中职网络空间安全2023B模块代码审计

Posted 2023-04-01 许允er

需要环境的可以私信我

代码审计

场景PYsystem002

1.在渗透机Kali Linux中访问靶机服务器Web页面，注册账号并登陆，找到存在XSS执行漏洞的页面，将该页面中存在XSS执行漏洞的对象名作为FLAG提交；

FLAG：naem

2.构造Cookie反弹JS脚本，将该JS代码中使用的对象及方法作为FLAG（形式：对象.方法）进行提交；

 通过js的document.write方法将将一个img标签插入到页面中，这个img标签的src属性指向了一个URL。在这个URL中，攻击者可以获取到用户的cookie信息

 FLAG document.write

 

3.在渗透机Kali Linux中重启Web服务，将重启使用的命令作为FLAG进行提交；

 

FLAG server apache2 restart

4.在靶机服务器中利用原有的XSS漏洞调用上述JS脚本，在渗透机Kali Linux中开启3333端口监听，将开启端口监听使用的命令作为FLAG提交

 

FLAG：nc

5.在渗透机Kali Linux中开启3333端口监听，将开启端口监听后接收回应的第一行的第一个单词作为FLAG提交；

 

FLAG；GET

 

6.在渗透机Kali Linux中开启3333端口监听，将开启端口监听后接收回应的第五行的最后一个单词作为FLAG提交

 

FLAG deflate

这里因为使用的kali版本不一样，所以这里答案的位置不一样，比赛的话是一样的位置。

然后这里简单的过了一下流程，有不懂的可以问我

2022 年度“ 楚怡杯” 中职网络空间安全湖南省职业院校技能竞赛

2022 年度“ 楚怡杯” 湖南省职业院校技能竞赛
赛项规程
一、 赛项名称
1.赛项名称： 网络安全
2.赛项组别： 中职组
3.赛项归属： 电子与信息大类
二、 竞赛内容
1.竞赛任务
本赛项由四个模块组成， 每个模块根据赛题设有多个子任务。
模块 A: 基础设施设置与安全加固；
模块 B: 网络安全事件响应、 数字取证调查和应用安全；
模块 C: CTF 夺旗-攻击；
模块 D: CTF 夺旗-防御。
2.技术要求
主要考核参赛选手网络系统安全策略部署、 信息保护、 网络安全运维管理、
网络安全事件应急响应、 网络安全数据取证、 应用安全、 代码审计等综合实践能
力， 具体考核的能力点如下：
1． 操作、 维护、 监督和管理
• 查询语言， 如 SQL (结构化查询语言) 。
• 数据备份和恢复， 数据标准化策略。
• 网络协议， 如 TCP/IP、 动态主机配置(DHCP)、 域名系统 (DNS) 和目录服务。
• 防火墙概念和功能。
• 网络安全体系结构的概念， 包括拓扑、 协议、 组件和原则。
• 系统、 网络和操作系统加固技术。
• 管理信息技术、 用户安全策略 (例如： 帐户创建、 密码规则、 访问控制)。
• 信息技术安全原则和方法。
• 身份验证、 授权和访问控制方法。
• 网络安全、 漏洞和隐私原则。
• 学习管理系统及其在管理学习中的应用。
• 网络安全法与其他相关法规对其网络规划的影响。
2.保护和防御
• 文件系统实施 (例如, 新技术文件系统 [NTFS]、 文件分配表 [FAT]、 文件扩展名 [EXT])。
• 系统文件 (例如：