2023年江西省职业院校技能大赛高职组 "信息安全管理与评估 "竞赛任务书--第三阶段竞赛项目试题

在 A 集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请利用你所掌握的渗透测试技术，通过信息收集、漏洞挖掘等渗透测试技术， 完成指定项目的渗透测试，在测试中获取 flag 值。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
信息收集
逆向文件分析
二进制漏洞利用
应用服务漏洞利用
杂项与密码学分析
所有设备和服务器的 IP 地址请查看竞赛平台提供的设备列表。

一、Web服务器

任务环境说明：
靶机：
服务器场景1：linux（WEB服务器）
任务内容：
1.系统页面中存在隐藏信息，请找出隐藏信息，并将Flag值提交；
2.系统首页图片存在隐藏信息，请找出隐藏信息，并将Flag值提交；
3.设法找到登陆网站后台地址，将可用的帐号作为FLAG值提交；
4.系统后台存在漏洞，请利用漏洞并找到 flag，并将flag提交；
5.根据找到的提示将主目录下flag文件的内容作为flag提交；

二、数据库服务器

任务环境说明：
靶机：
服务器场景1：linux（数据库服务器）
1.使用nmap扫描目标数据库服务器，将目标服务器使用的数据库版本号作为flag提交；
2.利用普通用户 对目标数据库服务器进行爆破，将该普通用户的密码作为flag提交；
3.利用普通用户对目标数据库服务器进行渗透，将具有管理员权限的用户名作为flag提交；
4.设法解密或提权该数据库用户，获得数据库服务器中/root/flag.txt文件，将该文件内容作为flag提交；

三、FTP服务器

任务环境说明：
靶机：
服务器场景1：linux（FTP服务器）
任务内容：
1.请获取 FTP 服务器上对应的F1文件进行分析，找出其中隐藏的flag，并将 flag 提交。
2.请获取 FTP 服务器上对应的F2文件进行分析，找出其中隐藏的flag，并将 flag 提交。
3.请获取 FTP 服务器上对应的F3文件进行分析，找出其中隐藏的flag，并将 flag 提交。
4.请获取 FTP 服务器上对应的F4文件进行分析，找出其中隐藏的flag，并将 flag 提交。
5.请获取 FTP 服务器上对应的F5文件进行分析，找出其中隐藏的flag，并将 flag 提交。

四、加密服务器

任务环境说明：
靶机：
服务器场景1：LINUX（版本不详）
1.通过本地PC中渗透测试平台对服务器场景进行渗透测试，在/root目录下执行./crackme 将显示的第一行字符串通过MD5 运算后返回哈希值的十六进制结果作为Flag 值提交（形式：十六进制字符串）；
2.设法获得crackme进行逆向分析，将程序crc32校验码通过MD5 运算后返回哈希值的十六进制结果作为Flag 值提交（形式：十六进制字符串）；
3.继续分析crackme，将找到的密文通过MD5 运算后返回哈希值的十六进制结果作为Flag 值提交（形式：十六进制字符串）；
4.继续分析crackme，将找到的密钥通过MD5 运算后返回哈希值的十六进制结果作为Flag 值提交（形式：十六进制字符串）；
5.继续分析crackme，将密文解密后的明文通过MD5 运算后返回哈希值的十六进制结果作为Flag 值提交（形式：十六进制字符串）；