关于Web3.0社交…...
Git命令简单使用
1、上传仓库到 git 上传仓库到 git 上之前需要配置用户名和邮箱 git config --global user.name "user_name" git config --global user.email "email_id"在本地仓库中使用名称初始化 git init使用下面的命令将文件添加到仓库 # 添加一个或多个文件到暂…...
Flutter(十)网络请求和文件
目录 文件操作网络请求1.Dio库2.websocket3.JSON转Dart Model 文件操作 APP目录 Android 和 iOS 的应用存储目录不同,PathProvider (opens new window)插件提供了一种平台透明的方式来访问设备文件系统上的常用位置。该类当前支持访问两个文件系统位置:…...
Unity RenderStreaming 云渲染-黑屏
🥪云渲染-黑屏 网页加载出来了,点击播放黑屏 ,关闭防火墙即可!!!!...
Java设计模式:四、行为型模式-04:中介者模式
文章目录 一、定义:中介者模式二、模拟场景:中介者模式三、违背方案:中介者模式3.1 工程结构3.2 创建数据库3.3 JDBC工具类3.4 单元测试 四、改善代码:中介者模式4.1 工程结构4.2 中介者工程结构图4.3 资源和配置类4.3.1 XML配置对…...
【GO】LGTM_Grafana_Tempo(1)_架构
最近在尝试用 LGTM 来实现 Go 微服务的可观测性,就顺便整理一下文档。 Tempo 会分为 4 篇文章: Tempo 的架构官网测试实操跑通gin 框架发送 trace 数据到 tempogo-zero 微服务框架使用发送数据到 tempo 第一篇是关于,tempo 的架构ÿ…...
MFC 与 QT“常用控件”对比
1、 常用控件 MFC QT 1.静态文本框/标签 CStatic QLabel 按钮 CButton包含了3种样式的按钮,Push Button,Check Box,Radio Box 4种不同的类 2.按钮:推动按钮 Push Button(同一个类CButton) QPushButton 3.按钮…...
linux 下安装chrome 和 go
1. 安装google-chrome 1.1 首先下载google-chrome.deb安装包 之后 安装 gdebi包 sudo apt install gdebi 1.2 安装所要安装的软件 sudo gdebi code_1.81.1-1691620686_amd64.deb 1.3 解决Chrome无法启动问题 rootubuntu:~/Downloads# whereis google-chrome google-chrome…...
OpenCV: cv2.findContours - ValueError: too many values to unpack
OpenCV找轮廓findContours报错 ValueError: not enough values to unpack (expected 3,got 2) 问题指向这行代码👇 binary, cnts, hierarchy cv2.findContours(thresh.copy(), cv2.RETR_EXTERNAL, cv2.CHAIN_APPROX_SIMPLE ) 报错的意思是需要3个返回值但只给了两…...
Vue框架--Vue概述
1.vue概述 Vue是一个渐进式JavaScript 框架,用于动态构建用户界面。 2.vue的特点 (1).遵循MVVM模式 MVVM是Model-View-ViewModel的简写。它本质上就是MVC的改进版 (2).采用组件化模式,提高代码的复用率,且让代码更好的维护。 组件化:简单的说就是使用xxx.vue模式包含一个页面…...
Fiddler安装与使用教程(1) —— 软测大玩家
😏作者简介:博主是一位测试管理者,同时也是一名对外企业兼职讲师。 📡主页地址:【Austin_zhai】 🙆目的与景愿:旨在于能帮助更多的测试行业人员提升软硬技能,分享行业相关最新信息。…...
Ubuntu 22.04安装 —— Win11 22H2
目录 Ubuntu使用下载UbuntuVmware 安装图示安装步骤图示 Ubuntu使用 系统环境: Windows 11 22H2Vmware 17 ProUbutun 22.04.3 Server Ubuntu Server documentation | Ubuntu 下载 Ubuntu 官网下载 建议安装长期支持版本 ——> 可以选择桌面版或服务器版(仅包…...
【STM32】IIC的初步使用
IIC简介 物理层 连接多个devices 它是一个支持设备的总线。“总线”指多个设备共用的信号线。在一个 I2C 通讯总线中,可连接多个 I2C 通讯设备,支持多个通讯主机及多个通讯从机。 两根线 一个 I2C 总线只使用两条总线线路,一条双向串行数…...
音视频 ffmpeg命令参数说明
主要参数: -i 设定输入流 -f 设定输出格式(format) -ss 开始时间 -t 时间长度 音频参数: -aframes 设置要输出的音频帧数 -b:a 音频码率 -ar 设定采样率 -ac 设定声音的Channel数 -acodec 设定声音编解码器,如果用copy表示原始编解码数据必须…...
Go学习第十天
打印报错堆栈信息 安装errors包 go get github.com/pkg/errors 具体使用 // 新生成一个错误, 带堆栈信息 func New(message string) error//只附加新的信息 func WithMessage(err error, message string) error//只附加调用堆栈信息 func WithStack(err error) error//同时附…...
pytorch中 nn.Conv2d的简单用法
torch.nn.Conv2d(in_channels, out_channels, kernel_size, stride1, padding0, dilation1, groups1, biasTrue,padding_modezeros)参数介绍: in_channels:卷积层输入通道数 out_channels:卷积层输出通道数 kernel_size:卷积层的…...
前端项目工程化之代码规范
目录 一、前言二、ESLint三、Prettier四、项目实战4.1 环境依赖版本4.2 使用pnpm4.3 git提交规范 五、资源 收集六、源码地址 一、前言 前端项目工程化之代码规范是指在前端项目中定义一套代码规范,以确保项目中的代码风格和格式一致,提高代码的可读性和…...
MyBaits Generator
参考文档 MyBatis Generator Core – Introduction to MyBatis Generator MyBatis Generator 详解_enablesubpackages_isea533的博客-CSDN博客 一文解析 MyBatis Generator 的使用及配置 - 掘金 1. Introduction MyBatis Generator (MBG) 是 MyBatis MyBatis的代码生成器。…...
JavaWeb 速通Ajax
目录 一、Ajax快速入门 1.基本介绍 : 2.使用原理 : 二、Ajax经典入门案例 1.需求 : 2.前端页面实现 : 3. 处理HTTP请求的servlet实现 4.引入jar包及druid配置文件、工具类 : 5.Domain层实现 : 6.DAO层实现 : 7.Service层实现 : 8.运行测试 : 三、JQuery操作Ajax 1 …...
vscode c++编译时报错
文章目录 1. 报错内容:GDB Failed with message;2. 报错内容:Unable to start debugging. 1. 报错内容:GDB Failed with message; 例如上图报错,一般就是编译器选择错误,有两种方法解决: 打开 tasks.json …...
基于体系结构架构设计-架构真题(十五)
基于体系结构开发设计(Architecture-Base Software Design)ABSD,是指构成体系结构的()组合驱动,ABSC方法是一个自项向下、递归细化的方法,软件系统的体系结构通过该方法细化,直到能产…...
IPv6网络实验:地址自动生成与全球单播通信探索
文章目录 一、实验背景与目的二、实验拓扑三、实验需求四、实验解法1. 在R1和PC3上开启IPv6链路本地地址自动生成,测试是否能够使用链路本地地址互通2. 为R1配置全球单播地址2001::1/64,使PC3能够自动生成与R1同一网段的IPv6地址3. 测试R1和PC3是否能够使…...
深入探索前端之道:JavaScript深拷贝与浅拷贝的解析与实现
引言 前端开发中,数据的复制是一个常见的操作。尤其是在处理对象和数组时,我们需要考虑的是一个浅拷贝还是深拷贝。那么,什么是深拷贝和浅拷贝?它们在前端开发中有什么作用?如何实现这两种拷贝?这是我们在…...
关于两个不同数据库的两张表建立数据库链接,关联查询数据
一、数据库链接 数据库链接(database link)是用于跨不同数据库之间进行连接和数据传输的工具或方法。它允许在一个数据库中访问另一个数据库中的对象和数据。 二、具体操作 以Oracle数据库为例 --1.建立链接tjpt CREATE DATABASE LINK tjpt CONNECT…...