0
点赞
收藏
分享

微信扫一扫

2022年中职组“网络安全”赛项厦门市任务书

爱喝酒的幸福人 2022-04-19 阅读 49
安全

2022年中职组“网络安全”赛项

厦门市竞赛任务书

一、竞赛时间

共计2小时30分钟。

二、竞赛阶段

竞赛阶段

竞赛任务

竞赛时间

分值

第一阶段

基础设施设置与安全加固

A-1 任务1

150分钟

300分

A-2 任务2

A-3 任务3

A-4 任务4

A-5 任务5

第二阶段

网络安全事件响应、数字取证调查和应用安全

任务一:SSH弱口令渗透测试

120分

任务二:Windows操作系统渗透测试

120分

任务三:Linux操作系统渗透测试

120分

任务四:漏洞扫描与利用

120分

任务五:数据库安全加固

100分

任务六:nmap扫描渗透测试

120分

三、竞赛任务书内容

(一)拓扑图

 

(二)第一阶段任务书(300分)

基础设施设置与安全加固

  • 项目和任务描述:

假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常可靠运行,并通过相关技术实现安全要求,提升服务器系统的安全性和可靠性。本模块要求对具体任务的操作截图并加以相应的文字说明,以word文档的形式书写,以PDF格式保存,以赛位号作为文件名保存在主机B的桌面。

  • 服务器环境说明

(一)网络拓扑结构

 

(二)系统要求

1. Windows使用Windows server 2019系统

2. Linux使用CentOS 7.x系统

3. 系统存储在D盘soft目录下。

  • 具体任务(每个任务得分以电子答题卡为准)

A-1任务1:安装Windows和Linux系统。

  1. workstation中按照下表及拓扑图正确安装系统。

虚拟机名称

VCPU

内存、硬盘信息

域名信息

地址信息

备注

Windows-1

2

4G、60G

ad.skills.com

10.100.100.101

主域控制器

Windows-2

2

4G、60G

client.skills.com

10.100.100.102

Linux-1

1

1G、40G

ns1.skills.com

10.100.100.103

Linux-2

1

1G、40G

ns2.skills.com

10.100.100.104

A-2任务2:在windows-1中正确安装域控制器。

  1. 在Windows-1中安装主域控制器(ad.skills.com);
  2. windows-1配置为主DNS服务器,正确配置skills.com域名的正向及反向解析区域,能够正确解析skills.com域中的所有服务器。

A-3任务3:加入域配置。

  1. 配置Windows-2加入域,并且将当前域名隐匿为GUTSONE;
  2. 配置Linux-1加入域;
  3. 配置Linux-2加入域。

A-4任务4:在Linux-1和Linux-2配置集群服务。

  1. 配置Linux-1为集群主服务器,路由标识为ns1,VRRP实例使用密码进行验证,密码为2022,集群ip使用10.100.100.150,工作模式为DR,使用轮询调度模式,为集群添加Web节点Linux-1,使用TCP方式检测存活,连接超时限制为5秒;
  2. 配置Linux-2为集群备服务器,路由标识为ns1,VRRP实例使用密码进行验证,密码为2022,集群ip使用10.100.100.150,工作模式为DR,使用轮询调度模式,为集群添加Web节点Linux-1,使用TCP方式检测存活,连接超时限制为5秒。

A-5任务5:在Linux-1和Linux-2配置http服务

  1. 在Linux-1中安装httpd服务,建立站点www.skills.com,其网站主目录为/var/www/html,首页内容为“10.100.100.150-ns1”;
  2. 在Linux-2中安装httpd服务,建立站点www.skills.com,其网站主目录为/var/www/html,首页内容为“10.100.100.150-ns2”。

(三)第二阶段任务书(700分)

网络安全事件响应、数字取证调查和应用安全

任务一:SSH弱口令渗透测试

任务环境说明:

  • 服务器场景:Linux(关闭链接)
  • 服务器场景操作系统:Linux(版本不详)
  1. 在本地PC渗透测试平台kali中使用zenmap工具扫描服务器场景Linux所在网段(例如:172.16.101.0/24)范围内存活的主机IP地址和指定开放的21、22、23端口。并将该操作使用的命令中必须要添加的字符串作为FLAG提交(忽略ip地址);
  2. 通过本地PC中渗透测试平台kali对服务器场景Linux进行系统服务及版本扫描渗透测试,并将该操作显示结果中SSH服务对应的服务端口信息作为FLAG提交;
  3. 在本地PC渗透测试平台kali中使用MSF模块对其爆破,使用search命令,并将扫描弱口令模块的名称信息作为FLAG提交;
  4. 在上一题的基础上使用命令调用该模块,并查看需要配置的信息(使用show options命令),将回显中需要配置的目标地址,密码使用的猜解字典,线程,账户配置参数的字段作为FLAG提交(之间以英文逗号分隔,例hello,test,..,..);
  5. 在msf模块中配置目标靶机IP地址,将配置命令中的前两个单词作为FLAG提交;
  6. 在msf模块中指定密码字典,字典路径为/桌面/tools/2.txt,用户名为test爆破获取密码并将得到的密码作为FLAG提交;
  7. 在上一题的基础上,使用第6题获取到的密码SSH到靶机,将test用户家目录中唯一一个后缀为.bmp图片的文件名的字符串作为FLAG提交。

任务二:Windows操作系统渗透测试

任务环境说明:

  • 服务器场景:Server05(关闭链接)
  • 服务器场景操作系统:Windows(版本不详)
  1. 通过本地PC中渗透测试平台Kali对服务器场景进行系统服务及版本扫描渗透测试,并将该操作显示结果中445端口对应的服务版本信息字符串作为Flag值提交;
  2. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景网络连接信息中的DNS信息作为Flag值 (例如:114.114.114.114) 提交;
  3. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景中的当前最高账户管理员的密码作为Flag值提交;
  4. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文件名称作为Flag值提交;
  5. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文档内容作为Flag值提交;
  6. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景桌面上222文件夹中唯一一个图片中的英文单词作为Flag值提交;

任务三:Linux操作系统渗透测试

任务环境说明:

  • 服务器场景:Server06(关闭链接)
  • 服务器场景操作系统:Linux(版本不详)
  1. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/www目录中唯一一个后缀为.bmp文件的文件名称作为Flag值提交;
  2. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/www目录中唯一一个后缀为.bmp的图片文件中的英文单词作为Flag值提交;
  3. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/vsftpd目录中唯一一个后缀为.docx文件的文件名称作为Flag值提交;
  4. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/vsftpd目录中唯一一个后缀为.docx文件的文件内容作为Flag值提交;
  5. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/home/guest目录中唯一一个后缀为.pdf文件的文件名称作为Flag值提交;
  6. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/home/guest目录中唯一一个后缀为.pdf文件的文件内容作为Flag值提交;
  7. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/root目录中唯一一个后缀为.txt文件的文件名称作为Flag值提交;
  8. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景/root目录中唯一一个后缀为.txt文件的文件内容作为Flag值提交。

任务四:漏洞扫描与利用

任务环境说明:

  • 服务器场景名:Jtest
  • 服务器场景操作系统:Microsoft Windows2003 Server
  • 服务器场景用户名:(用户名:administrator;密码:空)
  1. 通过本地PC中渗透测试平台Kali对服务器场景server2003以半开放式不进行ping的扫描方式并配合a,要求扫描信息输出格式为xml文件格式,从生成扫描结果获取局域网(例如172.16.101.0/24)中存活靶机,以xml格式向指定文件输出信息(使用工具NMAP,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为FLAG提交(各参数之间用英文逗号分割,例a,b,c,d);
  2. 根据第一题扫描的回显信息分析靶机操作系统版本信息,将操作系统版本信息作为FLAG提交;
  3. 根据第一题扫描的回显信息分析靶机服务开放端口,分析开放的服务,并将共享服务的开放状态作为FLAG提交;
  4. 在本地PC的渗透测试平台Kali中,使用命令初始化msf数据库,并将使用的命令作为FLAG提交;
  5. 在本地PC的渗透测试平台Kali中,打开msf,使用db_import将扫描结果导入到数据库中,并查看导入的数据,将查看导入的数据要使用的命令作为FLAG提交;
  6. 在msfconsole使用search命令搜索MS08067漏洞攻击程序,并将回显结果中的漏洞时间作为FLAG提交;
  7. 在msfconsole中利用MS08067漏洞攻击模块,将调用此模块的命令作为FLAG提交;
  8. 在上一步的基础上查看需要设置的选项,并将回显中需设置的选项名作为FLAG提交;
  9. 使用set命令设置目标IP(在第8步的基础上),并检测漏洞是否存在,将回显结果中最后四个单词作为FLAG提交;
  10. 查看可选项中存在此漏洞的系统版本,判断该靶机是否有此漏洞,若有,将存在此漏洞的系统版本序号作为FLAG提交,否则FLAG为none。

任务五:数据库安全加固

任务环境说明:

  • 服务器场景:CentOS6.8(用户名:root;密码:123456)
  • 服务器场景操作系统:CentOS6.8(显示链接)
  1. 进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),查看数据库版本号,将查看数据库版本号的命令作为flag提交;
  2. 进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),查看数据库版本号,将查询到的数据库版本号作为flag提交;
  3. 进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),查看数据库列表,将查看数据库列表的命令作为flag提交;
  4. 进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),进入mysql数据库,查看所有用户及权限,找到可以从任意 IP 地址访问的用户,将该用户的用户名作为flag提交;(如有多个可以从任意 IP 地址访问的用户,提交形式为用户名|用户名|用户名|用户名)
  5. 进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),进入mysql数据库,查看所有用户及权限,找到可以从任意 IP 地址访问的用户,使用drop命令将该用户删除,将操作命令作为flag提交。
  6. 进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),进入mysql数据库,改变默认 mysql 管理员的名称,将系统的默认管理员root 改为 admin,防止被列举,将操作命令作为flag提交。

任务六:nmap扫描渗透测试

任务环境说明:

  • 服务器场景:Linux
  • 服务器场景操作系统:Linux(关闭链接)
  1. 通过PC中的渗透测试平台BT5对服务器场景Linux进行TCP同步扫描 (使用工具nmap,使用参数n,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为Flag提交;
  2. 通过PC中的渗透测试平台BT5对服务器场景Linux进行TCP同步扫描 (使用工具nmap,使用参数n,使用必须要使用的参数),并将该操作显示结果中从下往上数第4行的服务名称作为Flag提交;
  3. 通过PC2中渗透测试平台BT5对服务器场景Linux不ping主机进行扫描(使用工具nmap,使用参数n,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为Flag提交;
  4. 通过PC2中渗透测试平台BT5对服务器场景Linux不ping主机进行扫描(使用工具nmap,使用参数n,使用必须要使用的参数),并将该操作显示结果的上数第10行的“:”后的数字作为Flag提交;
  5. 通过PC2中渗透测试平台BT5对服务器场景Linux进行UDP扫描渗透测试只扫描53,111端口(使用工具nmap,使用参数n,使用必须要使用的参数),并将该操作显示结果中111端口的状态作为Flag提交;
  6. 通过PC2中渗透测试平台BT5对服务器场景Linux进行滑动窗口扫描渗透测试(使用工具nmap,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为Flag提交;
  7. 通过PC2中渗透测试平台BT5对服务器场景Linux进行RPC扫描扫描渗透测试(使用工具nmap,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为Flag提交;
  8. 通过PC2中渗透测试平台BT5对服务器场景Linux进行RPC扫描扫描渗透测试(使用工具nmap,使用必须要使用的参数),并将该操作显示结果中从下往上数第7行的服务版本信息作为Flag提交;
举报

相关推荐

0 条评论