2022年全国职业院校技能大赛(中职组)网络安全竞赛试题——MYSQL安全测试解析(详细)

Posted 旺仔Sec

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2022年全国职业院校技能大赛(中职组)网络安全竞赛试题——MYSQL安全测试解析(详细)相关的知识,希望对你有一定的参考价值。

B-3任务三:MYSQL安全测试

*任务说明:仅能获取Server3的IP地址

1.利用渗透机场景kali中的工具确定mysql的端口,将MySQL端口作为Flag值提交;

2.管理者曾在web界面登陆数据库,并执行了select \'<?php echo \\\'<pre>\\\';system($_GET[\\\'cmd\\\']); echo \\\'</pre>\\\'; ?>\' INTO OUTFILE \'C:/phpstudy/test1.php\'语句,结合本执行语句使用dos命令查看服务器的详细配置信息,并将服务器的系统型号作为Flag值提交;

3.利用渗透机场景kali中的msf工具使用root目录下password.txt字典文件破解MySQL的密码,并将破解MySQL的密码所需的模块当作Flag值 (账户为root) 提交;

4.利用渗透机场景kali中的msf工具使用root目录下password.txt字典文件破解MySQL的密码,并将MySQL的密码当作Flag值 (账户为root) 提交;

5.利用上题中的数据库账户密码在登陆数据库,通过select \'<?php @eval($_POST[admin]);?>\'************ \'C:

2022年全国职业院校技能大赛(中职组)网络安全竞赛试题A模块

目录

二、竞赛注意事项

(本模块20分)

一、项目和任务描述:

二、服务器环境说明

三、具体任务(每个任务得分以电子答题卡为准)

A-1任务一 登录安全加固(Windows)

1.密码策略

a.更改或创建密码时执行复杂性要求;

b.密码必须符合复杂性要求;

c.密码最短使用期限为10天。

2.用户安全管理

a.禁用来宾账户,禁止来宾用户访问计算机或访问域的内置账户;

b.查找并删除服务器中可能存在的后门用户;

c.普通用户进行最小权限管理,对关闭系统仅限管理员账号;

d.禁止从远端系统强制关机,将该权限只指派给administrators组。

A-2任务二 本地安全策略(Windows)

3.要求登录时不显示用户名;

4.在密码过期的前5天开始提示用户在过期之前更改密码;

5.要求任何用户在登录到Windows前都必须按CTRL+ALT+DEL;

6.禁止SAM 帐户和共享的匿名枚举;

7.禁用来宾帐户。

A-3任务三 服务安全配置(Windows)

8.禁用TCP/IP上的NetBIOS协议,关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口;

9.在本地策略里配置禁用未登陆前关机;

10.设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟;

11.对于远程登录的帐户,设置不活动超过时间5分钟自动断开连接。

A-4任务四 日志安全审计(Windows)

12.启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作;

13.启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核;

14.启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。

A-5任务五 中间件安全加固SSHD\\VSFTPD\\IIS(Windows, Linux)

15.SSHD服务加固

a.修改SSH连接界面静置时间;

b.修改登录记录的等级为INFO;

c.禁止登陆后显示信息。

16.VSFTPD服务加固

a.同一客户机IP地址允许最大客户端连接数10;

b.最大客户端连接数为100;

c.设置数据连接的超时时间为2分钟;

d.设置本地用户创建文件的权限为022。

17.IIS服务加固

a.关闭FTP匿名访问;

b为了解决IIS短文件名漏洞,设置URL序列为~;

c.设置网站最大并发连接数为10。

A-6任务六 防火墙策略(Windows)

18.禁止任何机器ping本机;

19.禁止本机ping任何机器;

20.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;

21.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。


赛题说明

一、竞赛项目简介

“网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。

二、竞赛注意事项

1.比赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

2.请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。

3.在进行任何操作之前,请阅读每个部分的所有任务。各任务之间可能存在一定关联。

4.操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后提交的成果为最终依据。

5.比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷等)带离赛场。

6.禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为0分。

竞赛内容

模块A 基础设施设置与安全加固

(本模块20分)

一、项目和任务描述:

假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用用户安全管理和密码策略、本地安全策略、服务安全配置、日志安全审计、中间件安全配置、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。本模块要求根据竞赛现场提供的A模块答题模板对具体任务的操作进行截图并加以相应的文字说明,以word文档的形式书写,以PDF格式保存,以“赛位号+模块A”作为文件名,PDF格式文档为此模块评分唯一依据。

二、服务器环境说明

Windows  用户名:administrator,密码:123456

Linux    用户名:root,密码:123456

三、具体任务(每个任务得分以电子答题卡为准)

A-1任务一 登录安全加固(Windows)

1.密码策略

a.更改或创建密码时执行复杂性要求;

b.密码必须符合复杂性要求;

c.密码最短使用期限为10天。

2.用户安全管理

a.禁用来宾账户,禁止来宾用户访问计算机或访问域的内置账户;

b.查找并删除服务器中可能存在的后门用户;

针对普通用户

net user hacker /del

对于隐藏用户 在注册表里删除

c.普通用户进行最小权限管理,对关闭系统仅限管理员账号;

d.禁止从远端系统强制关机,将该权限只指派给administrators组。

A-2任务二 本地安全策略(Windows)

3.要求登录时不显示用户名;

4.在密码过期的前5天开始提示用户在过期之前更改密码;

5.要求任何用户在登录到Windows前都必须按CTRL+ALT+DEL;

6.禁止SAM 帐户和共享的匿名枚举;

7.禁用来宾帐户。

A-3任务三 服务安全配置(Windows)

8.禁用TCP/IP上的NetBIOS协议,关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口;

9.在本地策略里配置禁用未登陆前关机;

10.设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟;

11.对于远程登录的帐户,设置不活动超过时间5分钟自动断开连接。

A-4任务四 日志安全审计(Windows)

12.启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作;

13.启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核;

14.启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。

A-5任务五 中间件安全加固SSHD\\VSFTPD\\IIS(Windows, Linux)

15.SSHD服务加固

a.修改SSH连接界面静置时间;:ClientAliveInterval选项定义了每隔多少秒给SSH客户端发送一次信号;ClientAliveCountMax选项定义了超过多少秒后断开与ssh客户端连接

b.修改登录记录的等级为INFO;

c.禁止登陆后显示信息。

16.VSFTPD服务加固

a.同一客户机IP地址允许最大客户端连接数10;

在末尾添加

max_per_ip=10

b.最大客户端连接数为100;

max_client=100

c.设置数据连接的超时时间为2分钟;

 

d.设置本地用户创建文件的权限为022。

17.IIS服务加固

a.关闭FTP匿名访问;

b为了解决IIS短文件名漏洞,设置URL序列为~;

c.设置网站最大并发连接数为10。

A-6任务六 防火墙策略(Windows)

18.禁止任何机器ping本机;

 

 

 

 

第二种

 禁用这个

19.禁止本机ping任何机器;

 

 

 

 

20.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;

 

 

 

 

21.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Network\\4D36E972-E325-11CE-BFC1-08002BE10318

在ctrl+f 搜索网卡名称

以上是关于2022年全国职业院校技能大赛(中职组)网络安全竞赛试题——MYSQL安全测试解析(详细)的主要内容,如果未能解决你的问题,请参考以下文章

2022年全国职业院校技能大赛(中职组)网络安全竞赛试题A模块

2022年全国职业院校技能大赛(中职组)网络安全竞赛试题A

2022年全国职业院校技能大赛(中职组)网络安全赛项A模块解析

2022年 全国职业院校技能大赛(中职组)网络安全赛项 正式赛卷 A模块 做题记录

2021年全国职业院校技能大赛(中职组)网络安全竞赛第四套试题A模块解析(超级详细)

2021 年全国职业院校技能大赛(中职组) 网络安全竞赛 A 模块评分标准