360CTF理论大赛试题1

360 网络安全职业技能大赛初赛理论分赛

1.（单选题）

如果使用 sqlmap 进行注入时需要指定注入技术，则需要使用哪个参数（）（4 分）

A —dbs

B —risk

C —Level

D —technique

C ?page=../../../../../etc/passwd

D ?page=../../../../../../etc/passwd

3.（多选题）

IIS6.0 存在的文件解析漏洞，是由于哪些特殊符号导致利用（）（4 分）

A :

B ;

C @

D /

4.（单选题）

RSA 算法，在以下哪种特定场景相对安全（）（4 分）

（4 分）

A nmap –Pn -sn –n 192.168.1.1/24

B nmap –Ss -sn –n 192.168.1.1/24

C nmap –sn 192.168.1.1/24

D nmap –PE –sn –n 192.168.1.1/24

6.（多选题）

以下方法中可能存在命令执行漏洞的有（）（4 分）

A string shell_exec ( string $cmd )

B string exec ( string $command [, array &$output [, int &$return_var ]] )

C void passthru ( string $command [, int &$return_var ] )

C 错误信息所在行

D PHP 版本信息

8.（多选题）

只允许 192.168.1.80/32 访问某 Linux 主机，可采用（ ）方法实现。（4 分）

A 本机防火墙

B 网络防火墙

B 命令执行漏洞

C XSS 跨站漏洞

D 文件读取漏洞

10.（单选题）

DDOS 反射攻击中，下面哪项协议拥有最大的反射倍数（）（4 分）

A DNS

B MEMCACHE

C TFTP

D SNMP

11.（单选题）

metasploit 使用 ms17-010 攻击机器哪个端口服务（）（4 分）

A 445

B 139

C 135

D 1025

13.（单选题）

导致 Tomcat 任意文件上传漏洞(CVE-2017-12615)的原因是（）（4 分）

A 允许 POST 请求方法

B 允许 OPTIONS 请求方法

C 配置文件中 readonly 参数设置为 false

C 信息泄露

D 反射型 XSS

15.（单选题）

当用户在浏览器中输入一个需要登录的网址时，系统先去哪里查询 IP 地址？

（4 分）

A 本地域名服务器

B 设置上传目录不可解析

C 重命名上传的文件名称

D 使用单独的服务器存放上传的文件

17.（单选题）

目标计算机与网关通信失败，同时导致通信重定向的攻击形式是以下哪种攻击?

（4 分）

A 病毒

B 木马

C DOS

D ARP 欺骗

19.（单选题）

DNS 系统 NS 记录主要作用（）（4 分）

A 主机 IP 地址

B 域名服务器记录

C 域名说明

D 邮件交换记录

20.（单选题）

我们在浏览器看到的 web 服务器证书中，包含了（）（4 分）

A 服务器的公钥

B 服务器的私钥