2021年中职“网络安全“江西省赛题—B-2:Linux操作系统渗透测试

Posted 2023-04-04 acaciaf

2021年中职"网络安全"江西省赛题—B-2:Linux操作系统渗透测试

• 学习交流
• B-2:Linux操作系统渗透测试

学习交流

学习交流，或者遇到不会的可以+qq:3455475542

B-2:Linux操作系统渗透测试

任务环境说明：
 服务器场景：Server06
 服务器场景操作系统：Linux(版本不详)(关闭连接)

nmap -p- -sV ip 扫描靶机端口

使用命令msfconsole打开Metasploit渗透测试平台，使用search命令搜索模块mysql暴力破解模块并进行利用


模块执行结果

连接数据库并写入一句话木马

使用中国菜刀后门连接工具连接木马，并遍历文件。

1. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试，将该场景/var/www目录中唯一一个后缀为.bmp文件的文件名称作为Flag值提交；
   
   flag[wuslwczr]
2. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试，将该场景/var/www目录中唯一一个后缀为.bmp的图片文件中的英文单词作为Flag值提交；
   
   flag[gutldhan]
3. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试，将该场景/var/vsftpd目录中唯一一个后缀为.docx文件的文件名称作为Flag值提交；
4. 遍历/etc/passwd
   
   对用户进行ftp枚举
   
   
   登录ftp遍历
   
5. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试，将该场景/var/vsftpd目录中唯一一个后缀为.docx文件的文件内容作为Flag值提交；
   使用以下命令下载docx文件至本地：
   
6. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试，将该场景/home/guest目录中唯一一个后缀为.pdf文件的文件名称作为Flag值提交；
   尝试遍历/home/guest
   
   发现该目录中的文件无法读取

登录ftp遍历

7. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试，将该场景/home/guest目录中唯一一个后缀为.pdf文件的文件内容作为Flag值提交；
使用以下命令下载pdf文件至本地：

复制到桌面，查看文件

8. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试，将该场景/root目录中唯一一个后缀为.txt文件的文件名称作为Flag值提交；
   
   发现可疑端口，尝试使用nc工具进行连接
   
   
   flag:[radentas.txt]
9. 通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试，将该场景/root目录中唯一一个后缀为.txt文件的文件内容作为Flag值提交。
   
   Flag:[twcdafrq]

2021年中职网络空间安全最新国赛赛题解析仅代表自己的建议——zz-网络安全试题解析

2021年全国职业院校技能大赛（中职组）
网络安全竞赛试题
（7）
（总分100分）

赛题说明
一、竞赛项目简介
“网络安全”竞赛共分A. 基础设施设置与安全加固；B. 网络安全事件响应、数字取证调查和应用安全；C. CTF夺旗-攻击；D. CTF夺旗-防御等四个模块。根据比赛实际情况，竞赛赛场实际使用赛题参数、表述及环境可能有适当修改，具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。
表1 竞赛时间安排与分值权重
模块编号 模块名称 竞赛时间
（小时） 权值
A 基础设施设置与安全加固 3 20%
B 网络安全事件响应、数字取证调查和应用安全 40%
C CTF夺旗-攻击 3 20%
D CTF夺旗-防御 20%
总计 6 100%

二、竞赛注意事项
1.比赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2.请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。
3.在进行任何操作之前，请阅读每个部分的所有任务。各任务之间可能存在一定关联。
4.操作过程中需要及时按照答题要求保存相关结果。比赛结束后，所有设备保持运行状态，评判以最后提交的成果为最终依据。
5.比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷等）带离赛场。
6.禁止在提交资料上填写与竞赛无关的标记，如违反规定，可视为0分。

竞赛内容
模块A 基础设施设置与安全加固
（本模块20分）
一、项目和任务描述：