2021 年职业院校技能大赛“网络安全”项目
江西省比赛任务书
一、竞赛时间
总计：420 分钟
二、竞赛阶段
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
A 模块
A-1 登录安全加固
180 分钟
200 分
A-2 Web 安全加固（Web）
A-3
流量完整性保护与事件监控
（Web,Log）
A-4 防火墙策略
A-5 Windows 操作系统安全配置
A-6 Linux 操作系统安全配置
B 模块
B-1 系统漏洞利用与提权
400 分
B-2
Linux 操作系统渗透测试
B-3 应用服务漏洞扫描与利用
B-4
SQL 注入测试（PL）
B-5 应急响应
B-6 流量分析
B-7 渗透测试
B-8 Web 渗透测试
B-9 Windows 操作系统渗透测试
B-10 网页渗透-21
午餐 午餐 60 分钟 0

• 19 -
  C、D 模块
  C 模块
  CTF 夺旗-攻击
  180 分钟
  200 分
  D 模块 CTF 夺旗-防御 200 分
  三、竞赛任务书内容
  （一）拓扑图
  （二）A 模块基础设施设置/安全加固（200 分）
  一、项目和任务描述：
  假定你是某企业的网络安全工程师，对于企业的服务器系统，根据任务要求确保
  各服务正常运行，并通过综合运用登录和密码策略、流量完整性保护策略、事件监控
  策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。
  二、说明：
  1.所有截图要求截图界面、字体清晰，并粘贴于相应题目要求的位置；
  2.文件名命名及保存：网络安全模块 A-XX（XX 为工位号），PDF 格式保存；
  3.文件保存到 U 盘提交。
  A-1：登录安全加固
  任务环境说明：
   服务器场景：LOG:（开放链接）
   用户名:root 密码：root
   服务器场景：Web:（开放链接）
   用户名：administrator 密码：P@ssw0rd
• 20 -
  请对服务器 Web 按要求进行相应的设置，提高服务器的安全性。
  1.密码策略（Web）
  a.最小密码长度不少于 8 个字符，将密码长度最小值的属性配置界面截图；
  b.密码策略必须同时满足大小写字母、数字、特殊字符，将密码必须符合复杂性
  要求的属性配置界面截图。
  2.登录策略（Web）
  a.在用户登录系统时，应该有“For authorized users only”提示信息，将登
  录系统时系统弹出警告信息窗口截图；
  b.一分钟内仅允许 5 次登录失败的尝试，超过 5 次，登录帐号锁定 1 分钟，将账
  户锁定策略配置界面截图；
  c.远程用户非活动会话连接超时应小于等于 5 分钟，将 RDP-Tcp 属性对应的配置
  界面截图。
  3.用户安全管理(Web)
  a.对服务器进行远程管理安全性 SSL 加固，防止敏感信息泄露被监听，将 RDP-Tcp
  属性对应的配置界面截图；
  b.仅允许超级管理员账号关闭系统，将关闭系统属性的配置界面截图。
  A-2：Web 安全加固(Web)
  任务环境说明：
   服务器场景：LOG:（开放链接）
   用户名:root 密码：root
   服务器场景：Web:（开放链接）
   用户名：administrator 密码：P@ssw0rd
  1.为了防止 web 中.mdb 数据库文件非法下载，请对 Web 配置文件进行安全加固，
  将 C:\Windows\System32\inetsrv\config\applicationHost 配置文件中对应的部分
  截图；
  2.限制目录执行权限,对 picture 和 upload 目录设置执行权限为无，将编辑功能
  权限的配置界面截图；
• 21 -
  3.开启 IIS 的日志审计记录(日志文件保存格式为 W3C,只记录日期、时间、客户
  端 IP 地址、用户名、方法)，将 W3C 日志记录字段的配置界面截图；
  4.为了减轻网站负载，设置网站最大并发连接数为 1000，将编辑网站限制的配
  置界面截图；
  5.防止文件枚举漏洞枚举网络服务器根目录文件，禁止 IIS 短文件名泄露，将配
  置命令截图；
  6.关闭 IIS 的 WebDAV 功能增强网站的安全性，将警报提示信息截图。
  A-3：流量完整性保护与事件监控（Web,Log）
  任务环境说明：
   服务器场景：LOG:（开放链接）
   用户名:root 密码：root
   服务器场景：Web:（开放链接）
   用户名：administrator 密码：P@ssw0rd
  1.为了防止密码在登录或者传输信息时被窃取，仅使用证书登录 SSH（Log），
  将/etc/ssh/sshd_config 配置文件中对应的部分截图；
  2.将 Web 服务器开启审核策略
  登录事件 成功/失败;
  特权使用 成功;
  策略更改 成功/失败;
  进程跟踪 成功/失败;
  将审核策略的配置界面截图；
  3.配置 Splunk 接收 Web 服务器，安全日志，系统日志，CPU 负载，内存，磁盘
  空间，网络状态。将转发器：部署成功的页面截图。
  A-4：防火墙策略
  任务环境说明：
   服务器场景：LOG:（开放链接）
• 22 -
   用户名:root 密码：root
   服务器场景：Web:（开放链接）
   用户名：administrator 密码：P@ssw0rd
  所有服务器开启防火墙,为防止勒索病毒攻击对防火墙进行加固策略：
  1.Windows 系统禁用 445 端口，将防火墙入站规则截图；
  2.Linux 系统禁用 23 端口，将 iptables 配置命令截图；
  3.Linux 系统禁止别人 ping 通，将 iptables 配置命令截图；
  4.Linux 系统为确保安全禁止所有人连接 SSH 除了 172.16.1.1 这个 ip，将
  iptables 配置命令截图。
  A-5：Windows 操作系统安全配置
  任务环境说明：
   服务器场景：WindowsServer：（开放链接）
   用户名：administrator，密码：123456
  请对服务器 WindowsServer 按要求进行相应的设置，提高服务器的安全性。
  1.设置密码策略必须同时满足大小写字母、数字、特殊字符，最小密码长度不少
  于 8 个字符，密码最长使用期限为 15 天。将服务器上密码策略配置信息截图;
  2.在用户登录系统时，应该有“For authorized users only”提示信息，将登
  录系统时系统弹出警告信息窗口截图;
  3.一分钟内仅允许 5 次登录失败的尝试，超过 5 次，登录帐号锁定 1 分钟,将账
  号锁定策略配置信息截图；
  4.设置远程桌面用户非活动会话连接超时应小于等于 5 分钟，将 RDP-Tcp 属性对
  应的配置界面截图；
  5.通过 SSL（TLS 1.0）加密服务器的远程桌面服务，将 RDP-Tcp 属性对应的配
  置界面截图；
  6.仅允许超级管理员账号关闭系统，将关闭系统属性的配置界面截图；
  7.开启 IIS 的日志审计记录，日志文件保存格式为 W3C,只记录日期、时间、客
  户端 IP 地址、用户名、服务器端口、方法，将 W3C 日志记录字段的配置界面截图；
• 23 -
  8.设置网站的最大并发连接数为 1000，网站连接超时为 60s，将编辑网站限制的
  配置界面截图；
  9.禁用 IIS 内核缓存，避免对方利用 ms15_034 漏洞进行 DOS 攻击，出现蓝屏的
  现象，将编辑输出缓存设置的配置界面截图；
  10.设置 user1 用户只能在上班时间（周一至周五的 9:00~18:00）可以登录。将
  user1 的登录时间配置界面截图。
  A-6：Linux 操作系统安全配置
  任务环境说明：
   服务器场景：AServer02：（开放链接）
   用户名：root，密码：123456
  1.设置禁止使用最近用过的 6 个旧密码，将配置文件中对应的部分截图;
  2.设置密码复杂程度，允许重试 3 次，新密码必须与旧密码有 4 位不同，最小位
  数 6 位，大写字母至少包含 2 位，小写字母至少包含 3 位，特殊字母个数至少包含 1
  位，将配置文件中对应的部分截图;
  3.禁止匿名用户登录 vsftpd 服务，将配置文件中对应的部分截图；
  4.设置关闭 ftp-data 端口不使用主动模式，使用 ipv4 进行监听，将配置文件中
  对应的部分截图；

1. 将 Telnet 服务的端口号修改为 2323 ,查看 Telnet 服务端口信息，将回显结
   果截图；
   6.限制 Telnet 用户连接，单个 IP 允许的最大连接数为 1，总的最大连接数为 10，
   将配置文件中对应的部分截图；
   7.允许 root 用户通过 SSH 远程登录，将配置文件中对应的部分截图；
   8.配置 SSH 服务，设置 RSA 证书登录，将配置文件中对应的部分截图；
   9.修改网站的 httpd 服务为 root 权限，将配置文件中对应的部分截图；
   10.设置 HTTP 服务，修改网站的配置文件，配置滚动日志按天记录网站的访问日
   志和错误日志，将配置文件中对应的部分截图。

• 24 -
  （三）B 模块安全事件响应/网络安全数据取证/应用安全（400 分）
  B-1：系统漏洞利用与提权
  任务环境说明：
   服务器场景：PYsystem001
   服务器场景操作系统：Ubuntu（显示链接）
   服务器用户名:未知 密码：未知

1. 使用 nmap 扫描靶机系统，将靶机开放的端口号按从小到大的顺序作为 FLAG（形
   式：[端口 1,端口 2…,端口 n]）提交；
2. 通过上述端口访问靶机系统，使用弱口令进行登录，将正确的用户名和密码作为
   FLAG（形式：[用户名,密码]）提交；
3. 利用 Kali 渗透机生成反弹木马，将生成木马命令执行后提示的第四行的首个单
   词作为 FLAG（形式：[单词]）提交；
4. 对上述木马文件进行修改后上传到靶机系统中，使用 MSF 开启监听，将获得的当
   前权限的用户名作为 FLAG（形式：[用户名]）提交；
5. 查看系统内核版本信息，将系统内核版本号作为 FLAG（形式：[版本号]）提交；
6. 在 Kali 攻击机中查找可使用的漏洞源码，将找到的漏洞源码文件名作为 FLAG（形
   式：[文件名]）提交；
7. 利用上述漏洞源码后获得到的靶机/root 下的唯一.txt 文件的文件名作为 FLAG
   （形式：[文件名]）提交；
8. 利用上述漏洞源码后将获得到的靶机/root 下的唯一.txt 文件的文件内容作为
   FLAG（形式：[文件内容]）提交。
   B-2：Linux 操作系统渗透测试
   任务环境说明：
    服务器场景：Server06
    服务器场景操作系统：Linux（版本不详） （关闭连接）
9. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景
   /var/www 目录中唯一一个后缀为.bmp 文件的文件名称作为 Flag 值提交；

• 25 -

1. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景
   /var/www 目录中唯一一个后缀为.bmp 的图片文件中的英文单词作为 Flag 值提
   交；
2. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景
   /var/vsftpd 目录中唯一一个后缀为.docx 文件的文件名称作为 Flag 值提交；
3. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景
   /var/vsftpd 目录中唯一一个后缀为.docx 文件的文件内容作为 Flag 值提交；
4. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景
   /home/guest 目录中唯一一个后缀为.pdf 文件的文件名称作为 Flag 值提交；
5. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景
   /home/guest 目录中唯一一个后缀为.pdf 文件的文件内容作为 Flag 值提交；
6. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景/root
   目录中唯一一个后缀为.txt 文件的文件名称作为 Flag 值提交；
7. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景/root
   目录中唯一一个后缀为.txt 文件的文件内容作为 Flag 值提交。
   B-3：应用服务漏洞扫描与利用
   任务环境说明：
    服务器场景：Server15
    服务器场景操作系统：未知（关闭链接）
8. 使用命令 nmap 探测目标靶机的服务版本信息，将需要使用的参数作为 FLAG 进行
   提交；
9. 通过上述端口访问靶机系统并探测隐藏的页面，将找到的敏感文件、目录名作为
   FLAG（形式：[敏感文件或目录 1,敏感文件或目录 2…,敏感文件或目录 n]）提交；
10. 通过上述敏感文件或目录下载可利用的私钥和认证关键字文件，将私钥文件名和
    认证关键字文件名作为 FLAG（形式：[私钥文件名,认证关键字文件名]）进行提
    交；
11. 查找认证关键字文件中用于登录靶机服务器的用户名，将用户名作为 FLAG 提交；
12. 使用该用户名及私钥登录靶机服务器，将服务器返回信息的第一行结尾的最后一
    个英文单词作为 FLAG 提交；

• 26 -

1. 将私钥文件进行格式转换后进行解密，将成功解密出的密码作为 FLAG 提交；
2. 利用靶机服务器上的溢出程序进行提权，将接收用户输入的缓冲区的大小作为
   FLAG 提交；
3. 成功提权后将获得到的靶机/root 下的唯一.txt 文件的文件名作为 FLAG（形式：
   [文件名]）提交；
4. 利用上述漏洞源码后将获得到的靶机/root 下的唯一.txt 文件的文件内容作为
   FLAG（形式：[文件内容]）提交。
   B-4：SQL 注入测试（PL）
   任务环境说明：
    服务器场景：Server12
    服务器场景操作系统：未知（关闭链接）
5. 已知靶机存在网站系统，使用 Nmap 工具扫描靶机端口，并将网站服务的端口号
   作为 Flag（形式：Flag 字符串）值提交。
6. 访问网站/admin/pinglun.asp 页面，此页面存在 SQL 注入漏洞，使用排序语句进
   行列数猜测，将语句作为 Flag（形式：URL 无空格）值提交。
7. 页面没有返回任何有用信息，尝试使用联合查询进行 SQL 注入，构建基本查询语
   句进行 SQL 注入，将语句作为 Flag（形式：语句无空格）值提交。
8. 使用联合查询进行列数猜测，构建常规的联合查询列数猜测语句，将出现在文本
   框里 4 个字段的序号作为 Flag 值（形式：F1.F2.F3.F4）提交。
9. 构建注入语句，查询数据库中管理员的敏感信息，将获取到密码信息作为 Flag
   值（形式：Flag 字符串）提交。
   B-5：应急响应
   任务环境说明：
    服务器场景：Server10
    服务器场景操作系统：未知（开放链接）
10. 黑客通过网络攻入本地服务器，在 Web 服务器的主页上外挂了一个木马连接，请
    你找到此连接并删除该连接，将对应的标题名称作为 flag 值提交；

• 27 -

1. 黑客攻入本地的数据库服务器，并添加了除 admin 以外的具有一个管理员权限的
   超级用户，将此用户的密码作为 flag 值提交；
2. 黑客攻入本地服务器，在本地服务器建立了多个超级用户，请你删除除了
   Administrator 用户以外的其他超级管理员用户，然后在命令行窗口输入 net
   user，将 Administrator 右边第一个单词作为 flag 值提交；
3. 黑客修改了服务器的启动内容，请你删除不必要的启动项程序，将该启动项程序
   的名称作为 flag 值提交；（如有多个名称之间以英文逗号分隔，例 hello,test）
4. 黑客在服务器某处存放了一个木马程序，请你找到此木马程序并清除木马，将木
   马文件名作为 flag 值提交。
   B-6：流量分析
   任务环境说明：
    服务器场景：Server09
    服务器场景操作系统：未知（关闭连接）
    系统用户名：administrator 密码：123456
5. 使用 Wireshark 查看并分析靶机桌面下的 capture.pcapng 数据包文件，找到黑
   客的 IP 地址，并将黑客的 IP 地址作为 Flag 值（如：172.16.1.1）提交；
6. 继续分析 capture.pcapng 数据包文件，找出黑客通过工具对目标服务器的哪些
   服务进行了密码暴力枚举渗透测试，将服务对应的端口依照从小到大的顺序依次
   排列作为 Flag 值（如：77/88/99/166/1888）提交；
7. 继续分析 capture.pcapng 数据包文件，找出黑客已经获取到目标服务器的基本
   信息，请将黑客获取到的目标服务器主机名作为 Flag 值提交；
8. 继续分析 capture.pcapng 数据包文件，找出黑客成功破解了哪个服务的密码，
   并将该服务的版本号作为 Flag 值(如：5.1.10)提交；
9. 继续分析 capture.pcapng 数据包文件，黑客通过数据库写入了木马,将写入的木
   马名称作为 Flag 值提交（名称不包含后缀）；
10. 继续分析 capture.pcapng 数据包文件，黑客通过数据库写入了木马,将黑客写入
    的一句话木马的连接密码作为 Flag 值提交；
11. 继续分析 capture.pcapng 数据包文件，找出黑客连接一句话木马后查看了什么
    文件，将黑客查看的文件名称作为 Flag 值提交；

• 28 -

1. 继续分析 capture.pcapng 数据包文件，黑客可能找到异常用户后再次对目标服
   务器的某个服务进行了密码暴力枚举渗透，成功破解出服务的密码后登录到服务
   器中下载了一张图片，将图片文件中的英文单词作为 Flag 值提交。
   B-7：渗透测试
   任务环境说明：
    服务器场景：Server09
    服务器场景操作系统：未知（关闭连接）
    系统用户名：administrator 密码：123456
2. 通过本地 PC 中渗透测试平台 Kali 对靶机场景进行系统服务及版本扫描渗透测
   试，以 xml 格式向指定文件输出信息（使用工具 Nmap），将以 xml 格式向指定文
   件输出信息必须要使用的参数作为 Flag 值提交；
3. 在本地 PC 的渗透测试平台 Kali 中，使用命令初始化 MSF 数据库并将此命令作为
   Flag 值提交；
4. 在本地 PC 的渗透测试平台 Kali 中，打开 MSF，使用 db_import 将扫描结果导入
   到数据库中，并查看导入的数据，将查看该数据要使用的命令作为 Flag 值提交；
5. 在 MSF 工具中用 search 命令搜索 MS17010 漏洞利用模块，将回显结果中的漏洞
   公开时间作为 Flag 值提交；（如：2017-10-16）
6. 在 MSF 工具中调用 MS17010 漏洞攻击模块，并检测靶机是否存在漏洞，将回显结
   果中最后一个单词作为 Flag 值提交。
   B-8：Web 渗透测试
   任务环境说明：
    服务器场景：Server03
    服务器场景操作系统：未知（关闭连接）
7. 通过本地 PC 中的渗透测试平台 Kali 对靶机进行 WEB 渗透，找到页面内的文件上
   传漏洞并且尝试进行上传攻击，将文件上传成功后的页面回显字符串作为 Flag
   提交（如：点击超链接查看上传文件）

• 29 -

1. 通过本地 PC 中的渗透测试平台 Kali 对靶机进行 WEB 渗透，找到页面内的文件上
   传漏洞并且尝试进行上传攻击，使用相关的渗透测试手段，获取到 WEB 权限，使
   用 WHOAMI 获取 WEB 当前的用户权限，并作为 Flag 进行提交；
2. 通过本地 PC 中的渗透测试平台 Kali 对靶机进行 WEB 渗透，找到页面内的文件上
   传漏洞并且尝试进行上传攻击，使用相关的渗透测试手段，获取到 WEB 权限，使
   用相关指令获取到当前linux用户UID为5的用户，将该用户的用户名称作为Flag
   进行提交；
3. 通过本地 PC 中的渗透测试平台 Kali 对靶机进行 WEB 渗透，找到页面内的文件上
   传漏洞并且尝试进行上传攻击，使用相关的渗透测试手段，获取到 WEB 权限，使
   用相关指令查看后台首页文件，将该文件的第二行的所有字符串作为 Flag 进行
   提交；
   B-9：Windows 操作系统渗透测试
   任务环境说明：
    服务器场景：Server05
    服务器场景操作系统：Windows（版本不详）（封闭靶机）
4. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行系统服务及版本扫描渗透测
   试，并将该操作显示结果中 445 端口对应的服务版本信息字符串作为 Flag 值提
   交；
5. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景网络连
   接信息中的 DNS 信息作为 Flag 值 (例如：114.114.114.114) 提交；
6. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景中的当
   前最高账户管理员的密码作为 Flag 值提交；
7. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景桌面上
   111 文件夹中唯一一个后缀为.docx 文件的文件名称作为 Flag 值提交；
8. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景桌面上
   111 文件夹中唯一一个后缀为.docx 文件的文档内容作为 Flag 值提交；
9. 通过本地 PC 中渗透测试平台 Kali 对服务器场景进行渗透测试，将该场景桌面上
   222 文件夹中唯一一个图片中的英文单词作为 Flag 值提交；

• 30 -
  B-10：网页渗透-21
  任务环境说明：
   服务器场景：Server21
   服务器场景操作系统：未知（封闭靶机）
   用户名:未知 密码：未知

1. 访问服务器网站目录 1，根据页面信息完成条件，将获取到的 flag 提交；
2. 访问服务器网站目录 2，根据页面信息完成条件，将获取到的 flag 提交；
3. 访问服务器网站目录 3，根据页面信息完成条件，将获取到的 flag 提交；
4. 访问服务器网站目录 4，根据页面信息完成条件，将获取到的 flag 提交；
5. 访问服务器网站目录 5，根据页面信息完成条件，将获取到的 flag 提交；
6. 访问服务器网站目录 6，根据页面信息完成条件，将获取到的 flag 提交；
   （三）模块 C CTF 夺旗-攻击
   （本模块 200 分）
   一、项目和任务描述：
   假定你是某企业的网络安全渗透测试工程师，负责企业某些服务器的安全防护，
   为了更好的寻找企业网络中可能存在的各种问题和漏洞。你尝试利用各种攻击手段，
   攻击特定靶机，以便了解最新的攻击手段和技术，了解网络黑客的心态，从而改善您
   的防御策略。
   请根据《赛场参数表》提供的信息，在客户端使用谷歌浏览器登录答题平台。
   二、操作系统环境说明：
   客户机操作系统：Windows 10/Windows7
   靶机服务器操作系统：Linux/Windows
   三、漏洞情况说明：
   1.服务器中的漏洞可能是常规漏洞也可能是系统漏洞；
   2.靶机服务器上的网站可能存在命令注入的漏洞，要求选手找到命令注入的相关
   漏洞，利用此漏洞获取一定权限;
   3.靶机服务器上的网站可能存在文件上传漏洞，要求选手找到文件上传的相关漏
   洞，利用此漏洞获取一定权限;

• 31 -
  4.靶机服务器上的网站可能存在文件包含漏洞，要求选手找到文件包含的相关漏
  洞，与别的漏洞相结合获取一定权限并进行提权;
  5.操作系统提供的服务可能包含了远程代码执行的漏洞，要求用户找到远程代码
  执行的服务，并利用此漏洞获取系统权限;
  6.操作系统提供的服务可能包含了缓冲区溢出漏洞，要求用户找到缓冲区溢出漏
  洞的服务，并利用此漏洞获取系统权限;
  7.操作系统中可能存在一些系统后门，选手可以找到此后门，并利用预留的后门
  直接获取到系统权限。
  四、注意事项：
  1.不能对裁判服务器进行攻击，警告一次后若继续攻击将判令该参赛队离场；
  2.flag 值为每台靶机服务器的唯一性标识，每台靶机服务器仅有 1 个；
  3.选手攻入靶机后不得对靶机进行关闭端口、修改密码、重启或者关闭靶机、删
  除或者修改 flag、建立不必要的文件等操作；
  4.在登录自动评分系统后，提交靶机服务器的 flag 值，同时需要指定靶机服务
  器的 IP 地址；
  5.赛场根据难度不同设有不同基础分值的靶机，对于每个靶机服务器，前三个获
  得 flag 值的参赛队在基础分上进行加分，本阶段每个队伍的总分均计入阶段得分，
  具体加分规则参照赛场评分标准；
  6.本环节不予补时。
  （四）模块 D CTF 夺旗-防御
  （本模块 200 分）
  一、项目和任务描述：
  假定各位选手是某安全企业的网络安全工程师，负责若干服务器的渗透测试与安
  全防护，这些服务器可能存在着各种问题和漏洞。你需要尽快对这些服务器进行渗透
  测试与安全防护。每个参赛队拥有专属的堡垒机服务器，其他队不能访问。参赛选手
  通过扫描、渗透测试等手段检测自己堡垒服务器中存在的安全缺陷，进行针对性加固，
  从而提升系统的安全防御性能。
  请根据《赛场参数表》提供的信息，在客户端使用谷歌浏览器登录答题平台。
  二、操作系统环境说明：
• 32 -
  客户机操作系统：Windows 10/Windows7
  堡垒服务器操作系统：Linux/Windows
  三、漏洞情况说明：
  1.堡垒服务器中的漏洞可能是常规漏洞也可能是系统漏洞；
  2.堡垒服务器上的网站可能存在命令注入的漏洞，要求选手找到命令注入的相关
  漏洞，利用此漏洞获取一定权限;
  3.堡垒服务器上的网站可能存在文件上传漏洞，要求选手找到文件上传的相关漏
  洞，利用此漏洞获取一定权限;
  4.堡垒服务器上的网站可能存在文件包含漏洞，要求选手找到文件包含的相关漏
  洞，与别的漏洞相结合获取一定权限并进行提权;
  5.操作系统提供的服务可能包含了远程代码执行的漏洞，要求用户找到远程代码
  执行的服务，并利用此漏洞获取系统权限;
  6.操作系统提供的服务可能包含了缓冲区溢出漏洞，要求用户找到缓冲区溢出漏
  洞的服务，并利用此漏洞获取系统权限;
  7.操作系统中可能存在一些系统后门，选手可以找到此后门，并利用预留的后门
  直接获取到系统权限。
  四、注意事项：
  1.每位选手需要对加固点和加固过程截图，并自行制作系统防御实施报告，最终
  评分以实施报告为准;
  2.系统加固时需要保证堡垒服务器对外提供服务的可用性；
  3.不能对裁判服务器进行攻击，警告一次后若继续攻击将判令该参赛队离场；
  4.本环节不予补时。
  二、说明：
  1.所有截图要求截图界面、字体清晰；
  2.文件名命名及保存：网络安全模块 D-XX（XX 为工位号），PDF 格式保存；
  3.文件保存到 U 盘提交

2021 年职业院校技能大赛“网络安全”项目 江西省比赛任务书相关推荐

1. 2021年职业院校技能大赛“网络安全”项目-- 江西省比赛任务书全解析

   2021年职业院校技能大赛"网络安全"项目–江西省比赛任务书全解析 白嫖拿去! 靶场在这自取 后台私信免费共享自己写的vulnhub靶场(C模块)详细WP(一切为了学习) 靶场包括 ...

2. 2021年职业院校技能大赛“网络安全”项目江西省A模块

   目录 一.竞赛时间 三.竞赛任务书内容 (一)拓扑图

3. 2023年安徽省职业院校技能大赛“网络空间安全” 比赛任务书

   2023年安徽省职业院校技能大赛"网络空间安全" 比赛任务书 一.竞赛时间 总计:360分钟 二.竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 A模块 A-1 登录安全加 ...

4. 2021 年河南省中等职业教育技能大赛“网络安全”项目比赛任务书解析教程

   2021 年河南省中等职业教育技能大赛 "网络安全"项目比赛任务书 一.竞赛时间 总计:420分钟 二.竞赛阶段 竞赛阶段 任务阶段 竞赛任务

5. 上海市“星光计划”职业院校技能大赛 网络安全竞赛试题任务书

   2023上海市"星光计划"职业院校技能大赛 网络安全竞赛试题任务书 2023上海市"星光计划"职业院校技能大赛 网络安全竞赛试题任务书 A模块基础设施设置/安全 ...

6. 2022-2023年度江苏省职业院校技能大赛“网络安全”赛项中职组圆满成功

   2022-2023年度江苏省职业院校技能大赛"网络安全"赛项中职组圆满成功!

7. 2022年全国职业院校技能大赛网络安全赛卷（中职组）卷8

   2022年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (8) (总分100分) 赛题说明 一.竞赛项目简介 "网络安全"竞赛共分A.基础设施设置与安全加固:B.网络安全事件响 ...

8. 2022年全国职业院校技能大赛网络安全赛卷（中职组）卷6

   2022年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (6) (总分100分) 赛题说明 一.竞赛项目简介 "网络安全"竞赛共分A.基础设施设置与安全加固:B.网络安全事件响 ...

9. 2022年全国职业院校技能大赛网络安全赛卷（中职组）卷3

   2022年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (3) (总分100分) 赛题说明 一.竞赛项目简介 "网络安全"竞赛共分A.基础设施设置与安全加固:B.网络安全事件响 ...

10. 2022年全国职业院校技能大赛网络安全试题模块A（超级详解答案）

    2022年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (1) (总分100分) 赛题说明 一.竞赛项目简介 "网络安全"竞赛共分A.基础设施设置与安全加固:B.网络安全事件响 ...

最新文章

1. Ext JS 6正式版的GPL版本下载地址
2. 智源发布！《人工智能的认知神经基础白皮书》
3. 用python玩转数据作业答案_大学mooc2020用Python玩转数据课后答案
4. [Cocoa]深入浅出 Cocoa 之 Core Data（1）- 框架详解
5. mysql 没有选择数据库_没有选择数据库 – PHP和MySQL
6. macOS NSTableView
7. Python Tricks（十九）—— switch 的实现
8. 计算机应用基础操作题提示,计算机应用基础_操作题文字提示(已经放大了请不要打印).doc...
9. 信息学奥赛一本通 2037：【例5.4】约瑟夫问题 | 1334：【例2-3】围圈报数 | 洛谷 P1996 约瑟夫问题
10. AndroidStudio 编译异常java.lang.OutOfMemoryError: GC overhead limit exceeded
11. 基于socket通信实现Ftp连接
12. 无法打开计算机的组策略,win7系统电脑本地组策略打不开无法运行的解决方法...
13. 使用GIT来管理代码的心得
14. 用DSA或者RSA进行加密或者数字签名
15. stm32_霍尔编码器
16. java 计算农历_java计算农历日期
17. 武汉音乐学院计算机音乐作曲,武汉音乐学院作曲系6部学生作品入围2019年中国大学生计算机设计大赛决赛...
18. 软件测试——逻辑覆盖
19. 这个项目获2022世界物联网博览会三新成果奖！
20. clickhouse分布式表调研

热门文章

1. SNP基因数据质控调研
2. AVR单片机开发11——1602液晶屏幕
3. 基于C#和OpenVINO在英特尔独立显卡上部署PP-TinyPose模型
4. python平方的代码怎么写,Python编程之求数字平方代码实例
5. hdu4699-Editor
6. 《我们终将遇到爱与孤独》
7. java驱动音响设备发音_XP环境下驱动正常、声卡正常但音响没声音怎么解决？
8. C++中mian中的参数
9. chromecast投屏_谷歌Chromecast与安卓Miracast投屏技术
10. 《金狐系统维护盘》五周年纪念版【简洁易用，强大实用】