- 博客(58)
- 资源 (25)
- 收藏
- 关注
RSS订阅原创 B模块新题目linux渗透(需要环境私我)
1.通过本地KALI2021渗透机对靶机telnet服务进行版本服务扫描将显示的版本内容做为flag提交。Linux telnetd2.通过本地谷歌浏览器访问靶机网站,将靶机中robots.txt中的内容做为flag进行提交。/var/www/html/111/111.txt3.通过本地KALI2021渗透机对靶机进行弱口令爆破,将root用户的密码做为flag进行提交。admin1234.通过本地KALI2021渗透机对靶机进行渗透,将网站根目录中111文件夹111.txt的文件内容做
2022-05-11 11:14:53
653
2
原创 2022年中职组网络安全国赛AB模块解析第6套
竞赛内容模块A 基础设施设置与安全加固A-1任务一:登录安全加固(Windows)1.密码策略a.密码策略必须同时满足大小写字母、数字、特殊字符;b.强制密码历史为5个密码;c.密码最长存留期为45天;d.最小密码长度不少于8个字符。2.用户安全管理a.禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del;b.交互式登录时不显示用户名;c.设置取得文件或其他对象的所有权,将该权限只指派给admini...
2022-05-10 08:40:14
728
原创 2022年中职组网络安全国赛题目解析第五套
有word文档,要的私信我仅仅一个做题思路竞赛内容A-1任务一 登录安全加固(Windows)1.密码策略a.密码策略必须同时满足大小写字母、数字、特殊字符;b.强制密码历史为5个密码;c.密码最长存留期为45天;d.最小密码长度不少于8个字符。2.用户安全管理a.禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del;b.交互式登录时不显示用户名;c.设置取得文件或其他对象的所有权,将该权限只指...
2022-05-10 07:55:37
448
原创 2022年中职组网络安全国赛AB模块解析第四套
有word的文档,要的私信我仅仅自己的做题思路竞赛内容A-1任务一 登录安全加固(Windows)1.密码策略a.更改或创建密码时执行复杂性要求;b.密码必须符合复杂性要求;c.密码最短使用期限为10天。2.用户安全管理a.禁用来宾账户,禁止来宾用户访问计算机或访问域的内置账户;b.查找并删除服务器中可能存在的后门用户c.普通用户进行最小权限管理,对关闭系统仅限管理员账号;d.禁止从远端系统强制关机,...
2022-05-10 07:47:12
509
原创 2022年中职组网络安全国赛AB模块解析第3套
有word文档,要的私信我仅仅提供思路!!!竞赛内容模块A 基础设施设置与安全加固(本模块20分)一、项目和任务描述:假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用用户安全管理与密码策略、Nginx安全策略、日志监控策略、中间件服务安全策略、本地安全策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。本模块要求根据竞赛现场提供的A模块答题模板对具体任务的操作进行截图并加以相应的文字说明,以word文档的形式书写,以P
2022-05-09 11:30:30
458
原创 2022年中职组网络安全国赛解析第二套
2022年全国职业院校技能大赛(中职组)网络安全竞赛试题(2)(总分100分) 赛题说明一、竞赛项目简介“网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。表1 竞赛时间安排与分值权重 模块编号 模块名.
2022-05-09 11:15:55
570
原创 2022年中职组网络安全国赛AB模块解析第一套
模块A 基础设施设置与安全加固(本模块20分)一、项目和任务描述:假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录安全加固、数据库安全策略、流量完整性策略、事件监控策略、防火墙策略、IP协议安全配置等多种安全策略来提升服务器系统的网络安全防御能力。本模块要求根据竞赛现场提供的A模块答题模板对具体任务的操作进行截图并加以相应的文字说明,以word文档的形式书写,以PDF格式保存,以“赛位号+模块A”作为文件名,PDF格式文档为此模块评分唯一依
2022-05-09 10:44:11
603
原创 中职组网络安全教你如何正确的颁发证书
首先就是在我们比赛当中什么时候能见到我们颁发证书,那就是在我们的A模块里边,但是在A模块当中我们通常快速的改完配置文件提交上答案就Ok了,但是无法通过https访问的,下面是一个完整的颁发证书教程:首先将证书颁发出来,并进行导出:(不会导出证书的到网上搜教程上面一大些)随后将证书进行完成证书申请:点击这个:完成后变成这样:随后重新创建一个网站:这里点击继续浏览此网站:随后我们就可以用我们的ip
2022-05-08 20:09:00
511
2
原创 2021年江西省省赛sql注入题目,有环境。
首先这是江西省的赛题,我们来看一下赛题:首先第一道题目还是比较简单的要求使用工具扫描端口号:扫描出了不少的端口,但这道题目的答案不是80而后边的高端口Flag:8089这个可以挨个去试试:下一道题目就是要求访问界面随后爆破字段,将命令做为flag提交。我们首先先访问一下界面:发现该界面。首先题目要求我们进行sql注入,我们要知道一个东西,那就是传参,这个东西我们总么知道呢,其实这就是一个CMS 的渗透到网上去搜这个CMS
2022-05-04 20:37:11
1781
原创 2022年中职组网络安全国赛选拔赛赛题
首先在这里说明B模块的内容靶机都是有的购买专栏后私聊博主2022年业山东省技能大赛国赛选拔赛(中职组)网络安全竞赛试题(5)(总分100分) 赛题说明一、竞赛项目简介“网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。表
2022-05-04 20:30:50
821
原创 中职组网络安全国赛A模块靶机修改密码未16位及以上教程
首先今天的内容就是通过域来修改密码的最小长度,为什么要通过域来进行修改呢,因为要是通过密码策略来进行修改的话,只能限制在1到14这个阶段,所以我们国赛有的题目超过了1到14这个阶段,我们在A模块中就需要通过域来进行修改。例如:接下来我们开始演示:首先就是先来安装域:在运行中输入安装域的命令:回车之后就开始安装:这里我们开始安装了:这个地方选择新建域:这里起一个名字:随后开始安装了。这个地方选择是:
2022-05-02 16:08:06
2555
原创 网络安全p10内容sql注入教程
首先我们来看一下预备知识:任务实施:首先打开靶机:我们来注册一个账号:注册成功。查找到一个可以输入的地方,可能存在sql注入。报错说明存在sql注入。得出有11个字段。两种方法,首先第一种:获取网站管理员用户和密码。看到username和password等信息。第二种拿shell提权写入一句话木马:Select <?php @eval($_POST[a])
2022-05-02 16:05:35
169
原创 网络安全p10内容安装问题代码审计
首先我们看一下预备知识:任务实施:可以看到发现此文件后用header 跳转至index.php界面;防止用户重新安装系统。我们将其注释掉复现一下这个漏洞:打开burp配置好代理服务器。访问靶机:可以看到漏洞就在眼前了,可以将恶意代码进行写入到里面。将其转入到模块中。随后进行爆破密码:这里数据库已存在上文的描述一一应对。说明我们在添加库时就可以进行添加恶意代码。此处报错,可能还存
2022-05-02 15:57:58
137
原创 网络安全p10内容php代码以及危险函数
首先着一节介绍的php的函数看一下预备知识:解释eval函数:可以执行php代码首先介绍phpinfo()函数:首先我们写好一个一句话木马。我们执行php代码函数phpinfo可以看到出现了php的相关信息。获取当前web所在目录。由此可以看到网站的根目录是C:/AppServ/www/board/show.php通过这个信息可以得到ip地址。这里涉及到一个加固,到后面进行讲解。Php.ini:文件包含:还提到了一句话木
2022-05-02 15:53:15
1192
原创 网络安全p10内容文件包含漏洞
首先看一下预备知识:任务实施:首先配置代理服务器。访问靶机ip地址:万能用户。成功登录:点击服务器运行信息。抓包拦截:可以看到通过post传入后进行了包含文件。包含my.ini文件。可以配合data://协议等使用。...
2022-05-02 15:51:18
289
原创 网络安全p10内容命令注入
这一节主要讲了命令注入的内容命令行的注入。首先看一下预备知识:也就是说通过了一些危险函数,可以使用系统命令的漏洞就是命令执行。任务实施:首先看一下靶机:我们来注册一个账号,在登录界面可能存在sql注入漏洞。我们这里先不管,我们接着注册,注册完成后进行登录。可以看到显示到达服务器延迟,于是猜想服务器端是获取我们的ip地址,然后通过ping去平均值。我们查看一下源代码:解释:打开kali配置好代理服务器。找到网页进行抓包:
2022-05-02 15:50:14
171
原创 2022年中职组网络安全国赛A模块解析第二套
2022年全国职业院校技能大赛(中职组)网络安全竞赛试题(2)(总分100分) 赛题说明一、竞赛项目简介“网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。表1 竞赛时间安排与分值权重 模块编号 模块名.
2022-04-14 14:27:22
1310
原创 2022年中职组网络安全国赛A模块题目解析
2022年全国职业院校技能大赛(中职组)网络安全竞赛试题(1)(总分100分) 赛题说明一、竞赛项目简介“网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。表1 竞赛时间安排与分值权重 模块编号 模块名.
2022-04-13 21:08:41
9415
原创 网络安全中职组p10方面php审计方法与审计步骤
本节课主要讲解了php审计的方法与大体框架,首先我们审计代码的时候首先要做的是先看网站的根目录下有什么文件在进行下一步的判断:解释:分析网站:分析admin目录:分析完毕打开kali进行渗透:可以看到有留言等,这里就可能存在漏洞,如sql注入还有xss。从这里我们看到or被过滤掉了。我们找到文件进行分析:我们使用手法将其绕过:成功绕过。...
2022-04-07 07:27:10
240
原创 2022年中职组网络安全山东省省赛题库后门安装与渗透题目解析
B-2任务二:Rootkit后门的利用任务环境说明:●服务器场景:Server2(封闭靶机)●服务器场景操作系统:未知通过本地PC中渗透测试平台Kali对服务器场景进行系统服务及版本扫描11/25渗透测试,并将该操作显示结果中SSH服务版本信息字符串作为FLAG提交;2.通过本地PC中渗透测试平台Kali对服务器场景进行SSH暴力破解,将破解成功的密码作为FLAG提交;(用户名:root,字典文件/usr/share/wordlists/dirb/small.txt)3
2022-03-01 10:55:09
6892
原创 P003-PHP代码审计基础-审计方法与步骤-框架与结构
本节课主要讲解了php审计的方法与大体框架,首先我们审计代码的时候首先要做的是先看网站的根目录下有什么文件在进行下一步的判断:解释:分析网站:分析admin目录:分析完毕打开kali进行渗透:可以看到有留言等,这里就可能存在漏洞,如sql注入还有xss。从这里我们看到or被过滤掉了。我们找到文件进行分析:我们使用手法将其绕过:成功绕过。...
2022-03-01 10:41:48
4618
原创 2022年中职组网络安全数据库渗透题目
首先来大体看一下题目:第一道题目:要找到web的渗透界面:我们先不急,先用nmap扫描一下:发现有80端口,现在来访问一下网站:发现这个界面,题目做多了就会知道,这个界面出现说明后台目录是隐藏着的,我们这里给到了一个字典:利用这个字典我们可以来爆破出它的后台目录:可以看到爆破出来了两个目录:通过访问我们发现index2.php是一个可疑目录:提交成功。我们再来看一下第二道题目:要求查看数据库的名称,大
2022-02-20 16:52:25
4625
原创 2022年中职组网络安全C模块扫描存活靶机脚本(市赛,省赛,国赛)
大体的思路就是将扫描出存活的靶机存储在txt中。A B C D段都可以扫描,只需修改ip地址的相关内容即可。可以私聊博主进行购买,不过需要购买此专栏,碰到什么问题可以私聊博主。博主会给出相应的教程,以后会有更多的脚本在此专栏中。跑出的结果存在txt中,非常直观。接下来我们看一下脚本:首先就是说一下脚本的大体思路:大体思路当然要利用好kali中的扫描工具,不用白不用嘛。我自己在这里使用的工具是fping这个工具,这是一个p8中的工具,没想到今天用...
2022-02-19 18:43:50
6001
6
原创 2021年中职组网络安全山东省市赛mssql提权题目解析
综合渗透测试-使用SMB服务漏洞结合NTLM中继进行渗透测试首先我们来看一下环境:Ip获取失败:我们用nmap扫描靶机:看到这么多可以利用的端口,我们先来看一下80端口:没有获取到什么特别有用的信息。我们接着看一下smb服务:看到一个可疑的文件。我们接着来看一下这个文件:看到有一个这个文件xlsm,可能存在宏启动,下载下来:宏启动:简单的来说就是隐藏在xlsm文件中的一些代码:我们现在从文件中来找到宏启动:这时就可以
2022-02-19 11:39:38
1932
原创 中职组网络安全代码审计基础-PHP危险函数及特殊函数
首先就是phpinfo()这个函数,这个函数的主要作用就是查看网站上的各种信息:随后我们来进行访问网站:就看到网站上的各种信息。其中这两个函数的开启和文件包含漏洞有关:下一个危险函数就是eval()函数了这个函数的主要作用就是执行php函数,通常在写一句话木马的时候使用<?php@eval($_GET['cmd']);?>可以看到我们通过使用GET传参执行system函数成功执行命令。当然有时候网站肯定是将.
2022-01-07 10:20:50
2767
原创 tomcat(war后门绕过渗透)
首先第一道题目就是查看版本号的: 我们先用nmap扫一下有什么端口:题目提到tomcat那就是这两个端口最可疑了,我们先访问一下8080端口:版本号自然就出来了:第二道题目说找到其中利用的密码爆破模块:我们再msfconsole平台中搜索一下:找到一个爆破模块,我们提权看看正不正确:答案果然就是这个。下一道题目将账号密码做为flag提交:那我们就利用刚刚的模块来进行爆破,现在主要的是密码字典和账号字典。刚刚我们扫描端口时扫出了2
2022-01-05 10:08:05
3315
1
原创 中职组网络安全2021年江苏省系统漏洞利用与提权赛题
任务二:系统漏洞利用与提权 任务环境说明:服务器场景:PYsystem0033 服务器场景操作系统:Ubuntu 服务器场景用户名:未知 密码:未知使用nmap扫描靶机系统,将靶机开放的端口号按从小到大的顺序作为FLAG(形式:[端口1,端口2…,端口n])提交;(1分)首先第一道题目的思路就是使用nmap来进行扫描: Flag:[21,22,80]通过上述端口访问靶机系统,使用弱口令进行登录,将正确的用户名和密码作为FLAG(形式:[用户名,密码])提交;(1分)看到弱.
2021-12-29 13:56:01
2834
1
原创 bugku很基础的AWD答题思路
首先我们先来进行登录自己的靶机查看存在什么漏洞,其实在比赛当中靶机的漏洞都是一样的,所以一定要先去看自己的靶机:这是ip地址和端口号。密码和账号也会告诉你:现在我们来进行登录:登录成功,但是可以看到不是最高权限。但是也可以进行大体分析漏洞了。首先我们来看一下网站:这样的一个网站,随后我们先到网站中看一下有什么样的漏洞:首先我们就在include中发现一个一句话木马。我们来连接一下看能否使用:连接的时候发现是可以使用的。...
2021-12-24 11:35:26
3164
原创 中职组网络安全Wireshark抓包题目分析(环境在资源中下载)
使用Wireshark查看并分析PYsystem20191桌面下的capture3.pcap数据包文件,找出黑客登录被攻击服务器网站后台使用的账号密码,并将黑客使用的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交 admin,password继续分析数据包capture3.pcap,找出黑客攻击FTP服务器后获取到的三个文件,并将获取到的三个文件名称作为Flag值(提交时按照文件下载的时间的先后顺序排序,使用/分隔,例如:a/b/c)提交;...
2021-12-23 09:40:29
3555
3
原创 2021年山东省市赛B模块ssh密钥泄露
综合渗透测试-使用SSH私钥泄露提权获取主机权限首先这是一个市赛考到的题目,需要学习ssh密钥相关的知识点。首先我们看靶机:发现就存在这三个端口,我们访问一下80端口:发现就只是这个界面,使用dirb进行爆破也没有什么结果,于是我们从后门端口进行下手:使用nc连接发现给到这样的一串字符:说明这个端口和网站有关,将端口放在网站上进行爆破:经过爆破得到这么多目录随后我们首先访问一下robots.txt:经过访问没有发现什么可以的文件。我们接
2021-12-22 11:53:06
1003
原创 中职组网络安全D模块linux使用系统命令对后门进行查杀
首先这个木马的查杀可能再D模块中出现。首先我们进到环境配置完docker后,我们将木马程序开启:将其开启之后我们来寻找它的进程:发现了可疑的进程。我们使用kall将其进行杀死:发现杀死之后后面又进行了重启。我们再进行查看进程:发现并没有杀死,并且还换了一个pid。我们使用netstat -an查看一下可疑的端口:发现一个可疑的端口,且允许任何ip进行连接。我们接着使用lsof命令来查看一下端口所在的进程:发现进程pid为24981的进程
2021-12-22 11:43:57
1703
原创 私钥公钥讲解
首先来了解一下什么是公钥和私钥:公钥私钥的作用就是当在一个用户下生成一个ssh的公钥和私钥的时候,将公钥上传到对方ssh的服务器上就可以实现无密码进行连接。下面就进行演示一下无密码登录:首先我们在kali渗透机上生成一个公钥私钥:首先我们在centos上生成一个密钥:随后我们将私钥:考到kali上实现无密码连接:那我是总么知道用户名的呢,其实在公钥中就有设计到:还有可以能在密钥连接的时候出现权限问题,使用chmod进行赋权即可。.
2021-12-21 09:42:36
2675
网络安全中职组p10学习资料,购买后私聊博主。
2022-05-08
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人