《网络安全项目深圳市选拔赛竞赛样题模块C终.docx》由会员分享,可在线阅读,更多相关《网络安全项目深圳市选拔赛竞赛样题模块C终.docx(11页珍藏版)》请在第壹文秘上搜索。
1、WoHdSkiiISChina第46届世界技能大赛深圳市选拔赛网络安全模块C-综合渗透对抗深圳信息职业技术学院1 .竞赛项目简介31.1 介绍31.2 任务描述313竞赛说明51.4 所需设施系统和材料61.5 评分方案72 .竞赛项目工作任务72.1 靶机环境说明:92.2 可能的漏洞列表如下:92.3 注意事项:10L竞赛项目简介本竞赛项目建议书由以下文件组成:第46届世界技能大赛网络安全项目深圳市选拔赛竞赛样题-模块Co1.1 介绍目前,网络安全知识对于任何想要从事IT领域工作的人来说已变得越来越重要。本竞赛项目的任务根据实际网络安全中的工作任务进行设计,如果您能高分完成本项目的竞赛任务
2、,说明您已经具备了攻防能力在企业的复杂基础网络架构进行安全加固和实施渗透测试的基本能力。1.2 任务描述本竞赛项目以典型的企业信息系统网络架构为基础,相关的服务均可以正常运行,但没有对所提供的服务的安全性进行配置。选手需要使用各种网络安全技术对已有的网络和服务进行安全配置和加固。一些安全配置非常简单,但另外一些安全配置则为不同的实现选项预留了选择空间,选手需要根据行业最佳实践(在安全性,高可用性和可扩展性方面)选择合理的安全方案,并尽最大努力实现安全配置。选手应该熟悉CiSCo、MiCroSOft、IinUX等的安全配置和加固技术。本项目任务分为以下几个部分:1)登录和密码策略2)网络系统加固
3、3)公共服务保护4)安全事件监控及鉴别5)安全技术使用熟练技巧网络混战模式是多人或者多组互相进行攻击的模式,不仅要加固自己的服务器防止被对手攻陷,同时要尽可能多的攻击对手的服务器以取得更多的得分。在网络混战环境中,每支队伍有一个小型的虚拟网络,多台渗透机、多台目标靶机。其中靶机上开有很多服务。在攻防对战中,每个队伍都要保护自己靶机的上的业务能够正常打开,也就是开设的端口要能够正常访问。攻击时则是要通过渗透机攻击夺取对手靶机上的flag0每攻击成功一个点,获取对应的FLAG值,提交即可获得相应的分数。如果相应的漏洞未修复,攻击者可每15或30分钟利用漏洞获取新的flag继续得分,被攻击者失分。参
4、室队伍Vlan30参鎏队伍Vlan30COCO参客M伍Vlan40参察队伍Vlan40上图是一个经典的网络混战拓扑图,参赛队伍通过自己的PC接入到混战对抗的网络内进行对抗。裁判通过裁判服务器监控正常比赛的情况,观众在观摩区观看态势展示情况。1.4所需设施系统和材料所有测试账号与密码都可以在资产列表中标注清楚。规则1:每提交1次对手靶机的FLAG值增加IOO分,每当被对手提交1次自身靶机的FLAG值扣除2分,每个对手靶机的FLAG值只能提交一次;规则2:第二阶段总分为30分,初始分为10分。在实际得分和大屏显示中,某选手得分可能会显示负分或者超过30分;凡是负分的,本阶段评判成绩一律为0分;凡是
5、超过30分的,本阶段评判成绩一律为30分。2 .竞赛项目工作任务假定各位选手是某电子商务企业的信息安全工程师,负责企业某服务器的安全防护,该服务器可能存在着各种问题和漏洞。你需要尽快对该服务器进行安全加固,15分钟之后将会有其它参赛队选手对这台服务器进行渗透。根据赛场参数表提供的第二阶段的信息,请使用PCl的谷歌浏览器登录考试平台。提示L服务器中的漏洞可能是常规漏洞也可能是系统漏洞;提示2:加固全部漏洞;提示3:对其它参赛队服务器进行渗透,取得FLAG值并提交到自动评分系统;提示4:十五分钟之后,各位选手才可以进入渗透测试环节。渗透测试环节中,各位选手可以继续加固服务器,也可以选择攻击其他选手
6、的服务器。,服务器场景:CentOS5.5(用户名:root;密码:123456)/服务器场景操作系统:CentOS5.5/服务器场景操作系统安装服务:HTTP/服务器场景操作系统安装服务:FTP/服务器场景操作系统安装服务:SSH,服务器场景操作系统安装服务:SQL/服务器场景操作系统安装开发环境:GCC/服务器场景操作系统安装开发环境:Python/服务器场景操作系统安装开发环境:PHP3 .2、可能的漏洞列表如下:1 .靶机上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限;2 .靶机上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此
7、漏洞获取一定权限;3 .靶机上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权;4 .操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限;5 .操作系统提供的服务可能包含了缓冲区溢出漏洞,要求用户找到缓冲区溢出漏洞的服务,并利用此漏洞获取系统权限;6 .操作系统中可能存在一些系统后门,选手可以找到此后门,并利用预留的后门直接获取到系统权限。注意1:任何时候不能人为关闭服务器服务端口,否则将判令停止比赛,第二阶段分数为O分;注意2:不能对裁判服务器进行攻击,否则将判令停止比赛,第二阶段分数为O
8、分;注意3:在加固阶段(前十五分钟,具体听现场裁判指令)不得对任何服务器进行攻击,否则将判令攻击者停止比赛,第二阶段分数为O分;注意4:FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅有1个;注意5:靶机的FLAG值存放在./root/FIaginfoxxxx.xxx.txt文件内容当中(xxxx.xxx是随机产生的字符);注意6:在登录自动评分系统后,提交对手靶机的FLAG值,同时需要指定对手靶机的IP地址;注意7:不得人为恶意破坏自己服务器的FLAG值,一经发现将判令犯规,第三阶段分数为0分;注意8:本环节是对抗环节,不予补时。附录A:配置清单Web-Server服务器(虚拟机形式提供)计算机名WebServer系统用户名:root密码:WOrldski112019IP地址:192.168.1.11/24Competitor_01计算机名:Competitor01系统用户名:Administrator密码:123456IP地址:192.168.1.252/24Competitor_02organization:Competitor计算机名:Competitor_02系统用户名:Administrator密码:123456IP地址:192.168.1.253/24