C26网络安全（世赛）试题-模块C.pdf

试题

网络安全

模块C–CTF夺旗挑战赛

ModuleC_PreVersion:1.1/9

目录

1竞赛项目简介3

1.1介绍3

1.2环境和目标3

1.2.1CTF架构3

1.2.2挑战3

2评分方案4

3工作流程4

4分值分布表5

附录A6

附录B7

ModuleC_PreVersion:1.2/9

1竞赛项目简介

本竞赛项目建议书由以下文件组成：

第一届全国技能大赛网络安全项目竞赛试题-模块C。

本次比赛时间为4个小时。

1.1介绍

夺旗挑战赛（CTF）的目标是在一个有吸引力的环境中展示网络安全，并使

安全专业人员能够在模拟的网络安全攻击场景中磨练自己的技能。

本模块参赛选手作为攻击方，综合运用所掌握的网络安全攻击技能和最新的

攻击技术的发展趋势，开展网络渗透测试。在比赛期间，参赛队伍可以利用一系

列网络安全攻击渗透工具综合分析、挖掘、渗透所提供的网络安全攻击靶场环境。

靶场环境中预设了若干Flag，每个Flag有固定的分值，选手要尽可能多的获取

Flag值。CTF平台实时提供了一个积分展示平台，展现团队的成功率和积分。

1.2环境和目标

1.2.1CTF架构

该项目提供了成功完成比赛所需的所有工具，包含KaliLinux版本系统虚

拟机以及其他分析、攻击工具，所有工具已经在工具列表中列出。

比赛环境不会有互联网接入。所有的参赛队伍都只能使用所提供的工具。您

可以参考工具的man命令了解它们的语法等。

KaliLinux系统可以访问网络安全攻击靶场环境。每个团队都有自己独立

的网络安全攻击靶场环境，因此不会有任何访问其他团队环境的权限。

1.2.2挑战

A集团的网络拓扑结构分为外网区、DMZ区和内网区，DMZ区有对外网提供

服务的服务器，内网区具有内网用户的客户机及几台只对内网用户提供服务的服

务器。请根据要求通过对DMZ区、内网区的服务器及服务器所提供的服务或者内

网客户机进行信息收集、分析、渗透获取flag值。网络攻击环境参考样例请查

看附录A。

挑战基于但不限于渗透测试的以下技术领域：

ModuleC_PreVersion:1.3/9

•加解密

•隐写术

•密码学

•逆向分析

•WEB安全

•二进制安全

本挑战赛涉及的攻击渗透考点为：SQL注入暴力破解、文件上传、WebShell、

模板注入漏洞、加密解密、信息隐藏、远程文件调、溢出、逆向等。

所有设备和服务器的IP地址请查看现场提供的设备列表。

2评分方案

根据技术说明中的标准规范，该模块的所有分数最高为30分。按上述技术

领域定义分为6个子项，每个子项具有相同的权重。

3工作流程

您扮演的角色是安全渗透测试工程师，负责理解和渗透网络安全攻击靶场环

境，找到靶场环境中存在的安全漏洞。

分数是通过找到flag值来获取，具体样例请查看附录B，它的格式如下所

示：

flag{flag值}

这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利

用工具把它找出来。

您需要登录计分系统。每个团队都有一个登录名，团队的两名成员可以共用

同一账号登录。

一旦您登录了这个比赛系统，您可以提交找到的flag值。

填写flag值到文本框中，可以及时验证答案并得分。

重要:请不要对评分系统发起DDos攻击或者其他任何攻