2022029網(wǎng)絡(luò)安全競(jìng)賽試題31日試題

2022年全國(guó)職業(yè)院校技能大賽（中職組）

網(wǎng)絡(luò)安全競(jìng)賽試題

CD模塊

2022年7月31日用

（總分40分）

賽題說(shuō)明

一、競(jìng)賽項(xiàng)目簡(jiǎn)介

“網(wǎng)絡(luò)安全”競(jìng)賽共分A.基礎(chǔ)設(shè)施設(shè)置與安全加固；B.網(wǎng)絡(luò)安

全事件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用安全；C.CTF奪旗-攻擊；D.CTF

奪旗-防御等四個(gè)模塊。根據(jù)比賽實(shí)際情況，競(jìng)賽賽場(chǎng)實(shí)際使用賽題

參數(shù)、表述及環(huán)境可能有適當(dāng)修改，具體情況以實(shí)際比賽發(fā)放賽題

為準(zhǔn)。競(jìng)賽時(shí)間安排和分值權(quán)重見(jiàn)表1。

表1競(jìng)賽時(shí)間安排與分值權(quán)重

模

塊競(jìng)賽時(shí)間

模塊名稱(chēng)權(quán)值

編（小時(shí)）

號(hào)

A基礎(chǔ)設(shè)施設(shè)置與安全加固20%

4

B網(wǎng)絡(luò)安全事件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用安全40%

CCTF奪旗-攻擊20%

3

DCTF奪旗-防御20%

總計(jì)7100%

二、競(jìng)賽注意事項(xiàng)

1/6

1.比賽期間禁止攜帶和使用移動(dòng)存儲(chǔ)設(shè)備、計(jì)算器、通信工具

及參考資料。

2.請(qǐng)根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設(shè)備、軟件

清單、材料清單是否齊全，計(jì)算機(jī)設(shè)備是否能正常使用。

3.在進(jìn)行任何操作之前，請(qǐng)閱讀每個(gè)部分的所有任務(wù)。各任務(wù)

之間可能存在一定關(guān)聯(lián)。

4.操作過(guò)程中需要及時(shí)按照答題要求保存相關(guān)結(jié)果。比賽結(jié)束

后，所有設(shè)備保持運(yùn)行狀態(tài)，評(píng)判以最后提交的成果為最終依據(jù)。

5.比賽完成后，比賽設(shè)備、軟件和賽題請(qǐng)保留在座位上，禁止

將比賽所用的所有物品（包括試卷等）帶離賽場(chǎng)。

6.禁止在提交資料上填寫(xiě)與競(jìng)賽無(wú)關(guān)的標(biāo)記，如違反規(guī)定，可

視為0分。

模塊CCTF奪旗-攻擊

（本模塊20分）

一、項(xiàng)目和任務(wù)描述：

假定你是某企業(yè)的網(wǎng)絡(luò)安全滲透測(cè)試工程師，負(fù)責(zé)企業(yè)某些服

務(wù)器的安全防護(hù)，為了更好的尋找企業(yè)網(wǎng)絡(luò)中可能存在的各種問(wèn)題

和漏洞。你嘗試?yán)酶鞣N攻擊手段，攻擊特定靶機(jī)，以便了解最新

的攻擊手段和技術(shù)，了解網(wǎng)絡(luò)黑客的心態(tài)，從而改善您的防御策

略。

請(qǐng)根據(jù)《賽場(chǎng)參數(shù)表》提供的信息，在客戶(hù)端使用谷歌瀏覽器

登錄攻擊機(jī)。

2/6

二、操作系統(tǒng)環(huán)境說(shuō)明：

客戶(hù)機(jī)操作系統(tǒng)：Windows10

攻擊機(jī)操作系統(tǒng)：KaliLinux2019版

靶機(jī)服務(wù)器操作系統(tǒng)：Linux/Windows

三、漏洞情況說(shuō)明：

1.服務(wù)器中的漏洞可能是常規(guī)漏洞也可能是系統(tǒng)漏洞；

2.靶機(jī)服務(wù)器上的網(wǎng)站可能存在命令注入的漏洞，要求選手找

到命令注入的相關(guān)漏洞，利用此漏洞獲取一定權(quán)限;

3.靶機(jī)服務(wù)器上的網(wǎng)站可能存在文件上傳漏洞，要求選手找到

文件上傳的相關(guān)漏洞，利用此漏洞獲取一定權(quán)限;

4.靶機(jī)服務(wù)器上的網(wǎng)站可能存在文件包含漏洞，要求選手找到

文件包含的相關(guān)漏洞，與別的漏洞相結(jié)合獲取一定權(quán)限并進(jìn)行提權(quán);

5.操作系統(tǒng)提供的服務(wù)可能包含了遠(yuǎn)程代碼執(zhí)行的漏洞，要求

用戶(hù)找到遠(yuǎn)程代碼執(zhí)行的服務(wù)，并利用此漏洞獲取系統(tǒng)權(quán)限;

6.操作系統(tǒng)提供的服務(wù)可能包含了緩沖區(qū)溢出漏洞，要求用戶(hù)

找到緩沖區(qū)溢出漏洞的服務(wù)，并利用此漏洞獲取系統(tǒng)權(quán)限;

7.操作系統(tǒng)中可能存在一些系統(tǒng)后門(mén)，選手可以找到此后門(mén)，

并利用預(yù)留的后門(mén)直接獲取到系統(tǒng)權(quán)限。

四、注意事項(xiàng)：

1.不能對(duì)裁判服務(wù)器進(jìn)行攻擊，警告一次后若繼續(xù)攻擊將判令

該參賽隊(duì)離場(chǎng)；

2.Flag值為每臺(tái)靶機(jī)服務(wù)器的唯一性標(biāo)識(shí)，每臺(tái)靶機(jī)服務(wù)器僅

3/6

有1個(gè)；

3.選手攻入靶機(jī)后不得對(duì)靶機(jī)進(jìn)行關(guān)閉端口、修改密碼、重啟

或者關(guān)閉靶機(jī)、刪除或者修改Flag、建立不必要的文件等操作；

4.在登錄自動(dòng)評(píng)分系統(tǒng)后，提交靶機(jī)服務(wù)器的Flag值，同時(shí)需

要指定靶機(jī)服務(wù)器的IP地址；

5.賽場(chǎng)根據(jù)難度不同設(shè)有不同基礎(chǔ)分值的靶機(jī)，對(duì)于每個(gè)靶機(jī)

服務(wù)器，前三個(gè)獲得Flag值的參賽隊(duì)在基礎(chǔ)分上進(jìn)行加分，本階段

每個(gè)隊(duì)伍的總分均計(jì)入階段得分，具體加分規(guī)則參照賽場(chǎng)評(píng)分標(biāo)

準(zhǔn)；

6.本環(huán)節(jié)不予補(bǔ)時(shí)。

模塊DCTF奪旗-防御

（本模塊20分）

一、項(xiàng)目和任務(wù)描述：

假定各位選手是某安全企業(yè)的網(wǎng)絡(luò)安全工程師，負(fù)責(zé)若干服務(wù)

器的滲透測(cè)試與安全防護(hù)，這些服務(wù)器可能存在著各種問(wèn)題和漏

洞。你需要盡快對(duì)這些服務(wù)器進(jìn)行滲透測(cè)試與安全防護(hù)。每個(gè)參賽

隊(duì)擁有專(zhuān)屬的堡壘機(jī)服務(wù)器，其他隊(duì)不能訪問(wèn)。參賽選手通過(guò)掃

描、滲透測(cè)試等手段檢測(cè)自己堡壘服務(wù)器中存在的安全缺陷，進(jìn)行

針對(duì)性加固，從而提升系統(tǒng)的安全防御性能。

每位選手按照發(fā)現(xiàn)需要加固點(diǎn)、實(shí)施加固和檢驗(yàn)加固成效等步

4/6

驟實(shí)施系統(tǒng)防御。完成防護(hù)工作后，每隊(duì)選手需要按照實(shí)施步驟必

要文字說(shuō)明配以關(guān)鍵過(guò)程或者關(guān)鍵操作結(jié)果截圖的形式，自行制作

系統(tǒng)防御實(shí)施報(bào)告。實(shí)施報(bào)告以word文檔的形式書(shū)寫(xiě),以PDF格式

保存，以“賽位號(hào)+模塊D”作為文件名，PDF格式文檔為此模塊評(píng)

分唯一依據(jù)。

請(qǐng)根據(jù)《賽場(chǎng)參數(shù)表》提供的信息，在客戶(hù)端使用谷歌瀏覽器

登錄需要加固的堡壘服務(wù)器。

二、操作系統(tǒng)環(huán)境說(shuō)明：

客戶(hù)機(jī)操作系統(tǒng)：Windows10

攻擊機(jī)操作系統(tǒng)：KaliLinux2019版

堡壘服務(wù)器操作系統(tǒng)：Linux/Windows

三、漏洞情況說(shuō)明：

1.堡壘服務(wù)器中的漏洞可能是常規(guī)漏洞也可能是系統(tǒng)漏洞；

2.堡壘服務(wù)器上的網(wǎng)站可能存在命令注入的漏洞，要求選手找

到命令注入的相關(guān)漏洞，利用此漏洞獲取一定權(quán)限;

3.堡壘服務(wù)器上的網(wǎng)站可能存在文件上傳漏洞，要求選手找到

文件上傳的相關(guān)漏洞，利用此漏洞獲取一定權(quán)限;

4.堡壘服務(wù)器上的網(wǎng)站可能存在文件包含漏洞，要求選手找到

文件包含的相關(guān)漏洞，與別的漏洞相結(jié)合獲取一定權(quán)限并進(jìn)行提權(quán);

5.操作系統(tǒng)提供的服務(wù)可能包含了遠(yuǎn)程代碼執(zhí)行的漏洞，要求

用戶(hù)找到遠(yuǎn)程代碼執(zhí)行的服務(wù)，并利用此漏洞獲取系統(tǒng)權(quán)限;

6.操作系統(tǒng)提供的服務(wù)可能包含了緩沖區(qū)溢出漏洞，要求用戶(hù)

5/6

找到緩沖區(qū)溢出漏洞的服務(wù)，并利用此漏洞獲取系統(tǒng)權(quán)限;

7.操作系統(tǒng)中可能存在一些系統(tǒng)后門(mén)，選手可以找到此后門(mén)，

并利用預(yù)留的后門(mén)直接獲取到系統(tǒng)權(quán)限。

四、注意事項(xiàng)：

1.系統(tǒng)加固時(shí)需要保證堡壘服務(wù)器對(duì)外提供服務(wù)的可用性；

2.不能對(duì)裁判服務(wù)器進(jìn)行攻擊，警告一次后若繼續(xù)攻擊將判令

該參賽隊(duì)離場(chǎng)；

3.本環(huán)節(jié)不予補(bǔ)時(shí)。

6/6

2022年全國(guó)職業(yè)院校技能大賽（中職組）

網(wǎng)絡(luò)安全競(jìng)賽試題

CD模塊

2022年7月31日用

（總分40分）

賽題說(shuō)明

一、競(jìng)賽項(xiàng)目簡(jiǎn)介

“網(wǎng)絡(luò)安全”競(jìng)賽共分A.基礎(chǔ)設(shè)施設(shè)置與安全加固；B.網(wǎng)絡(luò)安

全事件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用安全；C.CTF奪旗-攻擊；D.CTF

奪旗-防御等四個(gè)模塊。根據(jù)比賽實(shí)際情況，競(jìng)賽賽場(chǎng)實(shí)際使用賽題

參數(shù)、表述及環(huán)境可能有適當(dāng)修改，具體情況以實(shí)際比賽發(fā)放賽題

為準(zhǔn)。競(jìng)賽時(shí)間安排和分值權(quán)重見(jiàn)表1。

表1競(jìng)賽時(shí)間安排與分值權(quán)重

模

塊競(jìng)賽時(shí)間

模塊名稱(chēng)權(quán)值

編（小時(shí)）

號(hào)

A基礎(chǔ)設(shè)施設(shè)置與安全加固20%

4

B網(wǎng)絡(luò)安全事件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用安全40%

CCTF奪旗-攻擊20%

3

DCTF奪旗-防御20%

總計(jì)7100%

二、競(jìng)賽注意事項(xiàng)

1/6

1.比賽期間禁止攜帶和使用移動(dòng)存儲(chǔ)設(shè)備、計(jì)算器、通信工具

及參考資料。

2.請(qǐng)根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設(shè)備、軟件

清單、材料清單是否齊全，計(jì)算機(jī)設(shè)備是否能正常使用。

3.在進(jìn)行任何操作之前，請(qǐng)閱讀每個(gè)部分的所有任務(wù)。各任務(wù)

之間可能存在一定關(guān)聯(lián)。

4.操作過(guò)程中需要及時(shí)按照答題要求保存相關(guān)結(jié)果。比賽結(jié)束

后，所有設(shè)備保持運(yùn)行狀態(tài)，評(píng)判以最后提交的成果為最終依據(jù)。

5.比賽完成后，比賽設(shè)備、軟件和賽題請(qǐng)保留在座位上，禁止

將比賽所用的所有物品（包括試卷等）帶離賽場(chǎng)。

6.禁止在提交資料上填寫(xiě)與競(jìng)賽無(wú)關(guān)的標(biāo)記，如違反規(guī)定，可

視為0分。

模塊CCTF奪旗-攻擊

（本模塊20分）

一、項(xiàng)目和任務(wù)描述：

假定你是某企業(yè)的網(wǎng)絡(luò)安全滲透測(cè)試工程師，負(fù)責(zé)企業(yè)某些服

務(wù)器的安全防護(hù)，為了更好的尋找企業(yè)網(wǎng)絡(luò)中可能存在的各種問(wèn)題

和漏洞。你嘗試?yán)酶鞣N攻擊手段，攻擊特定靶機(jī)，以便了解最新

的攻擊手段和技術(shù)，了解網(wǎng)絡(luò)黑客的心態(tài)，從而改善您的防御策

略。

請(qǐng)根據(jù)《賽場(chǎng)參數(shù)表》提供的信息，在客戶(hù)端使用谷歌瀏覽器

登錄攻擊機(jī)。

2/6

二、操作系統(tǒng)環(huán)境說(shuō)明：

客戶(hù)機(jī)操作系