2023年信息安全管理与评估(赛项)评分标准第三阶段夺旗挑战CTF(网络安全渗透)
全国职业院校技能大赛
高职组
信息安全管理与评估
(赛项)
评分标准
第三阶段
夺旗挑战CTF(网络安全渗透)
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段赛题,内容包括:夺旗挑战CTF(网络安全渗透)。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为300分。
项目和任务描述
在A集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患,请通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗透测试,在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域:
• 数据库攻击
• 枚举攻击
• 权限提升攻击
• 基于应用系统的攻击
• 基于操作系统的攻击
• 逆向分析
• 密码学分析
• 隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分,flag统一格式如下所示:
flag{<flag值 >}
这种格式在某些环境中可能被隐藏甚至混淆。所以,注意一些敏感信息并利用工具把它找出来。
注:部分flag可能非统一格式,若存在此情况将会在题目描述中明确指出flag格式,请注意审题。
工作任务
一、人力资源管理系统(45分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务一 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag1,并将flag1提交。flag1格式flag1{<flag值>} | flag1{4a585509-abfe-4f32-961f-076745205597} | 15 |
| 任务二 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag2,并将flag2提交。flag2格式flag2{<flag值>} | flag2{bfbf52fe-2504-4395-b6ba-523c8d6403c0} | 15 |
| 任务三 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag3,并将flag3提交。flag3格式flag3{<flag值>} | flag3{488ea2a5-8fb9-472d-be31-f955de615ce4} | 15 |
- 邮件系统(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务四 | 请对邮件系统进行黑盒测试,利用漏洞找到flag1,并将flag1提交。flag1格式flag1{<flag值>} | flag1{19d299cb-3935-46ae-94fb-d8c936881295} | 15 |
| 任务五 | 请对邮件系统进行黑盒测试,利用漏洞找到flag2,并将flag2提交。flag2格式flag2{<flag值>} | flag2{44cae0f5-c9fe-4f26-8eb1-45f735dd9846} | 15 |
- FTP服务器(165分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务六 | 请获取FTP服务器上task6目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{5BC925649CB0188F52E617D70929191C} | 15 |
| 任务七 | 请获取FTP服务器上task7目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{eaf021ef-5c75-47f2-80dc-db677020a3db} | 15 |
| 任务八 | 请获取FTP服务器上task8目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{03c174ab-f0f0-6935-5435-836dc2518625} | 20 |
| 任务九 | 请获取FTP服务器上task9目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{7113c8ed-709b-465b-a06a-30051e62bd01} | 25 |
| 任务十 | 请获取FTP服务器上task10目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{6ed4c74e022cb18c8039e96de93aa9ce} | 20 |
| 任务十一 | 请获取FTP服务器上task11目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{8aa3c5cc-96fc-41e3-c2b2ebe53030} | 25 |
| 任务十二 | 请获取FTP服务器上task12目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{6e0ed660-9803-4933-8488-8ac33f8ef097} | 20 |
| 任务十三 | 请获取FTP服务器上task13目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{10a43302-3e2a-0c01-7aec-3a03e1cd9a02} | 25 |
- 应用系统服务器(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十四 | 应用系统服务器10000端口存在漏洞,获取FTP服务器上task14目录下的文件进行分析,请利用漏洞找到flag,并将flag提交。flag格式flag{<flag值>} | flag{d2725e77-3235-479a-8b30-163d40f63da4} | 30 |
- 运维服务器(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十五 | 测试系统服务器10001端口存在漏洞,获取FTP服务器上task15目录下的文件进行分析,请利用漏洞找到flag,并将flag提交。flag格式flag{<flag值>} | flag{764863c8-0020-47bd-abb1-b631ba9e2e0a} | 30 |
附录A
图1 网络拓扑结构图
相关文章:
2023年信息安全管理与评估(赛项)评分标准第三阶段夺旗挑战CTF(网络安全渗透)
全国职业院校技能大赛 高职组 信息安全管理与评估 (赛项) 评分标准 第三阶段 夺旗挑战CTF(网络安全渗透) 竞赛项目赛题 本文件为信息安全管理与评估项目竞赛-第三阶段赛题,内容包括:夺旗挑战CTF(…...
开启智能时代:深度解析智能文档分析技术的前沿与应用
开启智能时代:深度解析智能文档分析技术的前沿与应用 本章主要介绍文档分析技术的理论知识,包括背景介绍、算法分类和对应思路。通过本文学习,你可以掌握:1. 版面分析的分类和典型思想 2. 表格识别的分类和典型思想 3. 信息提取的…...
高级时钟项目
高级时钟项目 笔者来介绍一下一个简单的时钟项目,主要功能就是显示时间 1、背景 2、数码管版本(第一版) 3、OLED屏幕版本(第二版) 3.1、Boot 3.2、app 3.3、上位机 界面一:时间天气显示 界面二 &…...
跨境海淘攻略:如何实现自己批量养买家账号海淘
近年来,随着互联网的发展,网购已经成为人们日常生活中不可或缺的一部分。不仅在国内购买商品,在跨境电商行业越来越成熟,很多的消费者开始选择购买国外平台商品,价格相比国内专柜来说会更为优惠。因此,海淘…...
【lua】在微软 windows 系统上安装 lua
https://sourceforge.net/projects/luabinaries...
系统学习Linux-PXE无人值守装机(附改密)
目录 pxe实现系统自动安装pxe工作原理 大致的工作过程如下: PXE的组件: 一、配置vsftpd 二、配置tftp 三、准备pxelinx.0文件、引导文件、内核文件 四、配置dhcp 配置ip 配置dhcp 五、创建default文件 六、新建测试主机用来测试装机效果 七、…...
关于web3.0平台的详细说明
Web3.0是指下一代互联网的发展阶段,它以区块链技术为基础,具有去中心化、安全性强、用户数据私密性保护等特点。在Web3.0的社交平台中,人们可以更好地掌控自己的数据,并获得更加开放和透明的社交体验。 以下是一些关于Web3.0社交…...
Git命令简单使用
1、上传仓库到 git 上传仓库到 git 上之前需要配置用户名和邮箱 git config --global user.name "user_name" git config --global user.email "email_id"在本地仓库中使用名称初始化 git init使用下面的命令将文件添加到仓库 # 添加一个或多个文件到暂…...
网络请求和文件)
Flutter(十)网络请求和文件
目录 文件操作网络请求1.Dio库2.websocket3.JSON转Dart Model 文件操作 APP目录 Android 和 iOS 的应用存储目录不同,PathProvider (opens new window)插件提供了一种平台透明的方式来访问设备文件系统上的常用位置。该类当前支持访问两个文件系统位置:…...
Unity RenderStreaming 云渲染-黑屏
🥪云渲染-黑屏 网页加载出来了,点击播放黑屏 ,关闭防火墙即可!!!!...
Java设计模式:四、行为型模式-04:中介者模式
文章目录 一、定义:中介者模式二、模拟场景:中介者模式三、违背方案:中介者模式3.1 工程结构3.2 创建数据库3.3 JDBC工具类3.4 单元测试 四、改善代码:中介者模式4.1 工程结构4.2 中介者工程结构图4.3 资源和配置类4.3.1 XML配置对…...
【GO】LGTM_Grafana_Tempo(1)_架构
最近在尝试用 LGTM 来实现 Go 微服务的可观测性,就顺便整理一下文档。 Tempo 会分为 4 篇文章: Tempo 的架构官网测试实操跑通gin 框架发送 trace 数据到 tempogo-zero 微服务框架使用发送数据到 tempo 第一篇是关于,tempo 的架构ÿ…...
MFC 与 QT“常用控件”对比
1、 常用控件 MFC QT 1.静态文本框/标签 CStatic QLabel 按钮 CButton包含了3种样式的按钮,Push Button,Check Box,Radio Box 4种不同的类 2.按钮:推动按钮 Push Button(同一个类CButton) QPushButton 3.按钮…...
linux 下安装chrome 和 go
1. 安装google-chrome 1.1 首先下载google-chrome.deb安装包 之后 安装 gdebi包 sudo apt install gdebi 1.2 安装所要安装的软件 sudo gdebi code_1.81.1-1691620686_amd64.deb 1.3 解决Chrome无法启动问题 rootubuntu:~/Downloads# whereis google-chrome google-chrome…...
OpenCV: cv2.findContours - ValueError: too many values to unpack
OpenCV找轮廓findContours报错 ValueError: not enough values to unpack (expected 3,got 2) 问题指向这行代码👇 binary, cnts, hierarchy cv2.findContours(thresh.copy(), cv2.RETR_EXTERNAL, cv2.CHAIN_APPROX_SIMPLE ) 报错的意思是需要3个返回值但只给了两…...
Vue框架--Vue概述
1.vue概述 Vue是一个渐进式JavaScript 框架,用于动态构建用户界面。 2.vue的特点 (1).遵循MVVM模式 MVVM是Model-View-ViewModel的简写。它本质上就是MVC的改进版 (2).采用组件化模式,提高代码的复用率,且让代码更好的维护。 组件化:简单的说就是使用xxx.vue模式包含一个页面…...
Fiddler安装与使用教程(1) —— 软测大玩家
😏作者简介:博主是一位测试管理者,同时也是一名对外企业兼职讲师。 📡主页地址:【Austin_zhai】 🙆目的与景愿:旨在于能帮助更多的测试行业人员提升软硬技能,分享行业相关最新信息。…...
Ubuntu 22.04安装 —— Win11 22H2
目录 Ubuntu使用下载UbuntuVmware 安装图示安装步骤图示 Ubuntu使用 系统环境: Windows 11 22H2Vmware 17 ProUbutun 22.04.3 Server Ubuntu Server documentation | Ubuntu 下载 Ubuntu 官网下载 建议安装长期支持版本 ——> 可以选择桌面版或服务器版(仅包…...
【STM32】IIC的初步使用
IIC简介 物理层 连接多个devices 它是一个支持设备的总线。“总线”指多个设备共用的信号线。在一个 I2C 通讯总线中,可连接多个 I2C 通讯设备,支持多个通讯主机及多个通讯从机。 两根线 一个 I2C 总线只使用两条总线线路,一条双向串行数…...
音视频 ffmpeg命令参数说明
主要参数: -i 设定输入流 -f 设定输出格式(format) -ss 开始时间 -t 时间长度 音频参数: -aframes 设置要输出的音频帧数 -b:a 音频码率 -ar 设定采样率 -ac 设定声音的Channel数 -acodec 设定声音编解码器,如果用copy表示原始编解码数据必须…...
渗透实战PortSwigger靶场-XSS Lab 14:大多数标签和属性被阻止
<script>标签被拦截 我们需要把全部可用的 tag 和 event 进行暴力破解 XSS cheat sheet: https://portswigger.net/web-security/cross-site-scripting/cheat-sheet 通过爆破发现body可以用 再把全部 events 放进去爆破 这些 event 全部可用 <body onres…...
基础测试工具使用经验
背景 vtune,perf, nsight system等基础测试工具,都是用过的,但是没有记录,都逐渐忘了。所以写这篇博客总结记录一下,只要以后发现新的用法,就记得来编辑补充一下 perf 比较基础的用法: 先改这…...
基于数字孪生的水厂可视化平台建设:架构与实践
分享大纲: 1、数字孪生水厂可视化平台建设背景 2、数字孪生水厂可视化平台建设架构 3、数字孪生水厂可视化平台建设成效 近几年,数字孪生水厂的建设开展的如火如荼。作为提升水厂管理效率、优化资源的调度手段,基于数字孪生的水厂可视化平台的…...
【python异步多线程】异步多线程爬虫代码示例
claude生成的python多线程、异步代码示例,模拟20个网页的爬取,每个网页假设要0.5-2秒完成。 代码 Python多线程爬虫教程 核心概念 多线程:允许程序同时执行多个任务,提高IO密集型任务(如网络请求)的效率…...
STM32HAL库USART源代码解析及应用
STM32HAL库USART源代码解析 前言STM32CubeIDE配置串口USART和UART的选择使用模式参数设置GPIO配置DMA配置中断配置硬件流控制使能生成代码解析和使用方法串口初始化__UART_HandleTypeDef结构体浅析HAL库代码实际使用方法使用轮询方式发送使用轮询方式接收使用中断方式发送使用中…...
并发编程 - go版
1.并发编程基础概念 进程和线程 A. 进程是程序在操作系统中的一次执行过程,系统进行资源分配和调度的一个独立单位。B. 线程是进程的一个执行实体,是CPU调度和分派的基本单位,它是比进程更小的能独立运行的基本单位。C.一个进程可以创建和撤销多个线程;同一个进程中…...
[大语言模型]在个人电脑上部署ollama 并进行管理,最后配置AI程序开发助手.
ollama官网: 下载 https://ollama.com/ 安装 查看可以使用的模型 https://ollama.com/search 例如 https://ollama.com/library/deepseek-r1/tags # deepseek-r1:7bollama pull deepseek-r1:7b改token数量为409622 16384 ollama命令说明 ollama serve #:…...
抽象类和接口(全)
一、抽象类 1.概念:如果⼀个类中没有包含⾜够的信息来描绘⼀个具体的对象,这样的类就是抽象类。 像是没有实际⼯作的⽅法,我们可以把它设计成⼀个抽象⽅法,包含抽象⽅法的类我们称为抽象类。 2.语法 在Java中,⼀个类如果被 abs…...
【SpringBoot自动化部署】
SpringBoot自动化部署方法 使用Jenkins进行持续集成与部署 Jenkins是最常用的自动化部署工具之一,能够实现代码拉取、构建、测试和部署的全流程自动化。 配置Jenkins任务时,需要添加Git仓库地址和凭证,设置构建触发器(如GitHub…...
Cilium动手实验室: 精通之旅---13.Cilium LoadBalancer IPAM and L2 Service Announcement
Cilium动手实验室: 精通之旅---13.Cilium LoadBalancer IPAM and L2 Service Announcement 1. LAB环境2. L2公告策略2.1 部署Death Star2.2 访问服务2.3 部署L2公告策略2.4 服务宣告 3. 可视化 ARP 流量3.1 部署新服务3.2 准备可视化3.3 再次请求 4. 自动IPAM4.1 IPAM Pool4.2 …...