企业信息体系安全赛项选拔赛包罗CTF夺旗和企业网络安全设置与渗透两个项目,采用双人团队形式,比赛时长4小时。CTF夺旗阶段涵盖WEB渗透、密码学、流量分析、PWN和逆向5个使命模块,要求选手完成漏洞挖掘、密码破解、流量取证等实战操作。企业网络安全设置与渗透阶段需对模拟企业网络进行渗透测试与安全加固,包罗10个具体使命,涉及站点渗透、数据库安全、WAF设置等内容。比赛采用即时评分机制,要求选手按指定格式提交flag作为解题证实,全面考察网络安全实战能力。
企业信息体系安全赛项选拔赛样卷
项目构成:
1、参加比赛的形式
2、项目
3、项目模块和所需时间
4、试题详情
比赛时间:
4 小时
1. 参加比赛的形式
双人团队参与
2. 项目
1. CTF夺旗
2. 企业网络安全设置与渗透
只有园地或平台无法完成并经技能比赛司理批准时,才气更改测试项目和标准。
假如竞争对手不遵守要求或使自己和/或其他竞争对手面临伤害,则大概会将其从竞争中移除。
测试项目将根据随机抽签按次序完成。当参赛者完成模块时,效果将被进行评分。
3. 项目阶段和所需时间
4. 试题详情
第一阶段: CTF 夺旗
配景:作为信息安全技能人员,除了要掌握安全运营、应急相应这些方面安全内容还应该常常参与CTF夺旗实战,通过夺旗赛能够进一步提拔实战技能能力,锻炼选手的耐心,加强选手的学习能力。
CTF夺旗阶段题目主要包罗:注入攻击,模板逃逸,序列化漏洞,服务漏洞等相干内容。
使命一 WEB
使命描述:你是一名网络安全服务工程师,因 A 集团公司某页面站点操作不当导致代码走漏使得服务器易遭受攻击,如今须要你对 A 集团网站进行安全渗透与防护。
1. 利用扫描器,获取靶机的 Web 服务端口号并提交,格式:flag{xxxx};
2. 获取网站源码,将根目录下的文件夹个数提交,格式:flag{xxxx};
3. 找出网站管理配景,提交配景页面的地址,格式:flag{xxxx};
4. 找出数据库的密码并提交,格式:flag{xxxx};
5. 登录靶机数据库,提交配景密码的密文,格式:flag{xxxx};
6. 重置网站配景密码,修改为“hacker”,将修改的内容提交(网页中有潜伏线索),格式:flag{xxxx};
7. 登录管理配景,将配景中潜伏的 flag 提交,格式:flag{xxxx};
8. 获取服务器根目录下的 flag 并提交,格式:flag{xxxx}。
使命二 密码学
使命描述:A 集团截获了一批黑客在暗网交易的加密信息,如今须要你来对其进行破解收集证据
1. subject1 文件中提供了一些信息,请根据此中的信息,将获取到的内容作为flag 进行提交, 提交格式:flag{***};
2. subject1 文件中提供了一些信息,请根据此中的信息,将获取到的内容作为flag 进行提交, 提交格式:flag{***};
3. subject1 文件中提供了一些信息,请根据此中的信息,将获取到的内容作为flag 进行提交, 提交格式:flag{***};
4. subject1 文件中提供了一些信息,请根据此中的信息,将获取到的内容作为flag 进行提交, 提交格式:flag{***};
5. subject1 文件中提供了一些信息,请根据此中的信息,将获取到的内容作为flag 进行提交, 提交格式:flag{***}。
使命三 流量分析
使命描述:A 集团的一台服务器遭受了恶意攻击,你如今是一名安全工程师,请你通过分析可疑流量文件找出此中的蛛丝马迹。访问靶机 SMB 服务下载附件。
1. 找出黑客的 IP 地址;
2. 提交黑客扫描的端口范围并提交黑客得到了哪些端口开放的信息,提交格式:[xxxx:xxxx]+[xxxx,xxxx,xxxx];
3. 将黑客渗透进入体系后得到的用户名称作为 flag 提交;
4. 分析流量包,将黑客打开的第一个文件内容解密,将解密的内容作为flag提交;
5. 分析流量包,从中获得压缩包,将其修复得到内容作为flag 提交;
6. 将上题加密信息解密,密钥即为用户名。
使命四 PWN
使命描述:访问靶机 http://服务器 ip/pwn,下载文件。
1. 访问目标网页下载 pwn 程序,对该程序进行安全审计,通过相应的漏洞得到潜伏的 flag,提交格式:flag{******};
使命五 逆向
使命描述:访问靶机 http://服务器 ip/reverse,下载文件。
. 对二进制文件进行逆向分析,找到 GUI 程序窗口过程回调函数,并将该函数的地址作为 FLAG 提交。(FLAG 格式:0x???????)
2. 对二进制文件进行逆向分析,并将该二进制文件中检查允许证是否精确的关键函数的地址作为 FLAG 提交。 (FLAG 格式:0x???????)
3. 对二进制文件进行逆向分析,找到潜伏的 FLAG1 并提交。
4. 对二进制文件进行逆向分析,对其允许证验证操作进行破解,将允许成功后程序的回显信息作为 FLAG 提交。
5. 对二进制文件进行逆向分析,将允许证号作为 FLAG 提交。
第二阶段: 企业网络安全设置与渗透
配景:您的团队正在对 A 集团进行等保测评,请寻找该企业中有缺陷的服务器,这些服务器大概存在着各种各样的渗透漏洞。您的团队须要渗透这些服务器并找出漏洞,按照下列题目要求进行服务器的环境加固后再次进行渗透测试,以此来确认加固的有效性。
使命 1:找到 A 集团总站点,对目标进行渗透测试,找到站点的配景管理页面以及该站点运行的体系账户,将端口号与账户名作为 flag 值提交,提交格式:flag{配景端口+服务运行账户};
使命 2:将 A 集团配景管理员“admin”的密码作为 flag 值提交,提交格式:flag{密码};
使命 3:对 A 集团进行渗透测试,将主站点 root 目录下的flag 提交,提交格式:flag{******};
使命 4:对总站点进行加固,在 FW 上开启认证,利用对应方式进行维护,将对应的模块名称进行提交,多个请用/隔开,提交格式:flag{***/***};
使命 5:再次渗透总站点的配景管理页面,将页面回显的第三行的末了一个单词作为 flag 值提交,提交格式 flag{******};
使命 6:对 A 集团的 DB 服务器进行渗透测试,找到管理页面,将管理页面中的flag作为 flag 值提交,提交格式:flag{******};
使命 7:对 A 集团的 DB 服务器进行渗透测试,将数据库管理员密码作为flag值提交,提交格式:flag{******};
使命 8:对 A 集团的 DB 服务器进行渗透测试,将 root 家目录下的flag 提交,提交格式:flag{******};
使命 9:在 WAF 上设置基础防御功能,建立特性规则“HTTP 防御”,利用对应方式进行维护,将对应的模块名称进行提交 flag{******};
使命 10:再次对 A 集团的 DB 服务器管理页面进行渗透,将页面回显的第一行的第四个单词作为 flag 值提交,提交格式 flag{******};
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
|
发表于 2025-7-30 19:05:47
