2021 年全国职业院校技能大赛高职组“信息安全管理与评估”赛项 A 卷 第三阶段任务书

一、赛项第三阶段时间90 分钟。

三、提示与注意事项
假定各位选手是某企业的信息安全工程师，负责服务器的维护，
该服务器可能存在着各种问题和漏洞（见以下漏洞列表）。你需要尽
快对服务器进行加固，30 分钟之后将会有很多白帽黑客（其它参赛
队选手）对这台服务器进行渗透测试。
提示 1：该题不需要保存文档；
提示 2：服务器中的漏洞可能是常规漏洞也可能是系统漏洞；
提示 3：加固常规漏洞；
提示 4：对其它参赛队系统进行渗透测试，取得 FLAG 值并提交到
平台。
注意事项：
注意 1：禁止攻击攻防竞技平台和网络连接设备；
 网络设备已配置安全策略，WAF 已配置安全监控，同时开启日
志记录和告警功能；
 对网络设备和竞技平台的扫描或渗透都会被记录和告警；
 对网络设备和竞技平台的扫描或渗透行为一经发现，安全策略
会阻断流量，上报裁判长按规程处理；
注意 2：在加固阶段（前 30 分钟，具体听现场裁判指令）不得对
任何服务器进行攻击；
注意 3：FLAG 值为每台受保护服务器的唯一性标识，每台受保护
服务器仅有一个。靶机的 Flag 值存放
在./root/flaginfoxxxx.xxx.txt 文件内容当中。基础分 80 分，每
提交 1 次对手靶机的 Flag 值增加 6 分，每当被对手提交 1 次自身靶
机的 Flag 值扣除 6 分，每个对手靶机的 Flag 值只能被自己提交一次，
本阶段最高得分 250 分，最低得分 0 分。在登录自动评分系统后，提
交对手靶机的 Flag 值，同时需要指定对手靶机的 IP 地址。
在这个环节里，各位选手可以继续加固自身的服务器，也可以攻
击其他选手的服务器。
四、漏洞列表
1.靶机上的网站可能存在命令注入的漏洞，要求选手找到命令注
入的相关漏洞，利用此漏洞获取一定权限。
2.靶机上的网站可能存在文件上传漏洞，要求选手找到文件上传
的相关漏洞，利用此漏洞获取一定权限
3.靶机上的网站可能存在文件包含漏洞，要求选手找到文件包含
的相关漏洞，与别的漏洞相结合获取一定权限
4.操作系统提供的服务可能包含了远程代码执行的漏洞，要求用
户找到远程代码执行的服务，并利用此漏洞获取系统权限。
5.操作系统中可能存在一些系统后门，选手可以找到此后门，并
利用预留的后门直接获取到系统权限。
选手通过以上的所有漏洞点，最后得到其他选手靶机的最高权限，
并获取到其他选手靶机上的 FLAG 值进行提交。