2020年网络安全大赛样题全文共8页,当前为第1页。2020年网络安全大赛样题全文共8页,当前为第1页。第46届世界技能大赛河南省选拔赛 2020年网络安全大赛样题全文共8页,当前为第1页。 2020年网络安全大赛样题全文共8页,当前为第1页。 "网络安全"项目—样题 一、赛项时间 9:00-12:00,共计3小时。 二、赛项信息 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 第一阶段 单兵模式系统渗透测试 任务1 SQL注入攻防 09:00-11:00 25 任务2 XSS和CSRF攻防 25 任务3 命令注入与文件包含攻防 20 第二阶段 分组对抗 系统攻防 11:00-12:00 30 (一)赛项环境设置 1.网络拓扑图 2020年网络安全大赛样题全文共8页,当前为第2页。2020年网络安全大赛样题全文共8页,当前为第2页。2.IP地址规划表 2020年网络安全大赛样题全文共8页,当前为第2页。 2020年网络安全大赛样题全文共8页,当前为第2页。 设备名称 接口 IP地址 互联 可用IP数量 PC-1:实战平台管理机 EthX x.x.x.x/x 与实战平台管理网络相连 见赛场IP参数表 PC-2:渗透测试机 EthY x.x.x.x/x 与渗透测试网络相连 见赛场IP参数表 服务器场景 无 详见赛题部分 见赛场IP参数表 备注 1.赛题可用IP地址范围见《赛场IP参数表》; 2.具体网络连接接口见《赛场IP参数表》-"赛场互联接口参数表"; 3.设备互联网段内可用地址数量见《赛场IP参数表》; 4.IP地址分配要求,最节省IP地址,子网有效地址规划遵循2n-2的原则; 5.参赛选手按照《赛场IP参数表》要求,自行分配IP地址段、设备互联接口; 6.将分配的IP地址段和接口填入《赛场IP参数表》中(《赛场IP参数表》电子文件存于U盘"第一阶段"文件夹中,请填写完整后提交。) (二)第一阶段任务书(70分) 任务1:SQL注入攻防 任务环境说明: 服务器场景:WebServ2003 服务器场景操作系统:Microsoft Windows2003 Server 服务器场景安装服务/工具1:Apache2.2; 服务器场景安装服务/工具2:Php6; 服务器场景安装服务/工具3:Microsoft SqlServer2000; 服务器场景安装服务/工具4:EditPlus; (过)1. 访问WebServ2003服务器场景,进入login.php页面,分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交; ()2. 对该任务题目1页面注入点进行SQL注入渗透测试,使该Web站点可2020年网络安全大赛样题全文共8页,当前为第3页。2020年网络安全大赛样题全文共8页,当前为第3页。通过任意用户名登录,并将登录密码作为Flag提交; 2020年网络安全大赛样题全文共8页,当前为第3页。 2020年网络安全大赛样题全文共8页,当前为第3页。 Union select * from users -- SQL注入语句 进入WebServ2003服务器场景的C:\AppServ\www目录,找到loginAuth.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入,并将修改后的PHP源程序中的Flag提交; prepare($sql)"execute(array($username,$password))"fetch() 4. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交 5. 访问WebServ2003服务器场景,"/"->"Employee Information Query",分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交; 6. 对该任务题目5页面注入点进行渗透测试,根据输入"%"以及"_"的返回结果确定是注入点,Web页面回显作为Flag提交; 7. 通过对该任务题目5页面注入点进行SQL注入渗透测试,删除WebServ2003服务器场景的C:\目录下的1.txt文档,并将注入代码作为Flag提交; exec master.dbo.xp_cmdshell 'del 'C:\a.txt' 进入WebServ2003服务器场景的C:\AppServ\www目录,找到QueryCtrl.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入渗透测试,并将修改后的PHP源程序中的Flag提交; Addslashes定义和用法 addlashes()函数返回在预定义的字符前添加反斜杠的字符串。 预定义字符是: 单引号(') 双引
