第一阶段: CTF 夺旗
配景:作为信息安全技能人员,除了要掌握安全运营、应急响应这些方面安全内容还应该常常参与CTF夺旗实战,通过夺旗赛可以或许进一步提升实战技能本领,磨炼选手的耐心,增强选手的学习本领。
CTF夺旗阶段题目重要包含:注入攻击,模版逃逸,序列化毛病,服务毛病等相干内容。
任务一 WEBCMS
任务描述:你是一名网络安全服务工程师,因A集团公司某页面站点操作不当导致代码泄露使得服务器易遭受攻击,现在需要你对A集团网站举行安全渗出与防护。
1.利用扫描器,获取靶机的Web服务端标语并提交,格式:flag{xxxx};
2.获取网站源码,将根目次下的文件夹个数提交,格式:flag{xxxx};
3.找出网站管理配景,提交配景页面的地址,格式:flag{xxxx};
4.找出数据库的密码并提交,格式:flag{xxxx};
5.登录靶机数据库,提交配景密码的密文,格式:flag{xxxx};
6.重置网站配景密码,修改为“hacker”,将修改的内容提交(网页中有隐藏线索),格式:flag{xxxx};
7.登录管理配景,将配景中隐藏的flag提交,格式:flag{xxxx}; 8.获取服务器根目次下的flag并提交,格式:flag{xxxx}。
任务二 杂项 MISC
任务描述:访问靶机http://服务器ip/,下载文件。
1.访问目的网站下载MISC.zip文件,将文件1中的flag值提交,提交格式:flag{};
2.访问目的网站下载MISC.zip文件,将文件2中的flag值提交,提交格式:flag{};
3.访问目的网站下载MISC.zip文件,将文件3中的flag值提交,提交格式:flag{};
4.访问目的网站下载MISC.zip文件,将文件4中的flag值提交,提交格式:flag{};
5.访问目的网站下载MISC.zip文件,将文件5中的flag值提交,提交格式:flag{******}。
任务三 Linux 应急响应分析
任务描述:A 集团的一台服务器系统遭受了恶意攻击,你现在是一名应急响应小组的安全工程师,请你通太过析毛病找出其中的蛛丝马迹。root 用户为弱口令。
1.对该WebServer服务器举行分析,将黑客ip作为flag,提交格式: flag{};
2.对该WebServer服务器举行分析,将黑客利用的毛病扫描器工具名作为flag;提交格式:flag{};
3.对该WebServer服务器继续分析,将黑客第一次入侵时间作为flag; 提交格式:flag{******};
4.对该WebServer服务器举行分析,将黑客利用毛病乐成写入木马的
路径作为flag;提交格式:flag{};
5.对该WebServer服务器举行分析,将黑客在服务器上提权利用的二进制文件路径名作为flag 提交格式:flag{}。
任务四 Baby_PWN
任务描述:访问靶机http://服务器ip/pwn,下载文件。
1.访问目的网页下载pwn程序,对该程序举行安全审计,通过相应的毛病得到隐藏的flag,提交格式:flag{******}。
任务五 流量溯源
任务描述:A 集团的一台服务器遭受了恶意攻击,你现在是一名安全工程师,请你通太过析可疑流量文件找出其中的蛛丝马迹。访问靶机 SMB 服务下载附件。
1.找出黑客的IP地址;
2.提交黑客扫描的端口范围并提交黑客得到了哪些端口开放的信息, 提交格式:[xxxx:xxxx]+[xxxx,xxxx,xxxx];
3.将黑客渗出进入系统后得到的用户名称作为flag提交;
4.分析流量包,将黑客打开的第一个文件内容解密,将解密的内容作为flag提交;
5.分析流量包,从中得到压缩包,将其修复得到内容作为flag提交;
6.将上述加密信息解密,密钥即为用户名。
第二阶段: 企业网络安全配置与渗出
配景:您的团队正在对 A 集团举行等保测评,请寻找该企业中有缺陷的服务器,这些服务器大概存在着各种各样的渗出毛病。您的团队需要渗出这些服务器并找出毛病,按照下列题目要求举行服务器的情况加固后再次举行渗出测试,以此来确认加固的有效性。
任务 1:找到 A 集团总站点,对目的举行渗出测试,找到站点的配景管理页面以及该站点运行的系统账户,将端标语与账户名作为flag 值提交, 提交格式:flag{配景端口+服务运行账户};
任务 2:将 A 集团配景管理员“admin”的密码作为 flag 值提交,提交格式:flag{密码};
任务 3:对A 集团举行渗出测试,将主站点root 目次下的flag 提交, 提交格式:flag{};
任务 4:对总站点举行加固,在 FW 上开启认证,利用对应方式举行维护, 将对应的模块名称举行提交, 多个请用/隔开, 提交格式: flag{};
任务 5:再次渗出总站点的配景管理页面,将页面回显的第三行的最后一个单词作为flag 值提交,提交格式flag{};
任务 6:对 A 集团的 DB 服务器举行渗出测试,找到管理页面,将管理页面中的flag 作为flag 值提交,提交格式:flag{};
任务 7:对 A 集团的 DB 服务器举行渗出测试,将数据库管理员密码作为flag 值提交,提交格式:flag{};
任务 8:对 A 集团的DB 服务器举行渗出测试,将 root 家目次下的flag 提交,提交格式:flag{};
任务 9:在 WAF 上配置基础防御功能,建立特征规则“HTTP 防御”, 利用对应方式举行维护,将对应的模块名称举行提交flag{};
任务 10:再次对 A 集团的DB 服务器管理页面举行渗出,将页面回显的第一行的第四个单词作为flag 值提交,提交格式flag{}。
需要2023情况私信博主!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
