2022029網(wǎng)絡(luò)安全競賽試題31日試題

2022年全國職業(yè)院校技能大賽（中職組）

網(wǎng)絡(luò)安全競賽試題

CD模塊

2022年7月31日用

（總分40分）

賽題說明

一、競賽項目簡介

“網(wǎng)絡(luò)安全”競賽共分A.基礎(chǔ)設(shè)施設(shè)置與安全加固；B.網(wǎng)絡(luò)安

全事件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用安全；C.CTF奪旗-攻擊；D.CTF

奪旗-防御等四個模塊。根據(jù)比賽實際情況，競賽賽場實際使用賽題

參數(shù)、表述及環(huán)境可能有適當(dāng)修改，具體情況以實際比賽發(fā)放賽題

為準(zhǔn)。競賽時間安排和分值權(quán)重見表1。

表1競賽時間安排與分值權(quán)重

模

塊競賽時間

模塊名稱權(quán)值

編（小時）

號

A基礎(chǔ)設(shè)施設(shè)置與安全加固20%

4

B網(wǎng)絡(luò)安全事件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用安全40%

CCTF奪旗-攻擊20%

3

DCTF奪旗-防御20%

總計7100%

二、競賽注意事項

1/6

1.比賽期間禁止攜帶和使用移動存儲設(shè)備、計算器、通信工具

及參考資料。

2.請根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設(shè)備、軟件

清單、材料清單是否齊全，計算機設(shè)備是否能正常使用。

3.在進(jìn)行任何操作之前，請閱讀每個部分的所有任務(wù)。各任務(wù)

之間可能存在一定關(guān)聯(lián)。

4.操作過程中需要及時按照答題要求保存相關(guān)結(jié)果。比賽結(jié)束

后，所有設(shè)備保持運行狀態(tài)，評判以最后提交的成果為最終依據(jù)。

5.比賽完成后，比賽設(shè)備、軟件和賽題請保留在座位上，禁止

將比賽所用的所有物品（包括試卷等）帶離賽場。

6.禁止在提交資料上填寫與競賽無關(guān)的標(biāo)記，如違反規(guī)定，可

視為0分。

模塊CCTF奪旗-攻擊

（本模塊20分）

一、項目和任務(wù)描述：

假定你是某企業(yè)的網(wǎng)絡(luò)安全滲透測試工程師，負(fù)責(zé)企業(yè)某些服

務(wù)器的安全防護(hù)，為了更好的尋找企業(yè)網(wǎng)絡(luò)中可能存在的各種問題

和漏洞。你嘗試?yán)酶鞣N攻擊手段，攻擊特定靶機，以便了解最新

的攻擊手段和技術(shù)，了解網(wǎng)絡(luò)黑客的心態(tài)，從而改善您的防御策

略。

請根據(jù)《賽場參數(shù)表》提供的信息，在客戶端使用谷歌瀏覽器

登錄攻擊機。

2/6

二、操作系統(tǒng)環(huán)境說明：

客戶機操作系統(tǒng)：Windows10

攻擊機操作系統(tǒng)：KaliLinux2019版

靶機服務(wù)器操作系統(tǒng)：Linux/Windows

三、漏洞情況說明：

1.服務(wù)器中的漏洞可能是常規(guī)漏洞也可能是系統(tǒng)漏洞；

2.靶機服務(wù)器上的網(wǎng)站可能存在命令注入的漏洞，要求選手找

到命令注入的相關(guān)漏洞，利用此漏洞獲取一定權(quán)限;

3.靶機服務(wù)器上的網(wǎng)站可能存在文件上傳漏洞，要求選手找到

文件上傳的相關(guān)漏洞，利用此漏洞獲取一定權(quán)限;

4.靶機服務(wù)器上的網(wǎng)站可能存在文件包含漏洞，要求選手找到

文件包含的相關(guān)漏洞，與別的漏洞相結(jié)合獲取一定權(quán)限并進(jìn)行提權(quán);

5.操作系統(tǒng)提供的服務(wù)可能包含了遠(yuǎn)程代碼執(zhí)行的漏洞，要求

用戶找到遠(yuǎn)程代碼執(zhí)行的服務(wù)，并利用此漏洞獲取系統(tǒng)權(quán)限;

6.操作系統(tǒng)提供的服務(wù)可能包含了緩沖區(qū)溢出漏洞，要求用戶

找到緩沖區(qū)溢出漏洞的服務(wù)，并利用此漏洞獲取系統(tǒng)權(quán)限;

7.操作系統(tǒng)中可能存在一些系統(tǒng)后門，選手可以找到此后門，

并利用預(yù)留的后門直接獲取到系統(tǒng)權(quán)限。

四、注意事項：

1.不能對裁判服務(wù)器進(jìn)行攻擊，警告一次后若繼續(xù)攻擊將判令

該參賽隊離場；

2.Flag值為每臺靶機服務(wù)器的唯一性標(biāo)識，每臺靶機服務(wù)器僅

3/6

有1個；

3.選手攻入靶機后不得對靶機進(jìn)行關(guān)閉端口、修改密碼、重啟

或者關(guān)閉靶機、刪除或者修改Flag、建立不必要的文件等操作；

4.在登錄自動評分系統(tǒng)后，提交靶機服務(wù)器的Flag值，同時需

要指定靶機服務(wù)器的IP地址；

5.賽場根據(jù)難度不同設(shè)有不同基礎(chǔ)分值的靶機，對于每個靶機

服務(wù)器，前三個獲得Flag值的參賽隊在基礎(chǔ)分上進(jìn)行加分，本階段

每個隊伍的總分均計入階段得分，具體加分規(guī)則參照賽場評分標(biāo)

準(zhǔn)；

6.本環(huán)節(jié)不予補時。

模塊DCTF奪旗-防御

（本模塊20分）

一、項目和任務(wù)描述：

假定各位選手是某安全企業(yè)的網(wǎng)絡(luò)安全工程師，負(fù)責(zé)若干服務(wù)

器的滲透測試與安全防護(hù)，這些服務(wù)器可能存在著各種問題和漏

洞。你需要盡快對這些服務(wù)器進(jìn)行滲透測試與安全防護(hù)。每個參賽

隊擁有專屬的堡壘機服務(wù)器，其他隊不能訪問。參賽選手通過掃

描、滲透測試等手段檢測自己堡壘服務(wù)器中存在的安全缺陷，進(jìn)行

針對性加固，從而提升系統(tǒng)的安全防御性能。

每位選手按照發(fā)現(xiàn)需要加固點、實施加固和檢驗加固成效等步

4/6

驟實施系統(tǒng)防御。完成防護(hù)工作后，每隊選手需要按照實施步驟必

要文字說明配以關(guān)鍵過程或者關(guān)鍵操作結(jié)果截圖的形式，自行制作

系統(tǒng)防御實施報告。實施報告以word文檔的形式書寫,以PDF格式

保存，以“賽位號+模塊D”作為文件名，PDF格式文檔為此模塊評

分唯一依據(jù)。

請根據(jù)《賽場參數(shù)表》提供的信息，在客戶端使用谷歌瀏覽器

登錄需要加固的堡壘服務(wù)器。

二、操作系統(tǒng)環(huán)境說明：

客戶機操作系統(tǒng)：Windows10

攻擊機操作系統(tǒng)：KaliLinux2019版

堡壘服務(wù)器操作系統(tǒng)：Linux/Windows

三、漏洞情況說明：

1.堡壘服務(wù)器中的漏洞可能是常規(guī)漏洞也可能是系統(tǒng)漏洞；

2.堡壘服務(wù)器上的網(wǎng)站可能存在命令注入的漏洞，要求選手找

到命令注入的相關(guān)漏洞，利用此漏洞獲取一定權(quán)限;

3.堡壘服務(wù)器上的網(wǎng)站可能存在文件上傳漏洞，要求選手找到

文件上傳的相關(guān)漏洞，利用此漏洞獲取一定權(quán)限;

4.堡壘服務(wù)器上的網(wǎng)站可能存在文件包含漏洞，要求選手找到

文件包含的相關(guān)漏洞，與別的漏洞相結(jié)合獲取一定權(quán)限并進(jìn)行提權(quán);

5.操作系統(tǒng)提供的服務(wù)可能包含了遠(yuǎn)程代碼執(zhí)行的漏洞，要求

用戶找到遠(yuǎn)程代碼執(zhí)行的服務(wù)，并利用此漏洞獲取系統(tǒng)權(quán)限;

6.操作系統(tǒng)提供的服務(wù)可能包含了緩沖區(qū)溢出漏洞，要求用戶

5/6

找到緩沖區(qū)溢出漏洞的服務(wù)，并利用此漏洞獲取系統(tǒng)權(quán)限;

7.操作系統(tǒng)中可能存在一些系統(tǒng)后門，選手可以找到此后門，

并利用預(yù)留的后門直接獲取到系統(tǒng)權(quán)限。

四、注意事項：

1.系統(tǒng)加固時需要保證堡壘服務(wù)器對外提供服務(wù)的可用性；

2.不能對裁判服務(wù)器進(jìn)行攻擊，警告一次后若繼續(xù)攻擊將判令

該參賽隊離場；

3.本環(huán)節(jié)不予補時。

6/6

2022年全國職業(yè)院校技能大賽（中職組）

網(wǎng)絡(luò)安全競賽試題

CD模塊

2022年7月31日用

（總分40分）

賽題說明

一、競賽項目簡介

“網(wǎng)絡(luò)安全”競賽共分A.基礎(chǔ)設(shè)施設(shè)置與安全加固；B.網(wǎng)絡(luò)安

全事件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用安全；C.CTF奪旗-攻擊；D.CTF

奪旗-防御等四個模塊。根據(jù)比賽實際情況，競賽賽場實際使用賽題

參數(shù)、表述及環(huán)境可能有適當(dāng)修改，具體情況以實際比賽發(fā)放賽題

為準(zhǔn)。競賽時間安排和分值權(quán)重見表1。

表1競賽時間安排與分值權(quán)重

模

塊競賽時間

模塊名稱權(quán)值

編（小時）

號

A基礎(chǔ)設(shè)施設(shè)置與安全加固20%

4

B網(wǎng)絡(luò)安全事件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用安全40%

CCTF奪旗-攻擊20%

3

DCTF奪旗-防御20%

總計7100%

二、競賽注意事項

1/6

1.比賽期間禁止攜帶和使用移動存儲設(shè)備、計算器、通信工具

及參考資料。

2.請根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設(shè)備、軟件

清單、材料清單是否齊全，計算機設(shè)備是否能正常使用。

3.在進(jìn)行任何操作之前，請閱讀每個部分的所有任務(wù)。各任務(wù)

之間可能存在一定關(guān)聯(lián)。

4.操作過程中需要及時按照答題要求保存相關(guān)結(jié)果。比賽結(jié)束

后，所有設(shè)備保持運行狀態(tài)，評判以最后提交的成果為最終依據(jù)。

5.比賽完成后，比賽設(shè)備、軟件和賽題請保留在座位上，禁止

將比賽所用的所有物品（包括試卷等）帶離賽場。

6.禁止在提交資料上填寫與競賽無關(guān)的標(biāo)記，如違反規(guī)定，可

視為0分。

模塊CCTF奪旗-攻擊

（本模塊20分）

一、項目和任務(wù)描述：

假定你是某企業(yè)的網(wǎng)絡(luò)安全滲透測試工程師，負(fù)責(zé)企業(yè)某些服

務(wù)器的安全防護(hù)，為了更好的尋找企業(yè)網(wǎng)絡(luò)中可能存在的各種問題

和漏洞。你嘗試?yán)酶鞣N攻擊手段，攻擊特定靶機，以便了解最新

的攻擊手段和技術(shù)，了解網(wǎng)絡(luò)黑客的心態(tài)，從而改善您的防御策

略。

請根據(jù)《賽場參數(shù)表》提供的信息，在客戶端使用谷歌瀏覽器

登錄攻擊機。

2/6

二、操作系統(tǒng)環(huán)境說明：

客戶機操作系