2019全国职业院校“网络空间安全”MS17-010安全自制题
2019年全国职业院校技能大赛“网络空间安全”
MS17-010安全自制题
一、竞赛阶段
竞赛阶段 |
任务阶段 |
竞赛任务 |
竞赛时间 |
分值 |
第一阶段 单兵模式系统渗透测试 |
任务1 |
Wireshark数据包分析(送分) |
100分钟 |
100 |
任务2 |
文件上传渗透测试 (中等) |
100 |
||
任务3 |
Linux操作系统渗透测试 (送分) |
100 |
||
任务4 |
Windows 7操作系统渗透测试 (中等) |
100 |
||
任务5 |
Windows 2008操作系统渗透测试 (中等) |
100 |
||
任务6 |
100 |
|||
任务7 |
100 |
|||
备战阶段 |
攻防对抗准备工作 |
20分钟 |
0 |
|
第二阶段 分组对抗 |
系统加固:15分钟 |
60分钟 |
300 |
|
渗透测试:45分钟 |
- 环境
PC机环境:
物理机:Windows7;
虚拟机1:centos6.8 Linux 32bit(用户名:root;密码:123456),安装工具集:Backtrack5,安装开发环境:Python3;
虚拟机2:Windows 7(用户名:administrator;密码:想要密码?);
虚拟机3:Windows 2008r2(用户名:administrator;密码:想要密码?);
三、竞赛任务书
(一)第一阶段任务书(700分)
任务1. Wireshark数据包分析(100分)
- 使用Wireshark查看并分析虚拟机win7桌面下的upload.pcap数据包文件,找出黑客的地址并提交flag
- 继续分析数据包upload.pcap,找出黑客使用获取到的账号密码
- 继续分析数据包upload.pcap,找出黑客登录进去后访问了几个上传页面并将上传页面
关卡相加作为flag提交
4、继续分析数据包upload.pcap,找到黑客在该目录提交的木马名字
5、继续分析数据包upload.pcap,找出黑客提交目标靶机版本信息(包括apache openssl php)
6、继续分析数据包upload.pcap,找到黑客上传第二个木马文件的数据包找到该数据包的第一行下的第五小行中的数字例如
[*.********************************]
- 继续分析数据包upload.pcap,黑客利用了一个越权漏洞,他最后花了多少钱购买东西将数值提交为flag
任务2. 文件上传渗透测试(100分)
- 通过本地PC中渗透测试平台Kali2.0对服务器场景2008r2进行网站目录暴力枚举测试(使用工具DirBuster,扫描服务器80端口),选择使用字典(使用默认字典directory-list-2.3-medium.txt)方式破解,并设置模糊测试的变量为“{dir}”,将回显信息中从上往下数第六行的数字作为Flag值提交;
- 通过本地PC中渗透测试平台Kali2.0对服务器场景2008r2进行网站目录暴力枚举测试(使用工具DirBuster,扫描服务器80端口),通过分析扫描结果,找到登录点并使用火狐浏览器访问包含登录的页面,并将访问成功后的弹窗中的域名作为Flag值提交;
- 通过本地PC中渗透测试平台Kali2.0对服务器场景2008r2进行网站目录暴力枚举测试(使用工具DirBuster,扫描服务器80端口),通过分析扫描结果,找到登录点并使用火狐浏览器访问包含登录的页面,通过提示登录该页面并把用户名作为flag提交
- 通过本地PC中渗透测试平台Kali2.0对服务器场景2008r2进行网站目录暴力枚举测试(使用工具DirBuster,扫描服务器80端口),通过分析扫描结果,找到登录点并使用火狐浏览器访问包含登录的页面,通过提示登录并把登录的密码作为flag提交
- 制作一个名为ms17010.jpg木马文件并将其上传至目标服务器,要求能够上传成功,上传成功后请把木马所在的路径作为flag提交
任务3. Linux操作系统渗透测试(100分)
- 通过本地kalilinux 对linux进行系统服务及版本扫描渗透测试,并将该操作显示结果中22端口对应的服务版本信息字符串作为Flag值提交;
- 通过本地kalilinux 对linux进行操作系统扫描渗透测试(使用参数-A),并将该操作显示结果中Running中的 字符串作为Flag值提交;
- 通过本地PC中渗透测试平台Kali2.0对服务器场景PYsystem20195进行渗透测试,将该场景/var/ms17-010目录中唯一一个后缀为.docx文件的文件名称作为Flag值提交;
- 通过本地PC中渗透测试平台Kali2.0对服务器场景PYsystem20195进行渗透测试,将该场景/var/ms17-010目录中唯一一个后缀为.docx文件的文件内容作为Flag值提交;
- 通过本地PC中渗透测试平台Kali2.0对服务器场景PYsystem20195进行渗透测试,将该场景/home/ms17-010目录中唯一一个后缀为.txt文件的文件名称作为Flag值提交;
- 通过本地PC中渗透测试平台Kali2.0对服务器场景PYsystem20195进行渗透测试,将该场景/home/ms17-010目录中唯一一个后缀为.txt文件的文件内容作为Flag值提交;
任务4. Windows7操作系统渗透测试(100分)
- 使用metasploit渗透测试平台,MS17-010 漏洞的aux(辅助)模块验证 Windows7是否存在MS17-010 漏洞 并把这条命令作为flag提交 在上题的基础上设置好必设置的参数,运行将运行后的第二行-HOST(包括-HOST )之后的内容作为flag提交
- 通过扫描发现目标靶机存在MS17-010漏洞,下一步使用use命令调用MS17-010的exp(攻击模块)并将这条命令作为flag提交
- 在上题的基础上设置好必设置的参数,运行将运行后第三行的英文字母作为flag提交
- 、这时你已经成功获取到会话,查看管理员(administrator)加密的密码并且将哈希值作为flag提交
5.Windows7并将c盘ms17010文件夹下的一个文件夹名作为flag提交
任务5. Windows2008操作系统渗透测试(100分)
- 将对应的模块放置文件到msf的相应文件夹(如果已存在同名文件,直接覆盖即可) (rdp.rb)把这条命令作为flag提交
- 将对应的模块放置文件到msf的相应文件夹(如果已存在同名文件,直接覆盖即可) (rdp_scanner.rb)把这条命令作为flag提交 如 、
- 将对应的模块放置文件到msf的相应文件夹(如果已存在同名文件,直接覆盖即可) (cve_2019_0708_bluekeep_rce.rb )把这条命令作为flag提交 如
- 将对应的模块放置文件到msf的相应文件夹(如果已存在同名文件,直接覆盖即可) (cve_2019_0708_bluekeep.rb)把这条命令作为flag提交
启动msf然后使用msfupdate更新一下,更新以后使用用命令重新加载0708rdp利用模块 并把这条命令作为flag提交
- 使用use调用0708rdp 的exp(攻击模块)并将这条命令作为flag提交
6.破解2008r2的管理员密码把密码作为flag提交
2019全国职业院校“网络空间安全”MS17-010安全自制题相关推荐
- APC计算机大赛,2019全国职业院校技能大赛计算机网络应用赛项题库C卷 2c.docx
24 - PAGE PAGE "2019年全国职业院校技能大赛"高职组 计算机网络应用竞赛 竞赛样题C卷 赛题说明 一.竞赛内容分布 模块一:无线网络规划与实施(10%) 模块二: ...
- 2023年全国职业院校技能大赛-信息安全管理与评估-赛题 8
目录 任务1:网络平台搭建 (50分) 任务2:网络安全设备配置与防护(250分) 竞赛项目赛题 介绍 所需的设备.机械.装置和材料 评分方案 项目和任务描述 工作任务 第一部分 网络安全事件响应 任 ...
- 2023年全国职业院校技能大赛-信息安全管理与评估-赛题 1
目录 信息安全管理与评估 赛题一 模块一 网络平台搭建与设备安全防护 任务1:网络平台搭建 (50分) 任务2:网络安全设备配置与防护(250分) 模块二 网络安全事件响应.数字取证调查.应用程序安全 ...
- 全国职业院校技能大赛信息安全管理与评估赛题一
全国职业院校技能大赛 高等职业教育组 信息安全管理与评估 赛题一 模块一 网络平台搭建与设备安全防护 赛项时间 共计180分钟. 赛项信息 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 第一阶段 网络 ...
- 2022年样题五全国职业院校网络系统管理-网络部分
2022年国赛样题五网络部分show run配置参考 拓扑 一.VSU 二.S3 三.S4 四.S7 五.S1 六.S2 七.AC1 八.AC2 九.R1 十.R2 十一.R3 十二.EG1 十三.E ...
- 2021年真题全国职业院校网络系统管理-网络部分
2021年国赛真题网络部分所有show run配置 拓扑 一.VSU 二.S3 三.S4 四.S5 五.S6 六.S7 七.VAC 八.R1 九.R2 十.R3 十一.EG1 十二.EG2 总结 拓扑 ...
- 2022年全国职业院校技能大赛网络安全竞赛试题 A-2样题
A-1任务一 登录安全加固(Windows,Linux) 1.密码策略(Windows,linux) a.最小密码长度不少于8个字符;4 Windows: Linux: vim /etc/login. ...
- 2022 年全国职业院校技能大赛高职组云计算赛项赛题解析-“私有云 赛项” 之 《私有云运维开发》!!超详细!
目录 [任务 3]私有云运维开发[10 分] [题目 1]Ansible 服务部署:部署 MariaDB 集群[2 分]
- 2019年全国职业院校技能大赛中职组“网络空间安全”正式赛卷及其“答案”
2019年全国职业院校技能大赛中职组 "网络空间安全"正式赛卷 环境需要可以私信博主,答案在文章最末尾 一.竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 第一阶段 单兵模 ...
最新文章
- 《Spring1之第五次站立会议》
- ONE- Open Navigator Engine 开放式浏览器引擎
- java 及时通讯弹幕技术 视频播放 websocket SSM 集成代码生成器 源码
- Coding:取若干个1到n的整数可求和等于整数m,求出所有组合的个数
- JS笔记-前端实现验证码功能
- bzoj1601 灌水
- 跟我一起学Angular2(1)-了解ng模块化
- 简化版XP按装IIS5.1实录
- 创建型模式学习总结——设计模式学习笔记
- Android 创建Mpaas项目
- android 收货地址功能,22、【收货地址管理模块】——收货地址增、删、改、查、分页列表、地址详情的功能开发...
- CMake常用命令(一) cmake_minimum_required命令
- 【新书速递】深入浅出Electron
- 【程序员修炼日志】校招与社招的感悟
- QVector常见使用方法
- 升级cuda10.2+pytorch+cudnn
- python控制nao机器人_python 程序控制NAO机器人行走
- 深入理解《hello world》是如何实现的
- 科学家称五年内将3D打印人类心脏
- 云米冰箱“失智”,问题不止“小米依赖症”