2023江苏省中职组网络空间安全赛项赛题B

5/5

2023年江苏省职业学校信息技术类技能大赛

网络空间平安〔中职组〕B卷

一、竞赛时间

9:00-12:00，共计3小时。

二、竞赛阶段简介

竞赛阶段

任务阶段

竞赛任务

竞赛时间

分值

第一阶段平台搭建与配置

任务1

攻防环境部署

9:00-11:00

10

第二阶段单兵模式系统渗透测试

任务1

数据库平安加固

30

任务2

Linux系统平安加固

30

第三阶段分组对抗

系统加固

11:00-11:15

30

渗透测试

11:15-12:00

三、竞赛任务书内容

〔一〕拓扑图

〔二〕第一阶段任务书

1.根据网络拓扑图所示，配置交换机的管理VLAN为VLAN888；

2.根据网络拓扑图所示，配置交换机管理VLAN的IP地址为88.88.88.X/24。〔X为每参赛队所在组号〕；

3.据网络拓扑图所示，配置交换机telnet效劳，交换机Telnet用户名：zhongke；密码：选手自行设定；

4.根据?赛场参数表?，配置交换机上连实战平台网络接口为Trunk；

5.根据?赛场参数表?，配置交换机实战平台管理VLAN为VLAN80，并将PC1所连接口划入该VLAN；

6.根据网络拓扑图所示，在第二阶段开始时按照?赛场参数表?配置交换机渗透测试VLAN，并将PC2所连接口划入该VLAN；

7.根据网络拓扑图所示，在第三阶段开始时按照?赛场参数表?配置交换机渗透测试VLAN，并预备将PC2所连接口划入该VLAN。

8.将交换机配置内容拷贝成文本文件保存到U盘根目录，文件名为参赛队所在组号。

〔三〕第二阶段任务书

请使用谷歌浏览器登录效劳器192.168.80.1，根据?赛场参数表?提供的用户名密码登录，登录后点击“闯关关卡〞，左侧有第二阶段的任务列表。

点击右侧的“网络靶机〞，进入虚机完成任务，找到FLAG值，填入空框内，点击“提交任务〞按钮。

提示：所有FLAG中包含的字符全部是英文字符。

虚拟机：Backtrack5〔用户名：root；密码：toor〕

虚拟机：WindowsXP〔用户名：administrator；密码：123456〕

任务1.数据库平安加固

任务环境说明：

效劳器场景：WebServ2003〔用户名：administrator；密码：空〕

效劳器场景操作系统：MicrosoftWindows2003Server

效劳器场景安装效劳/工具1：Apache2.2；

效劳器场景安装效劳/工具2：Php6；

效劳器场景安装效劳/工具3：MicrosoftSqlServer2000；

效劳器场景安装效劳/工具4：EditPlus；

1.对效劳器场景WebServ2003安装补丁，使其中的数据库MicrosoftSqlServer2000能够支持远程连接，并将补丁包程序所在目录名称作为Flag提交。

2.对效劳器场景WebServ2003安装补丁，使其中的数据库MicrosoftSqlServer2000能够支持远程连接，在安装补丁后的效劳器场景中运行netstat–an命令，将回显的数据库效劳连接状态作为Flag提交。

3.通过PC2中的渗透测试平台对效劳器场景WebServ2003进行数据库效劳扫描渗透测试，并将扫描结果作为Flag提交。

4.通过PC2中的渗透测试平台对效劳器场景WebServ2003进行数据库效劳超级管理员口令暴力破解〔使用PC2中的渗透测试平台中的字典文件superdic.txt〕，并将破解结果中的最后一个字符串作为Flag提交。

5.通过PC2中的渗透测试平台对效劳器场景WebServ2003进行数据库效劳扩展存储过程进行利用，删除WebServ2003效劳器场景C:\1.txt，并将渗透测试利用命令字符串以及渗透测试平台run结果第1行回显作为Flag提交。

6.通过对效劳器场景WebServ2003的数据库效劳进行平安加固，阻止PC2中渗透测试平台对其进行数据库超级管理员密码暴力破解渗透测试，并将加固身份验证选项中的最后一个字符串作为Flag提交。

7.验证在WebServ2003的数据库效劳进行平安加固后，再次通过PC2中渗透测试平台对效劳器场景WebServ2003进行数据库效劳超级管理员口令进行暴力破解〔使用PC2中的渗透测试平台中的字典文件superdic.txt〕，并将破解结果的上数第3行内容作为Flag提交。

任务2.Linux系统平安加固

任务环境说明：

效劳器场景：CentOS5.5〔用户名：root；密码：123456〕

效劳器场景操作系统：CentOS5.5

1.通过PC2中渗透测试平台对效劳器场景CentOS5.5进行效劳扫描渗透测试，并将扫描结果上数第5行的4个单词作为Flag〔形式：单词1|单词2|单词3|单词4〕提交。

2.在原目录下编译、运行./root/autorunp.c木马程序，使该木马程序能够实现远程连接8080端口，并在该端口上运行/bin/sh命令行程序，并将编译./root/autorunp.c木马程序需要输入的命令字符串作为Flag提交。

3.在原目录下编译、运行./root/autorunp.c木马程序，使该木马程序能够实现远程连接8080端口，并在该端口上运行/bin/sh命令行程序，并将运行./root/autorunp.c木马程序需要输入的命令字符串作为Flag〔形式：命令1|命令2|…|命令n〕提交。

4.将autorunp.c木马程序设置为系统启动后自动加载，并转入系统后台运行，并将所修改的配置文件的路径和名称作为Flag提交。

5.重新启动CentOS5.5效劳器场景，通过PC2中渗透测试平台NETCAT远程翻开CentOS5.5效劳器场景./bin/sh程序，并运行查看IP地址命令，并将运行查看IP地址命令字符串作为Flag提交。

6.对CentOS5.5效劳器场景进行平安加固，阻止PC2中渗透测试平台对效劳器场景CentOS5.5进行远程超级管理员口令暴力破解，并将所配置的文件的路径和名称字符串作为Flag提交。

〔四〕第三阶段任务书

请使用谷歌浏览器登录效劳器192.168.80.100，根据?赛场参数表?提供的用户名密码登录进行三阶段比赛。

各位选手是某公司的系统平安管理员，负责效劳器〔受保护效劳器IP、管理员账号见现场发放的参数表〕的维护，该效劳器可能存在着各种问题和漏洞〔见漏洞列表〕。你需要尽快对效劳器进行加固，十五分钟之后将会有很多黑客对这台效劳器进行攻击。

提示：效劳器中的漏洞可能是常规漏洞也可能是系统漏洞；需要加固常规漏洞；并对其它参赛队系统进行渗透测试，取得FLAG值并提交到裁判效劳器。

十五分钟之后，各位选手将真正进入分组对抗环节。

考前须知：

注意1：任何时候不能人为关闭效劳器常用效劳端口〔21、22、23、53、80〕，否那么将判令停止比赛，第三阶段分数为0分；

注意2：不能对裁判效劳器进行攻击，否那么将判令停止比赛，第三阶段分数为0分。

注意3：在加固阶段〔前十五分钟，具体听现场裁判指令〕不得对任何效劳器进行攻击，否那么将判令攻击者停止比赛，第三阶段分数为0分。

注意4：FLAG值为每台受保护效劳器的唯一性标识，每台受保护效劳器仅有一个。

在渗透测试环节里，各位选手需要继续保护你的效劳器免受各类黑客的攻击，你可以继续加固你的效劳器，你也可以选择攻击其他组的保护效劳器。

漏洞列表如下：

1. 靶机上的网站可能存在命令注入的漏洞，要求选手找到命令注入的相关漏洞，利用此漏洞获取一定权限。

2. 靶机上的网站可能存在文件上传漏洞，要求选手找到文件上传的相关漏洞，利用此漏洞获取一定权限

3. 靶机上的网站可能存在文件包含漏洞，要求选手找到文件包含的相关漏洞，与别的漏洞相结合获取一定权限并进行提权

4. 操作系统提供的效劳可能包含了远程代码执行的漏洞，要求用户找到远程代码执行的效