2022年全國(guó)職業(yè)院校技能大賽高職組“信息安全管理與評(píng)估”賽項(xiàng)-第3階段-賽題

第三階段競(jìng)賽項(xiàng)目試題

本文件為信息安全管理與評(píng)估項(xiàng)目競(jìng)賽-第三階段試題。根據(jù)信息安全管理與評(píng)估項(xiàng)目技

術(shù)文件要求，第三階段為奪旗挑戰(zhàn)CTF（網(wǎng)絡(luò)安全滲透）。

本次比賽時(shí)間為180分鐘。

介紹

奪旗挑戰(zhàn)賽（CTF）的目標(biāo)是作為一名網(wǎng)絡(luò)安全專業(yè)人員在一個(gè)模擬的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)網(wǎng)

絡(luò)安全滲透測(cè)試工作。

本模塊要求參賽者作為攻擊方，運(yùn)用所學(xué)的信息收集、漏洞發(fā)現(xiàn)、漏洞利用等滲透測(cè)試

技術(shù)完成對(duì)網(wǎng)絡(luò)的滲透測(cè)試；并且能夠通過(guò)各種信息安全相關(guān)技術(shù)分析獲取存在的flag值。

所需的設(shè)備、機(jī)械、裝置和材料

所有測(cè)試項(xiàng)目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。

評(píng)分方案

本項(xiàng)目階段分?jǐn)?shù)為350分。

注意事項(xiàng)

通過(guò)找到正確的flag值來(lái)獲取得分，它的格式如下所示：flag{<flag值>}

這種格式在某些環(huán)境中可能被隱藏或混淆。所以，注意一些敏感信息并把它找出來(lái)。

項(xiàng)目和任務(wù)描述

在A集團(tuán)的網(wǎng)絡(luò)中存在幾臺(tái)服務(wù)器，各服務(wù)器存在著不同業(yè)務(wù)服務(wù)。在網(wǎng)絡(luò)中存在著一定

網(wǎng)絡(luò)安全隱患，請(qǐng)利用你所掌握的滲透測(cè)試技術(shù)，通過(guò)信息收集、漏洞挖掘等滲透測(cè)試技術(shù)，

完成指定項(xiàng)目的滲透測(cè)試，在測(cè)試中獲取flag值。網(wǎng)絡(luò)環(huán)境參考樣例請(qǐng)查看附錄A、附錄B。

本模塊所使用到的滲透測(cè)試技術(shù)包含但不限于如下技術(shù)領(lǐng)域：

?信息收集

?逆向文件分析

?二進(jìn)制漏洞利用

?應(yīng)用服務(wù)漏洞利用

?雜項(xiàng)與密碼學(xué)分析

所有設(shè)備和服務(wù)器的IP地址請(qǐng)查看現(xiàn)場(chǎng)提供的設(shè)備列表。

工作任務(wù)

一、Web1服務(wù)器

任務(wù)編號(hào)任務(wù)描述答案

Web1系統(tǒng)主頁(yè)存在隱藏信息，請(qǐng)根據(jù)

頁(yè)面提示，分析并找出flag，并將

Web1-1

flag提交。flag格式flag{<flag值>}

（5分）

Web1系統(tǒng)后臺(tái)存在漏洞，結(jié)合Web1-2

的信息，分析并利用漏洞找出flag，

Web1-2

并將flag提交。flag格式flag{<flag

值>}（15分）

二、Web2服務(wù)器

任務(wù)編號(hào)任務(wù)描述答案

Web2服務(wù)器存在隱藏信息，分析并利

Web2用漏洞找出flag，并將flag提交。

flag格式flag{<flag值>}（20分）

三、Web3服務(wù)器

任務(wù)編號(hào)任務(wù)描述答案

Web3運(yùn)維監(jiān)控平臺(tái)存在漏洞，分析并

利用漏洞找出平臺(tái)中的flag，并將

Web3-1

flag提交。flag格式flag{<flag值>}

（30分）

結(jié)合Web3-1的信息，獲取Web3服務(wù)器

Web3-2中的flag，并將flag提交。flag格式

flag{<flag值>}（30分）

四、FTP服務(wù)器

任務(wù)編號(hào)任務(wù)描述答案

請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分

Crypto1析，找出其中隱藏的flag，并將flag提

交。flag格式flag{<flag值>}（15分）

請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分

Crypto2析，找出其中隱藏的flag，并將flag提

交。flag格式flag{<flag值>}（30分）

請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分

Misc1析，找出其中隱藏的flag，并將flag提

交。flag格式flag{<flag值>}（15分）

請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分

Misc2析，找出其中隱藏的flag，并將flag提

交。flag格式flag{<flag值>}（20分）

請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分

Misc3析，找出其中隱藏的flag，并將flag提

交。flag格式flag{<flag值>}（30分）

請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分

Misc4析，找出其中隱藏的flag，并將flag提

交。flag格式flag{<flag值>}（30分）

請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分

Re1析，找出其中隱藏的flag，并將flag提

交。flag格式flag{<flag值>}（25分）

請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分

Re2析，找出其中隱藏的flag，并將flag提

交。flag格式flag{<flag值>}（30分）

五、Pwn1服務(wù)器

任務(wù)編號(hào)任務(wù)描述答案

請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的應(yīng)用程

序，連接Pwn1服務(wù)器的10000端口，

Pwn1對(duì)服務(wù)器進(jìn)行漏洞利用，找出其中隱

藏的flag，并將flag提交。flag格式

flag{<flag值>}（25分）

六、Pwn2服務(wù)器

任務(wù)編號(hào)任務(wù)描述答案

請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的應(yīng)用程

序，連接Pwn2服務(wù)器的10001端口，

Pwn2對(duì)服務(wù)器進(jìn)行漏洞利用，找出其中隱

藏的flag，并將flag提交。flag格式

flag{<flag值>}（30分）

附錄A

圖1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

附錄B

服務(wù)器IP地址列表

序號(hào)任務(wù)編號(hào)服務(wù)器名稱IP地址

1Web1Web101

2Web2Web223

Web3-1

3Web334

Web3-2

Crypto1

Crypto2

Misc1

Misc2

4FTP15

Misc3

Misc4

Re1

Re2

FTP

15

存放應(yīng)用程序

5Pwn1

Pwn1

51

應(yīng)用服務(wù)器

FTP

15

存放應(yīng)用程序

6Pwn2

Pwn2

52

應(yīng)用服務(wù)器

信息安全管理與評(píng)估第三階段

奪旗挑戰(zhàn)CTF（網(wǎng)絡(luò)安全滲透）

第三階段競(jìng)賽項(xiàng)目試題

本文件為信息安全管理與評(píng)估項(xiàng)目競(jìng)賽-第三階段試題。根據(jù)信息安全管理與評(píng)估項(xiàng)目技

術(shù)文件要求，第三階段為奪旗挑戰(zhàn)CTF（網(wǎng)絡(luò)安全滲透）。

本次比賽時(shí)間為180分鐘。

介紹

奪旗挑戰(zhàn)賽（CTF）的目標(biāo)是作為一名網(wǎng)絡(luò)安全專業(yè)人員在一個(gè)模擬的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)網(wǎng)

絡(luò)安全滲透測(cè)試工作。

本模塊要求參賽者作為攻擊方，運(yùn)用所學(xué)的信息收集、漏洞發(fā)現(xiàn)、漏洞利用等滲透測(cè)試

技術(shù)完成對(duì)網(wǎng)絡(luò)的滲透測(cè)試；并且能夠通過(guò)各種信息安全相關(guān)技術(shù)分析獲取存在的flag值。

所需的設(shè)備、機(jī)械、裝置和材料

所有測(cè)試項(xiàng)目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。

評(píng)分方案

本項(xiàng)目階段分?jǐn)?shù)為350分。

注意事項(xiàng)

通過(guò)找到正確的flag值來(lái)獲取得分，它的格式如下所示：flag{<flag值>}

這種格式在某些環(huán)境中可能被隱藏或混淆。所以，注意一些敏感信息并把它找出來(lái)。

項(xiàng)目和任務(wù)描述

在A集團(tuán)的網(wǎng)絡(luò)中存在幾臺(tái)服務(wù)器，各服務(wù)器存在著不同業(yè)務(wù)服務(wù)。在網(wǎng)絡(luò)中存在著一定

網(wǎng)絡(luò)安全隱患，請(qǐng)利用你所掌握的滲透測(cè)試技術(shù)，通過(guò)信息收集、漏洞挖掘等滲透測(cè)試技術(shù)，

完成指定項(xiàng)目的滲透測(cè)試，在測(cè)試中獲取flag值。網(wǎng)絡(luò)環(huán)境參考樣例請(qǐng)查看附錄A、附錄B。

本模塊所使用到的滲透測(cè)試技術(shù)包含但不限于如下技術(shù)領(lǐng)域：

?信息收集

?逆向文件分析

?二進(jìn)制漏洞利用

?應(yīng)用服務(wù)漏洞利用

?雜項(xiàng)與密碼學(xué)分析

所有設(shè)備和服務(wù)器的IP地址請(qǐng)查看現(xiàn)場(chǎng)提供的設(shè)備列表。

工作任務(wù)

一、Web1服務(wù)器

任務(wù)編號(hào)任務(wù)描述答案

Web1系統(tǒng)主頁(yè)存在隱藏信息，請(qǐng)根據(jù)

頁(yè)面提示，分析并找出flag，并將

Web1-1

flag提交。flag格式flag{<flag值>}

（5分）

Web1系統(tǒng)后臺(tái)存在漏洞，結(jié)合Web1-2

的信息，分析并利用漏洞找出flag，

Web1-2

并將flag提交。flag格式flag{<flag

值>}（15分）

二、Web2服務(wù)器

任務(wù)編號(hào)任務(wù)描述答案