第 46 届世界技能大赛浙江省选拔赛“网络安全“项目C模块任务书

第46届世界技能大赛浙江省选拔赛"网络安全"项目C模块

第一部分 WEB

任务清单（web1、web2、web3）
选手应熟悉：常见信息收集方法、信息泄露的利用、代码审计、命
令注入、SQL 注入、XSS 漏洞、SSRF 漏洞、CSRF 漏洞、越权、常见的 bypass、反序列化漏洞、文件包含、文件上传漏洞、任意文件下载等。

• 1.利用题目中存在的漏洞，并绕过过滤读取出 flag。
• 2.选手需要绕过题目限制，通过 sql 注入的方式获取数据库中的
• 3.选手绕过上传限制上传 webshell，并读取出 flag。

第二部分 CRYPTO

任务清单（CRYPTO1、CRYPTO2、CRYPTO3）
选手应熟悉： RSA、AES、DES 等现代密码的攻击方法，常见的古典密码破解、解密脚本编写等。；

• 1.根据题目的算法，编写脚本对算法进行攻击。
• 本题分三个关卡，均为古典密码，使用不同解密方法解密这三个关卡后，拼凑三次解密的明文即可获得 flag。
• 分析题目附件，编写脚本暴力破解 AES 加密，解密后删除标记字符，继续解密后的文件存为图片打开即可获得 flag。

第三部分 REVERSE

任务清单（REVERSE1、REVERSE2、REVERSE3、REVERSE4）
选手应熟悉：IDA 的使用、EXE 程序逆向、APK 逆向、python 逆向、go 逆向、算法分析、固件逆向、逆向算法、JAVA 逆向、脱壳
技术等。

• 1.通过 ida分析，逆向得出 flag。
• 2.通过反汇编可以得出源代码结构，逆向得出 flag。
• 3.通过分析，绕过反调试，理解程序逻辑获取 flag。
• 4.通过分析，编写脚本求解获取 flag。

第四部分 MISC

任务清单（MISC1、MISC2）
选手应熟悉：图片隐写、音频隐写、压缩包密码破解、流量分析、内存取证、MISC2、常见文件类型的文件头修改及修复、图片分离、
常见 base编码的解码等。

• 通过图片隐写相关技术，找出 flag。
• 了解 SQL盲注，通过分析流量包拼接出 flag。

第五部分 PWN

任务清单（PWN1、PWN2、PWN3）
选手应熟悉：栈溢出、堆溢、二进制文件分析、溢出代码编写、IDA分析、NC 的使用等。

• 使用 ida进行分析，绕过题目的限制输入 shellcode获取 flag；
• 利用栈溢出漏洞，得到服务器运行权限，获取 flag；
• 利用堆溢出漏洞，得到服务器运行权限，获取 flag；

1.3 竞赛说明
1）比赛电脑由主办方提供，并在赛前一个月给出样题及工具列表
2）参赛选手需根据任务难度，自行计划解答任务的顺序；
3）禁止携带任何资料参加比赛;
4）比赛过程中禁止使用手机;
5）禁止向任何人透露任何比赛材料或信息;
6）禁止攻击平台；
7）开始比赛前请认真阅读整个比赛脚本;