2024 一带一路暨金砖国家技能发展与技术创新大赛【企业信息系统安全赛项】选拔赛样题

2024 一带一路暨金砖国家技能发展与技术创新大赛--企业信息系统安全赛项任务书

第一阶段： CTF 夺旗

背景：作为信息安全技术人员，除了要掌握安全运营、应急响应这些方面安全内容还应该经常参与CTF夺旗实战，通过夺旗赛能够进一步提升实战技术能力，磨炼选手的耐心，增强选手的学习能力。
CTF夺旗阶段题目主要包含：注入攻击，模版逃逸，序列化漏洞，服务漏洞等相关内容。

任务一 WEBCMS

任务描述：你是一名网络安全服务工程师，因A集团公司某页面站点操作不当导致代码泄露使得服务器易遭受攻击，现在需要你对A集团网站进行安全渗透与防护。
1.使用扫描器，获取靶机的Web服务端口号并提交，格式：flag{xxxx}；
2.获取网站源码，将根目录下的文件夹个数提交，格式：flag{xxxx}；
3.找出网站管理后台，提交后台页面的地址，格式：flag{xxxx}；
4.找出数据库的密码并提交，格式：flag{xxxx}；
5.登录靶机数据库，提交后台密码的密文，格式：flag{xxxx}；
6.重置网站后台密码，修改为“hacker”，将修改的内容提交（网页中有隐藏线索），格式：flag{xxxx}；
7.登录管理后台，将后台中隐藏的flag提交，格式：flag{xxxx}； 8．获取服务器根目录下的flag并提交，格式：flag{xxxx}。

任务二 杂项 MISC

任务描述：访问靶机http://服务器ip/，下载文件。
1.访问目标网站下载MISC.zip文件，将文件1中的flag值提交，提交格式：flag{}；
2.访问目标网站下载MISC.zip文件，将文件2中的flag值提交，提交格式：flag{}；
3.访问目标网站下载MISC.zip文件，将文件3中的flag值提交，提交格式：flag{}；
4.访问目标网站下载MISC.zip文件，将文件4中的flag值提交，提交格式：flag{}；
5.访问目标网站下载MISC.zip文件，将文件5中的flag值提交，提交格式：flag{******}。

任务三 Linux 应急响应分析

任务描述：A 集团的一台服务器系统遭受了恶意攻击，你现在是一名应急响应小组的安全工程师，请你通过分析漏洞找出其中的蛛丝马迹。root 用户为弱口令。

1.对该WebServer服务器进行分析，将黑客ip作为flag，提交格式： flag{}；
2.对该WebServer服务器进行分析，将黑客使用的漏洞扫描器工具名作为flag；提交格式：flag{}；
3.对该WebServer服务器继续分析，将黑客第一次入侵时间作为flag; 提交格式：flag{******}；
4.对该WebServer服务器进行分析，将黑客利用漏洞成功写入木马的

路径作为flag；提交格式：flag{}；
5.对该WebServer服务器进行分析，将黑客在服务器上提权使用的二进制文件路径名作为flag 提交格式：flag{}。

任务四 Baby_PWN

任务描述：访问靶机http://服务器ip/pwn，下载文件。

1．访问目标网页下载pwn程序，对该程序进行安全审计，通过相应的漏洞得到隐藏的flag，提交格式：flag{******}。

任务五 流量溯源

任务描述：A 集团的一台服务器遭受了恶意攻击，你现在是一名安全工程师，请你通过分析可疑流量文件找出其中的蛛丝马迹。访问靶机 SMB 服务下载附件。

1.找出黑客的IP地址；
2.提交黑客扫描的端口范围并提交黑客得到了哪些端口开放的信息， 提交格式：[xxxx:xxxx]+[xxxx,xxxx,xxxx]；
3.将黑客渗透进入系统后得到的用户名称作为flag提交；
4.分析流量包，将黑客打开的第一个文件内容解密，将解密的内容作为flag提交；
5.分析流量包，从中获得压缩包，将其修复得到内容作为flag提交；
6.将上述加密信息解密，密钥即为用户名。

第二阶段： 企业网络安全配置与渗透

背景：您的团队正在对 A 集团进行等保测评，请寻找该企业中有缺陷的服务器，这些服务器可能存在着各种各样的渗透漏洞。您的团队需要渗透这些服务器并找出漏洞，按照下列题目要求进行服务器的环境加固后再次进行渗透测试，以此来确认加固的有效性。
任务 1：找到 A 集团总站点，对目标进行渗透测试，找到站点的后台管理页面以及该站点运行的系统账户，将端口号与账户名作为flag 值提交， 提交格式：flag｛后台端口+服务运行账户｝；
任务 2：将 A 集团后台管理员“admin”的密码作为 flag 值提交，提交格式：flag｛密码｝；
任务 3：对A 集团进行渗透测试，将主站点root 目录下的flag 提交， 提交格式：flag{}；
任务 4：对总站点进行加固，在 FW 上开启认证，使用对应方式进行维护， 将对应的模块名称进行提交， 多个请用/隔开， 提交格式： flag{}；
任务 5：再次渗透总站点的后台管理页面，将页面回显的第三行的最后一个单词作为flag 值提交，提交格式flag{};
任务 6：对 A 集团的 DB 服务器进行渗透测试，找到管理页面，将管理页面中的flag 作为flag 值提交，提交格式：flag{}；
任务 7：对 A 集团的 DB 服务器进行渗透测试，将数据库管理员密码作为flag 值提交，提交格式：flag{}；
任务 8：对 A 集团的DB 服务器进行渗透测试，将 root 家目录下的flag 提交，提交格式：flag{}；
任务 9：在 WAF 上配置基础防御功能，建立特征规则“HTTP 防御”， 使用对应方式进行维护，将对应的模块名称进行提交flag{}；
任务 10：再次对 A 集团的DB 服务器管理页面进行渗透，将页面回显的第一行的第四个单词作为flag 值提交，提交格式flag{}。

需要2023环境私信博主！