【答案】2023年国赛信息安全管理与评估正式赛答案-模块3 CTF

全国职业院校技能大赛

高职组

信息安全管理与评估

（赛项）

评分标准

第三阶段

夺旗挑战CTF（网络安全渗透）

竞赛项目

竞赛相关资源资料可在文末关注公众号获得

赛题

本文件为信息安全管理与评估项目竞赛-第三阶段赛题，内容包括：夺旗挑战CTF（网络安全渗透）。

介绍

网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。

本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。

所需的设施设备和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本测试项目模块分数为300分。

项目和任务描述

在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。

本模块所使用到的渗透测试技术包含但不限于如下技术领域：

? 数据库攻击

? 枚举攻击

? 权限提升攻击

? 基于应用系统的攻击

? 基于操作系统的攻击

? 逆向分析

? 密码学分析

? 隐写分析

所有设备和服务器的IP地址请查看现场提供的设备列表。

特别提醒

通过找到正确的flag值来获取得分，flag统一格式如下所示：

flag{<flag值 >}

这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。

注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。

工作任务

一、人力资源管理系统（45分）

任务编号	任务描述	答案	分值
任务一	请对人力资源管理系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{<flag值>}	flag1{4a585509-abfe-4f32-961f-076745205597}	15
任务二	请对人力资源管理系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{<flag值>}	flag2{bfbf52fe-2504-4395-b6ba-523c8d6403c0}	15
任务三	请对人力资源管理系统进行黑盒测试，利用漏洞找到flag3，并将flag3提交。flag3格式flag3{<flag值>}	flag3{488ea2a5-8fb9-472d-be31-f955de615ce4}	15

邮件系统（30分）

任务编号	任务描述	答案	分值
任务四	请对邮件系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{<flag值>}	flag1{19d299cb-3935-46ae-94fb-d8c936881295}	15
任务五	请对邮件系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{<flag值>}	flag2{44cae0f5-c9fe-4f26-8eb1-45f735dd9846}	15

FTP服务器（165分）

任务编号	任务描述	答案	分值
任务六	请获取FTP服务器上task6目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}	flag{5BC925649CB0188F52E617D70929191C}	15
任务七	请获取FTP服务器上task7目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}	flag{eaf021ef-5c75-47f2-80dc-db677020a3db}	15
任务八	请获取FTP服务器上task8目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}	flag{03c174ab-f0f0-6935-5435-836dc2518625}	20
任务九	请获取FTP服务器上task9目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}	flag{7113c8ed-709b-465b-a06a-30051e62bd01}	25
任务十	请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}	flag{6ed4c74e022cb18c8039e96de93aa9ce}	20
任务十一	请获取FTP服务器上task11目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}	flag{8aa3c5cc-96fc-41e3-c2b2ebe53030}	25
任务十二	请获取FTP服务器上task12目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}	flag{6e0ed660-9803-4933-8488-8ac33f8ef097}	20
任务十三	请获取FTP服务器上task13目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}	flag{10a43302-3e2a-0c01-7aec-3a03e1cd9a02}	25

应用系统服务器（30分）

任务编号	任务描述	答案	分值
任务十四	应用系统服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{<flag值>}	flag{d2725e77-3235-479a-8b30-163d40f63da4}	30

运维服务器（30分）

任务编号	任务描述	答案	分值
任务十五	测试系统服务器10001端口存在漏洞，获取FTP服务器上task15目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{<flag值>}	flag{764863c8-0020-47bd-abb1-b631ba9e2e0a}	30

附录A

图1 网络拓扑结构图

竞赛相关资源资料可在文末关注公众号获得