中职网络空间安全2023B模块代码审计

Posted 许允er

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了中职网络空间安全2023B模块代码审计相关的知识,希望对你有一定的参考价值。

需要环境的可以私信我

代码审计

场景PYsystem002

1.在渗透机Kali Linux中访问靶机服务器Web页面,注册账号并登陆,找到存在XSS执行漏洞的页面,将该页面中存在XSS执行漏洞的对象名作为FLAG提交;

FLAG:naem

2.构造Cookie反弹JS脚本,将该JS代码中使用的对象及方法作为FLAG(形式:对象.方法)进行提交;

 通过js的document.write方法将将一个img标签插入到页面中,这个img标签的src属性指向了一个URL。在这个URL中,攻击者可以获取到用户的cookie信息

 FLAG document.write

 

3.在渗透机Kali Linux中重启Web服务,将重启使用的命令作为FLAG进行提交;

 

FLAG server apache2 restart

4.在靶机服务器中利用原有的XSS漏洞调用上述JS脚本,在渗透机Kali Linux中开启3333端口监听,将开启端口监听使用的命令作为FLAG提交

 

FLAG:nc

5.在渗透机Kali Linux中开启3333端口监听,将开启端口监听后接收回应的第一行的第一个单词作为FLAG提交;

 

FLAG;GET

 

6.在渗透机Kali Linux中开启3333端口监听,将开启端口监听后接收回应的第五行的最后一个单词作为FLAG提交

 

FLAG deflate

这里因为使用的kali版本不一样,所以这里答案的位置不一样,比赛的话是一样的位置。

然后这里简单的过了一下流程,有不懂的可以问我

2022 年度“ 楚怡杯” 中职网络空间安全湖南省职业院校技能竞赛

2022 年度“ 楚怡杯” 湖南省职业院校技能竞赛
赛项规程
一、 赛项名称
1.赛项名称: 网络安全
2.赛项组别: 中职组
3.赛项归属: 电子与信息大类
二、 竞赛内容
1.竞赛任务
本赛项由四个模块组成, 每个模块根据赛题设有多个子任务。
模块 A: 基础设施设置与安全加固;
模块 B: 网络安全事件响应、 数字取证调查和应用安全;
模块 C: CTF 夺旗-攻击;
模块 D: CTF 夺旗-防御。
2.技术要求
主要考核参赛选手网络系统安全策略部署、 信息保护、 网络安全运维管理、
网络安全事件应急响应、 网络安全数据取证、 应用安全、 代码审计等综合实践能
力, 具体考核的能力点如下:
1. 操作、 维护、 监督和管理
• 查询语言, 如 SQL (结构化查询语言) 。
• 数据备份和恢复, 数据标准化策略。
• 网络协议, 如 TCP/IP、 动态主机配置(DHCP)、 域名系统 (DNS) 和目录服务。
• 防火墙概念和功能。
• 网络安全体系结构的概念, 包括拓扑、 协议、 组件和原则。
• 系统、 网络和操作系统加固技术。
• 管理信息技术、 用户安全策略 (例如: 帐户创建、 密码规则、 访问控制)。
• 信息技术安全原则和方法。
• 身份验证、 授权和访问控制方法。
• 网络安全、 漏洞和隐私原则。
• 学习管理系统及其在管理学习中的应用。
• 网络安全法与其他相关法规对其网络规划的影响。
2.保护和防御
• 文件系统实施 (例如, 新技术文件系统 [NTFS]、 文件分配表 [FAT]、 文件扩展名 [EXT])。
• 系统文件 (例如:

以上是关于中职网络空间安全2023B模块代码审计的主要内容,如果未能解决你的问题,请参考以下文章

2022 年度“ 楚怡杯” 中职网络空间安全湖南省职业院校技能竞赛

网络空间安全中职重庆市比赛赛题解析分析四个阶段解析答案(共五套题)第二套题目

2021年中职网络空间安全最新国赛赛题解析仅代表自己的建议

2021年中职网络空间安全最新国赛赛题解析仅代表自己的建议——zz-网络安全试题解析

网络空间安全中职重庆市比赛赛题解析分析四个阶段解析答案(共五套题)第三套题目

2021年中职网络空间安全最新国赛赛题解析仅代表自己的建议——zz-网络安全试题解析