2022年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书.docx

《2022年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书.docx》由会员分享，可在线阅读，更多相关《2022年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书.docx（21页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、精品学习资源2021 年全国职业院校技能大赛高职组“信息安全治理与评估”赛项任务书一、 赛项时间9:00-15:00 ，共计 6 小时，含赛题发放、收卷及午餐时间；二、 赛项信息任务阶段任务 1竞赛任务网络平台搭建竞赛时间分值60任务 2网络安全设备配置与防护240任务 1任务 2缓冲区溢出漏洞渗透测试Web应用程序安全攻防9:00-13:305050任务 3ARP扫描渗透测试50任务 4操作系统判定渗透测试50任务 5数据库拜望渗透测试及其加固50任务 6网络协议渗透测试及其加固50竞赛阶段第一阶段平台搭建与安全设备配置防护其次阶段 系统安全攻防及运维安全管控中场收卷13:30-14:00欢

2、迎下载精品学习资源第三阶段系统加固14:00-400欢迎下载精品学习资源分组对抗系统攻防15:00欢迎下载精品学习资源三、 赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要提交任 务“操作文档”，“操作文档”需要存放在裁判组特地供应的U盘中；其次、三阶段请依据现场具体题目要求操作；选手第一需要在 U 盘的根目录下建立一个名为“ xx 工位”的文件夹 xx 用具体的工位号替代，赛题第一阶段完成任务操作的文档放置在文件夹中；例如： 08 工位，就需要在 U 盘根目录下建立“ 08 工位”文件夹，并在“ 08工位”文件夹下直接放置第一个阶段的操作文档文件；特别说明： 只答应在根目

3、录下的“ 08 工位”文件夹中表达一次工位信息， 不答应在其他文件夹名称或文件名称中再次表达工位信息，否就按作弊处理；1欢迎下载精品学习资源PC环境说明：PC-1须使用物理机中的虚拟机：物理机操作系统： Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统： WindowsXP虚拟机虚拟机安装服务 / 工具 2：Ethereal虚拟机安装服务 / 工具 3： Watch Professional Edition虚拟机网卡与物理机网卡之间的关系： Bridge 桥接PC-2须使用物理机中的虚拟机：物理机操作系统： Windows7 64 位旗舰版VMw

4、are Workstation 12 Pro虚拟机操作系统： WindowsXP虚拟机安装服务 / 工具 2：Ethereal2 一赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息： 网络拓扑图、IP 地址规划表、设备初始化信息；1. 网络拓扑图欢迎下载精品学习资源设备名称防火墙 DCFW接口EthXIP 地址互联与 PC-3 相连可用 IP 数量见赛场IP 参数表Vlan 20三层交换机DCRSVlan 30与 PC-1 所在用户区相连与 PC-2 所在用户区相连见赛场 IP 参数表见赛场IP 参数表备注1. 赛题可用 IP 地址范畴见“赛场IP 参数表”；2. 具体网络连接接口见“赛场

5、互联接口参数表”；3虚拟机安装服务 / 工具 3： Watch Professional Edition虚拟机网卡与物理机网卡之间的关系： Bridge 桥接PC-3须使用物理机中的虚拟机：物理机操作系统： Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统： Kali LinuxDebian7 64Bit 虚拟机安装服务 / 工具： Metasploit Framework虚拟机网卡与物理机网卡之间的关系： Bridge 桥接2. IP 地址规划表地址池SSL VPN地址池见赛场IP参数表无线交换机EthX与 DCRS相连见赛场IP参数表DCWS

6、地址池DCHP地址池见赛场IP参数表WEB应用防火墙EthX与 DCRS相连见赛场IP参数表WAFEthX与 DCST相连见赛场IP参数表Vlan 2与 DCWS相连见赛场IP参数表Vlan 10与 WAF相连见赛场IP参数表Vlan 40与 DCBI 相连见赛场IP参数表Vlan 100直连服务器区见赛场IP参数表Vlan 110直连用户区见赛场IP参数表网络日志系统DCBIEthX与DCRS相连见赛场IP参数表堡垒服务器DCSTEthX与WAF相连见赛场IP参数表PC-1无与DCRS相连见赛场IP参数表PC-2无与DCFW相连见赛场IP参数表PC-3无与DCFW相连见赛场IP参数表服务器场

7、景-1无见系统安全攻防加固赛题部分服务器场景-2无见系统安全攻防加固赛题部分服务器场景-3无见系统安全攻防加固赛题部分服务器场景-4无见系统安全攻防加固赛题部分服务器场景-5无见系统安全攻防加固赛题部分欢迎下载精品学习资源3. 设备互联网段内可用地址数量见“赛场IP 参数表”；n4. IP地址支配要求， 最节省 IP 地址，子网有效地址规划遵循2 -2 的原就；5. 参赛选手依据 “赛场 IP 参数表” 要求， 自行支配 IP 地址段、设备互联接口；6. 将支配的 IP 地址段和接口填入“赛场IP 参数表”中“赛场IP 参数表” 电子文件存于U 盘“第一阶段”文件夹中， 请填写完整后提交； 3

8、.设备初始化信息设备名称治理地址默认治理接口用户名密码防火墙 DCFW:/ETH0adminadmin网 络 日 志 系 统s:/192.168.5.254ETH0admin123456DCBIWEB 应 用 防 火 墙WAFETH5adminadmin123三层交换机-Console-无线交换机 DCWS-Console-堡垒服务器 DCSTEth0 Eth9参见“DCST 登录用户表”备注全部设备的默认治理接口、治理IP 地址不答应修改 ;假如修改对应设备的缺省治理IP 及治理端口，涉及此设备的题目按0 分处理；4欢迎下载精品学习资源 二第一阶段任务书 300 分该阶段需要提交配置或截图文

9、档，命名如下表所示：2赛场IP 参数表3任务2-DCFW4任务2-DCBI任务 25任务2-WAF6任务2-DCRS7任务2-DCWS阶段任务序号文档名称任务 11任务 1第一阶段任务 1：网络平台搭建 60 分平台搭建要求如下：题号网络需求依据网络拓扑图所示，依据IP地址参数表，对WAF的名称、各接口IP 地址进行配置；依据网络拓扑图所示，依据IP地址参数表，对DCRS的名称、各接口IP 地址进行配置；依据网络拓扑图所示，依据IP地址参数表，对DCFW的名称、各接口IP 地址进行配置；依据网络拓扑图所示，依据IP地址参数表，对DCWS的各接口 IP 地址进行配置；依据网络拓扑图所示，依据IP

10、地址参数表，对DCBI的名称、各接口IP 地址进行配置；依据网络拓扑图所示，依据IP地址参数表，在DCRS交换机上创建相应的123456VLAN，并将相应接口划入VLAN；7 接受静态路由的方式，全网络互连；8 完整填写“赛场 IP 参数表”；5欢迎下载精品学习资源任务 2：网络安全设备配置与防护 240 分DCFW:1. 在总公司的 DCFW上配置，连接 LAN接口开启 PING,S功能，连接 Internet接口开启 PING、 S功能；并且新增一个用户，用户名dcn2021，密码 dcn2021，该用户只有读 - 执行权限；2. DCFW配置 NTP 和 LOG， Server IP为

11、X.X.X.X ， NTP认证密码为 Dcn2021；3. DCFW连接 LAN的接口配置二层防护， ARP Flood 超过 500 个每秒时丢弃超出的 ARP包， ARP扫描攻击超过 300 个每秒时弃超出的 ARP包；配置静态ARP绑定， MAC地址 880B.0A0B.0C0D与 IP 地址 X.X.X.X 绑定；4. DCFW连接 Internet的区域上配置以下攻击防护：FW1，FW2攻击防护启以下 Flood 防护：ICMP洪水攻击防护，戒备值 2000，动作丢弃； UDP供水攻击防护，戒备值 1500，动作丢弃； SYN洪水攻击防护，戒备值 5000，动作丢弃； 开启以下 DO

12、S防护：Ping of Death攻击防护；Teardrop 攻击防护；IP 选项，动作丢弃；ICMP大包攻击防护，戒备值 2048，动作丢弃；5. 限制 LAN到 Internet流媒体 RTSP应用会话数，在周一至周五 8:00-17:00每 5 秒钟会话建立不行超过 20；6. DCFW上配置 NAT功能，使 PC2能够通过 WEB方式正常治理到 WAF，端口号使用 10666; 7. 总公司 DCFW配置 SSLVP，N 建立用户 dcn01，密码 dcn01，要求连接 Internet PC2可以拨入，配置下载客户端端口为9999，数据连接端口为9998，SSLVPN地址池参见地址表

13、；8. DCFW加强拜望 Internet安全性，禁止从打开和下载可执行文件和批处理文件；9. DCFW配置禁止全部人在周一至周五工作时间 9：00-18 ：00 拜望京东 jd 和淘宝 taobao ; 相同时间段禁止拜望中含有“消遣”、“新闻”的 WEB页面；10. DCFW上配置 ZONE和放行策略，连接 Internet接口为“ Untrust ”区域，连接 DCRS接口为“ Trust ”区域，连接 SSL VPN接口为“ VPN HUB”区域，要求配置相应的最严格安全策略；欢迎下载精品学习资源DCBI:11. 在公司总部的 DCBI上配置，设备部署方式为旁路模式，并配置监控接口欢迎

14、下载精品学习资源与治理接口 ; 增加非 admin 账户 DCN201，7户查询设备的系统状态和统计报表 ;密码 dcn2021，该账户仅用于用欢迎下载精品学习资源12. 在公司总部的 DCBI上配置，监控周一至周五9：00-18 ： 00 PC-1 所在网段用户拜望的 URL中包含 xunlei的拜望记录，并且邮件发送告警 ;13. 在公司总部的 DCBI上配置，监控 PC-1 所在网段用户周一至周五9：00- 18：00 的即时谈天记录 ;14. 公司总部 LAN中用户拜望网页中带有“ MP3”、“ MKV” 、“ RMV”B 需要被 DCBI记录；邮件内容中带有“银行账号”记录并发送邮件

15、告警；15. DCBI监控 LAN中用户拜望网络玩耍，包括“ QQ玩耍”、“魔兽世界”并作记录；16. DCBI配置应用及应用组“快播视频”， UDP协议端口号范畴 23456-23654，在周一至周五 9：00-18 ： 00 监控 LAN中全部用户的“快播视频” 拜望记录；17. DCBI上开启邮件告警，邮件服务器地址为X.X.X.X ，端口号 25, 告警所用邮箱用户名 dcnadmin, 密码 Dcn2021;当 DCBI磁盘使用率超过 75%时发送一次报警；WAF:18. 在公司总部的 WAF上配置，编辑防护策略，定义请求体的最大长度为512，防止缓冲区溢出攻击；19. 在公司总部的

16、 WAF上配置，防止某源 IP 地址在短时间内发送大量的恶意 请求，影响公司网站正常服务；大量请求的确认值是：10 秒钟超过 3000 次请求；20. 在公司总部的 WAF上配置，对公司网站进行安全评估，检查网站是否存在安全漏洞，便于在攻击没有发生的情形下提前做出防护措施；21. 使用 WAF自带标识组配置爬虫防护与扫描防护， 阻断时间 120 秒，通过 WAF组织爬虫探测和扫描服务器区域；22. 在公司总部的 WAF上配置，禁止请求和应答中包含敏捷字段“赛题” 和“答案”的报文经过WAF设备；23. 公司 web 应用防火墙透亮模式部署，为了防止不法人员对公司内的网站进行攻击，在 web 应

17、用防火墙上开启“黑名单”策略，禁止公网IP 地址拜望网站服务器；24. 公司 web 应用防火墙透亮模式部署，为了防止不法人员对公司内的网站 进行攻击，在 web 应用防火墙上开启防止“ SQL注入”攻击策略阻挡攻击流量；欢迎下载精品学习资源DCRS:25. DCRS为接入交换机，为终端产生防止MAC地址防洪攻击，请配置端口安 全，每个已划分 VLAN的端口最多学习到 5 个 MAC地址，发生违规阻挡后续违规流量通过，不影响已有流量并产生LOG日志； Ex/x 为专用接口，限定 MAC地址 00-11-11-11-11-11可以连接； 将连接 DCFW的双向流量镜像至 Netlog 进行监控和

18、分析；26. DCRS配置 802.1x 认证， Radius 服务器 IP 地址 X.X.X.X, 认证密码Dcn2021,Ex/x 号端口开启 802.1x 功能，接入该端口通过 PC上的 802.1x 软件进行认证；27. 接入 DCRS Ex/x，仅答应 IP 地址 X.X.X.X-X.X.X.X为源的数据包为合法包，以其它 IP 地址为源地址，交换机直接丢弃；28. 为拦截，防止非法的 MAC地址与 IP 地址绑定的 ARP数据包，配置动态 ARP检测功能， AC为 DHCP服务器，限制与 AC在同一 VLAN接口的 ARP阀值为 50；29. DCRS上开启以下安全特性，防 IP

19、Spoofing攻击、防 TCP非法标志攻击、防端口欺诈攻击、防 TCP碎片攻击、防 ICMP碎片攻击；DCW：S30. AP通过 option43方式进行正常注册上线；31. 设置 AP工作在 5G频段；32. 设置 SSID DCN，加密模式为 wpa-personal, 其口令为： chinaskill；设置 SSID GUEST不进行认证加密；33. GUSET最多接入 10 个用户，用户间相互隔离，并对GUEST网络进行流控，上行 1M，下行 2M；34. 通过配置防止接入终端较多且有大量弱终端时，防止高速客户端被低速客户端“拖累”，让低速客户端不至于长时间得不到传输；35. 通过使

20、用黑名单技术禁止 mac地址为 68-a3-c4-e6-a1-be的 PC通过无线网络上网；36. 防止非法 AP假冒合法 SSID，开启 AP威逼检测功能；37. 通过设置实现在 AC断开网络连接时 AP仍能正常工作；38. 考虑到无线网络会进一步部署，增加更多的AP，设置已有 AP信道和发射功率每隔 1 小时自动调剂；39. 为防止增多 AP后产生过多的 ARP数据包，开启 ARP抑制功能，要求 AC能代为应答其已知的 MAC地址；欢迎下载精品学习资源 三其次阶段任务书 300 分提示：本阶段用到堡垒服务器 DCST中的服务器场景，猎取服务器 IP 地址方式如下：Windows服务器的 I

21、P 地址可以通过拓扑界面获得， 假如获得不了， 接受如下方法获得：.通过 DCST场景里的网络拓扑图，启动连接设备.进入服务器，用户名为 administrator，密码：空.执行 ipconfig /all，即可获得服务器 IP 地址任务 1：缓冲区溢出漏洞渗透测试 50 分任务描述：假定各位选手是 TaoJin 电子商务企业的信息系统安全工程师， 负责该企业信息系统的安全爱惜，在该系统中某程序可能存在缓冲区溢出漏洞；你需 要对该程序进行渗透测试，确认程序的确存在该漏洞；任务环境说明：主机场景： WindowsXP主机场景操作系统： Microsoft Windows XP Professi

22、onal主机场景安装服务 / 工具 1： Visual C+ 6.0； 主机场景安装服务 / 工具 2： OllyICE ；主机场景安装服务 / 工具 3： Findjmp ； 主机场景安装服务 / 工具 4：；任务内容：1. 对可能存在缓冲区溢出的程序源代码位置：C:VCSource Code 进行分析，找到 Main 函数中有缓冲区溢出可能的变量名，并将Flag 值形式：有缓冲区溢出可能的变量名进行提交；2. 对可能存在缓冲区溢出的程序源代码位置： C:VCSource Code 进行完善，使用工具 findjmp 找到 Windows内核文件 KERNEL32.DLL中的首个“ call

23、 esp ”指令的内存地址，将该内存地址作为函数的返回地址，依据以上信息，填写可能存在缓冲区溢出的程序源代码位置： C:VCSource Code 中的 F1 字符串，并将 Flag 值形式： F1 字符串内容进行提交；3. 对可能存在缓冲区溢出的程序源代码位置：C:VCSource Code 进行完善，填写该源代码中 join函数中的 F2、F3 字符串，并将 Flag 值形式： F2 字符串内容 ;F3 字符串内容进行提交；欢迎下载精品学习资源4. 对可能存在缓冲区溢出的程序源代码位置：C:VCSource Code 进行完善，填写该源代码中 repstr函数中的 F4、F5 字符串，并将

24、 Flag 值形式： F4 字符串内容 ;F5 字符串内容进行提交；5. 对可能存在缓冲区溢出的程序源代码位置：C:VCSource Code 进行完善，填写该源代码中 main 函数中的 F6、F7、F8 字符串，并将Flag 值形式： F6 字符串内容 ;F7 字符串内容 ;F8 字符串内容进行提交；6. 将完善后的缓冲区溢出渗透测试程序源代码位置：C:VCSourceCode进行编译、链接、运行，将该程序的运行结果显示的最终1 行字符串作为 Flag 值形式：程序的运行结果显示的最终1 行字符串提交；任务 2： Web应用程序安全攻防 50 分任务描述：假定各位选手是 TaoJin 电子

25、商务企业的信息系统安全工程师， 负责该企业信息系统的安全爱惜，在该系统中Web应用程序可能存在 SQL注入漏洞； 第一，你需要对该程序进行渗透测试，确认程序的确存在该漏洞；其次，你需要对该程序打补丁，解决以上漏洞带来的问题；第三，你需要再次对该程序进行渗透测试，验证程序是否仍存在漏洞；任务环境说明：PC-1须使用物理机中的虚拟机：物理机操作系统： Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统： WindowsXP虚拟机安装服务 / 工具 2：Ethereal虚拟机网卡与物理机网卡之间的关系： Bridge 桥接PC-3须使用物理机中的虚拟机：

26、物理机操作系统： Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统： Ubuntu Linux 32bit虚拟机操作系统安装工具集： BackTrack5虚拟机网卡与物理机网卡之间的关系： Bridge 桥接DCST：服务器场景： WebServ2003服务器场景操作系统： Microsoft Windows2003 Server服务器场景安装服务 / 工具 1：Apache2.2； 服务器场景安装服务 / 工具 2：Php6；欢迎下载精品学习资源服务器场景安装服务 / 工具 3：Microsoft SqlServer2000； 服务器场景安装服

27、务 / 工具 4：EditPlus ；1. 在 PC-1 上， Web拜望 DCST中的 WebServ2003服务器场景，进入页面， 分析该页面源程序，找到提交的变量名，并将全部提交的变量名作为 Flag 值形式：变量名 1; 变量名 2; ; 变量名 n提交；2. 对该任务题目 1 页面注入点进行 SQL注入渗透测试，使该 Web站点可通过万能用户名、数据库 users 表中当中任意一个密码登录，并将万能用户名字符串当中的固定部分作为Flag 值形式：万能用户名字符串当中的固定部分提交；3. 对服务器场景： WebServ2003的 Web开发环境进行配置，使其能够支持数据抽象层 PDO技

28、术，并将配置文件的路径及名称字符串作为Flag值形式：配置文件的路径及名称字符串提交；4. 对服务器场景： WebServ2003的 Web开发环境进行配置，使其能够支持数据抽象层技术，并将在上题配置文件中取消注释行内容作为Flag 值形式：按次序取消注释行 1 字符串;按次序取消注释行 1 字符串; ; 按次序取消注释行 n 字符串提交；5. 进入 DCST中的 WebServ2003服务器场景目录，找到页面参数提交到的php 文件，分析并使用 EditPlus工具修改该 php 源程序，使之可以抵抗 SQL注入渗透测试，并填写该 php 源程序当中空缺的 Flag1 字符串， 将该字符串作

29、为 Flag 值形式： Flag1 字符串提交；6. 进入 DCST中的 WebServ2003服务器场景目录，找到页面参数提交到的php 文件，分析并使用 EditPlus工具修改该 php 源程序，使之可以抵抗 SQL注入渗透测试，并填写该 php 源程序当中空缺的 Flag2 字符串， 将该字符串作为 Flag 值形式： Flag2 字符串提交；7. 进入 DCST中的 WebServ2003服务器场景目录，找到页面参数提交到的php 文件，分析并使用 EditPlus工具修改该 php 源程序，使之可以抵抗 SQL注入渗透测试，并填写该 php 源程序当中空缺的 Flag3 字符串，

30、将该字符串作为 Flag 值形式： Flag3 字符串提交；8. 进入 DCST中的 WebServ2003服务器场景目录，找到页面参数提交到的php 文件，分析并使用 EditPlus工具修改该 php 源程序，使之可以抵抗 SQL注入渗透测试，并填写该 php 源程序当中空缺的 Flag4 字符串， 将该字符串作为 Flag 值形式： Flag4 字符串提交；9. 进入 DCST中的 WebServ2003服务器场景目录，找到页面参数提交到的php 文件，分析并使用 EditPlus工具修改该 php 源程序，使之可以抵欢迎下载精品学习资源御 SQL注入渗透测试，并填写该 php 源程序当

31、中空缺的 Flag5 字符串， 将该字符串作为 Flag 值形式： Flag5 字符串提交；10. 再次对该任务题目 1 页面注入点进行渗透测试，验证此次利用该注入点对该 DCST中的 WebServ2003服务器场景进行 SQL注入渗透测试无效， 并将页面回显 HTML源文件内容作为 Flag 值形式：页面回显 HTML源文件内容提交；任务 3： ARP扫描渗透测试 50 分任务描述：假定各位选手是 TaoJin 电子商务企业的信息系统安全工程师， 负责该企业信息系统的安全爱惜，现欲对该系统中主机进行 ARP扫描渗透测试，确认该系统中都有哪些 IP 主机在线；任务环境说明：PC-1须使用物理

32、机中的虚拟机：物理机操作系统： Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统： WindowsXP虚拟机安装服务 / 工具 1：EditPlus虚拟机安装服务 / 工具 2：XFTP虚拟机网卡与物理机网卡之间的关系： Bridge 桥接PC-3须使用物理机中的虚拟机：物理机操作系统： Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统： Ubuntu Linux 32bit虚拟机操作系统安装工具集： BackTrack5虚拟机网卡与物理机网卡之间的关系： Bridge 桥接DCST：服务器场景：

33、CentOS1. 进入虚拟机操作系统： Ubuntu Linux 32bit中的/root目录，完善该目录下的 arp_sweep.py 文件，填写该文件当中空缺的 Flag1 字符串，将该字符串作为 Flag 值形式： Flag1 字符串提交； 6 题2. 进入虚拟机操作系统： Ubuntu Linux 32bit中的/root目录，完善该目录下的 arp_sweep.py 文件，填写该文件当中空缺的 Flag2 字符串，将该字符串作为 Flag 值形式： Flag2 字符串提交； 6 题欢迎下载精品学习资源3. 进入虚拟机操作系统： Ubuntu Linux 32bit中的/root目录，

34、完善该目录下的 arp_sweep.py 文件，填写该文件当中空缺的 Flag3 字符串，将该字符串作为 Flag 值形式： Flag3 字符串提交； 6 题4. 进入虚拟机操作系统： Ubuntu Linux 32bit中的/root目录，完善该目录下的 arp_sweep.py 文件，填写该文件当中空缺的 Flag4 字符串，将该字符串作为 Flag 值形式： Flag4 字符串提交； 6 题5. 进入虚拟机操作系统： Ubuntu Linux 32bit中的/root目录，完善该目录下的 arp_sweep.py 文件，填写该文件当中空缺的 Flag5 字符串，将该字符串作为 Flag

35、值形式： Flag5 字符串提交； 6 题6. 在虚拟机操作系统： Ubuntu Linux 32bit下执行 arp_sweep.py 文件， 对服务器场景进行 ARP扫描渗透测试；将该文件执行后的显示结果中， 第 1 行的第 1 个字符以及第 2 行的第 1 个字符作为 Flag 值形式：第1 行的第 1 个字符; 第 2 行的第 1 个字符提交；任务 4：操作系统判定渗透测试50 分任务描述：假定各位选手是 TaoJin 电子商务企业的信息系统安全工程师， 负责该企业信息系统的安全爱惜，现欲对该系统中主机进行操作系统扫描渗透测试， 确认该系统中主机都运行了哪些操作系统；任务环境说明：PC

36、-1须使用物理机中的虚拟机：物理机操作系统： Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统： WindowsXP虚拟机安装服务 / 工具 1：EditPlus虚拟机安装服务 / 工具 2：XFTP虚拟机网卡与物理机网卡之间的关系： Bridge 桥接PC-3须使用物理机中的虚拟机：物理机操作系统： Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统： Ubuntu Linux 32bit虚拟机操作系统安装工具集： BackTrack5虚拟机网卡与物理机网卡之间的关系： Bridge 桥接DCST：

37、服务器场景： CentOS欢迎下载精品学习资源1. 进入虚拟机操作系统： Ubuntu Linux 32bit中的/root目录，完善该目录下的 os_scan.py 文件，填写该文件当中空缺的 Flag1 字符串，将该字符串作为 Flag 值形式： Flag1 字符串提交； 6 题2. 进入虚拟机操作系统： Ubuntu Linux 32bit中的/root目录，完善该目录下的 os_scan.py 文件，填写该文件当中空缺的 Flag2 字符串，将该字符串作为 Flag 值形式： Flag2 字符串提交； 6 题3. 进入虚拟机操作系统： Ubuntu Linux 32bit中的/root

38、目录，完善该目录下的 os_scan.py 文件，填写该文件当中空缺的 Flag3 字符串，将该字符串作为 Flag 值形式： Flag3 字符串提交； 6 题4. 进入虚拟机操作系统： Ubuntu Linux 32bit中的/root目录，完善该目录下的 os_scan.py 文件，填写该文件当中空缺的 Flag4 字符串，将该字符串作为 Flag 值形式： Flag4 字符串提交； 6 题5. 进入虚拟机操作系统： Ubuntu Linux 32bit中的/root目录，完善该目录下的 os_scan.py 文件，填写该文件当中空缺的 Flag5 字符串，将该字符串作为 Flag 值形式

39、： Flag5 字符串提交； 6 题6. 在虚拟机操作系统： Ubuntu Linux 32bit下执行 os_scan.py 文件，对服务器场景进行操作系统信息判定渗透测试，将该文件执行后的显示结果作为 Flag 值形式：文件执行后的显示结果字符串提交；任务 5：数据库拜望渗透测试及其加固 50 分任务描述：假定各位选手是 TaoJin 电子商务企业的信息系统安全工程师， 负责该企业信息系统的安全爱惜， 在该系统中 Web服务器中的数据库服务可能存在拜望漏洞；第一，你需要对该程序进行渗透测试，确认程序的确存在该漏洞； 其次，你需要对数据库服务进行安全加固配置，解决以上漏洞带来的问题； 第三，

40、你需要再次对该程序进行渗透测试，验证程序是否仍存在拜望漏洞；任务环境说明：PC-1须使用物理机中的虚拟机：物理机操作系统： Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统： WindowsXP虚拟机安装服务 / 工具 1：EditPlus虚拟机安装服务 / 工具 2：XFTP欢迎下载精品学习资源虚拟机网卡与物理机网卡之间的关系： Bridge 桥接PC-3须使用物理机中的虚拟机：物理机操作系统： Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统： Ubuntu Linux 32bit虚拟机操作系统

41、安装工具集： BackTrack5虚拟机网卡与物理机网卡之间的关系： Bridge 桥接DCST：服务器场景： WebServ2003服务器场景操作系统： Microsoft Windows2003 Server服务器场景安装服务 / 工具 1：Apache2.2； 服务器场景安装服务 / 工具 2：Php6；服务器场景安装服务 / 工具 3：Microsoft SqlServer2000； 服务器场景安装服务 / 工具 4：EditPlus ；1. 进入虚拟机操作系统： Ubuntu Linux 32bit 中的/root 目录，完善该目录下的 mssql_brute_force.py 文件

42、，填写该文件当中空缺的 Flag1 字符串，将该字符串作为 Flag 值形式： Flag1 字符串提交； 6 题2. 进入虚拟机操作系统： Ubuntu Linux 32bit 中的/root 目录，完善该目录下的 mssql_brute_force.py 文件，填写该文件当中空缺的 Flag2 字符串，将该字符串作为 Flag 值形式： Flag2 字符串提交； 6 题3. 进入虚拟机操作系统： Ubuntu Linux 32bit 中的/root 目录，完善该目录下的 mssql_brute_force.py 文件，填写该文件当中空缺的 Flag3 字符串，将该字符串作为 Flag 值形式

43、： Flag3 字符串提交； 6 题4. 进入虚拟机操作系统： Ubuntu Linux 32bit 中的/root 目录，完善该目录下的 mssql_brute_force.py 文件，填写该文件当中空缺的 Flag4 字符串，将该字符串作为 Flag 值形式： Flag4 字符串提交； 6 题5. 进入虚拟机操作系统： Ubuntu Linux 32bit 中的/root 目录，完善该目录下的 mssql_brute_force.py 文件，填写该文件当中空缺的 Flag5 字符串，将该字符串作为 Flag 值形式： Flag5 字符串提交； 6 题6. 在虚拟机操作系统： Ubuntu Linux 32bit下执行 mssql_brute_force.py文件，进行数据