全国职业院校技能大赛中职组网络安全竞赛—[中科磐云](总结经验分享)
创始人
2024-04-29 00:07:24
0

全国职业院校技能大赛中职组网络安全竞赛—[中科磐云](总结经验分享)

通过本项目竞赛,使中职学生能熟练运用网络信息安全技术对网络、操作系统、应用、服务器等目标进行信息和数据安全防护与渗透,具有分析、处理现场安全问题的能力,促进学生团队协作实践能力,引导中等职业学校关注网络安全技术发展趋势和产业应用方向,促进专业建设与教学改革;推进中职学校与相关企业的合作,更好地实现工学结合的人才培养模式,为网络信息安全行业培养高素质的技能型人才。————————————————在规定时间内,参赛团队完成网络连通、网络系统安全策略部署、网络安全运维、系统渗透与对抗等

比赛简介

网络空间安全项目,全称是全国职业院校技能大赛中职组网络空间安全赛项,是于2017年才第一次举行的新兴项目,所以至今为止也只举办了5年。

比赛涉及到的知识点繁多复杂,相比起同类的其他几个比赛

(WEB前端开发、网络搭建与应用)

单一的知识点,网络安全所需掌握的知识是庞大的,深入的,同时该赛项的模式在近年发生了改革,所以下面会列出改革前和改革后的比赛流程和所需的知识体系,并做一个对比.

该项比赛设备的承包商是北京中科磐云,所以在之后的演示我都会以磐云的设备为例进行演示

改革前比赛流程

提一嘴,改革的顺序是国赛–>省赛,所以部分地区的改革时间跟我写的不一样,这里以我的为标准,我所在省份是2021年进行了改革

改革前(以武汉拉练赛为例)

整个比赛分为三个阶段

  1. 第一阶段
    就是单兵闯关,每个队伍之间不能互通,根据题目与自己队伍的靶机进行交互,渗透,并得到答案进行提交得分。
    题目由磐云B7、B8设备下发,选手连接到本队伍所分配到的平台ip地址(如172.16.101.254)获取题目并进行作答。

该阶段所有考到的点如下所示:

  • 操作系统渗透技术

  • Web渗透技术

  • python基础及模块掌握

  • Wireshark数据包分析

  • 常用渗透工具使用

这里假设读者有Linux操作系统基础和Kali系统的基础知识,如果没有的话,建议先把这两点学会。

由于这点过于基础,本文不会进行说明

备战阶段

第一阶段完毕后休息用的时间,可以呼吸下空气,上厕所什么的。不过还有更重要的用途就是提前准备第二阶段的攻防脚本,这点会在后文中详细说明

第二阶段

是分组混战阶段,每个队伍都会获得自己的靶机IP,通常有两台靶机(可能是windows也可能是linux),选手需要在给定的时间(如15分钟)内渗透进入并加固自己的靶机,在达到改时间前,每个队伍的网络是不通的,也就是无法攻击别人的靶机。

15分钟后网络开通,此时各个队伍可以开始进行攻击,取到别的队伍机子上的(flag)并提交加分,也可以关闭别人的机子使得别人扣分。这个时候仍然可以对自己的靶机进行加固

总的来说类似于AWD,就是时间很紧迫

该阶段所有考到的点如下所示:

  • 各种渗透技术(参考第一阶段)

  • 系统漏洞加固能力

  • web漏洞加固能力

  • 防御脚本编写

  • 批量攻击脚本编写

因为在攻击别队靶机的同时需要加固自己的靶机,所以本阶段对加固的技术也有要求,但是顺带一提不限加固方式!!! 只要你的靶机服务还存在,就不会扣分。如果服务down了甚至机子被关了,会因为检测机制而一直扣分

然后脚本也是该阶段最独特的点了,因为一次比赛有数十只队伍,攻击时如果一个一个的打基本没有胜算,所以需要脚本来帮我们做事。脚本的原理也很简单,实际上就是批量运用漏洞而已,比如MS17或者普通的webshell

防御脚本就是快捷的加固罢了,通常15分钟加固两个靶机可能会不太够,因此可以在备战阶段提前准备下这个脚本。防御脚本的内容也就是一些系统命令或者改一些配置文件的配置项,如一句话删除除root外的所有用户,或将mysql的root用户设置为只可本地登录

改革后比赛流程

同样以真题为例,这里用的是2021国赛题目

相比起改革前,阶段变成了模块,而且有了4个

A模块

在给定的靶机(通常是windows和linux两个)中进行操作,要求通常是系统常规的加固,如配置密码策略,更改配置文件的配置项等。知识点如下

  • 两个系统的基础使用

  • 系统自带/常用服务的配置

  • 部分windows常用的注册表

  • Linux用户密码策略的配置

  • web三件套的配置及命令(apahce/nginx,PHP,mysql)

  • 两个系统的防火墙操作

A模块的题目到目前为止都不难,而且网上有很多相关的博客,可以说是送分。

B模块

跟改革前的一阶段一模一样,这里不再赘述

不同之处就是他和A模块是一起考的,共用时间,因此时间分配上需要有所注意

除此以外就是每次比赛比的题目、难度不一样罢了

C模块

跟改革前的二阶段类似,是混战,但整体发生了变化

  1. 不需加固,故没有加固时间,一到点直接开放网络可以互相攻击

  1. 靶机池IP分布发生变化,选手的网段不再有靶机

  1. 一血机制,先提交得分更多

但需要的知识点跟二阶段是一样的,都是编写脚本和批量的能力,不过C模块对速度的要求更进一步,所以如何编写脚本使速度更快又是一个要点

D模块

给定数台靶机,该靶机不能被别的队伍所访问到,选手需要做的是发现这些靶机上所有的漏洞并编写加固文档,最后评分以文档编写作标准。知识点如下

  • 漏洞发现能力

  • 系统/服务漏洞的加固方法

  • 文档编写/处理能力

基本上漏洞数在10个以内,以10个为例编写时间可能在30-50分钟,打字慢或对编写文档不熟悉者消耗时间更多,所以需要频繁练习以提升速度。

注:文档用的是 word文档

以上,由于至今仍有部分地区的市赛或省赛没有改革,所以读者可根据自身的情况进行分析,辨明需要掌握的重点知识点有哪些。

相关内容

热门资讯

安卓双系统添加应用,轻松实现多... 你有没有想过,你的安卓手机里可以同时运行两个系统呢?听起来是不是很酷?想象一边是熟悉的安卓系统,一边...
pipo安卓进系统慢,探究pi... 最近是不是发现你的Pipo安卓系统更新或者运行起来特别慢?别急,今天就来给你好好分析分析这个问题,让...
怎样使用安卓手机系统,安卓手机... 你有没有发现,安卓手机已经成为我们生活中不可或缺的一部分呢?从早晨闹钟响起,到晚上睡前刷剧,安卓手机...
双系统安卓安装caj,轻松实现... 你有没有想过,你的安卓手机里装上双系统,是不是就能同时享受安卓和Windows系统的乐趣呢?没错,这...
安卓使用ios系统教程,安卓用... 你是不是也和我一样,对安卓手机上的iOS系统充满了好奇?想要体验一下苹果的优雅和流畅?别急,今天我就...
安卓系统gps快速定位,畅享便... 你有没有遇到过这样的情况:手机里装了各种地图导航软件,但每次出门前都要等上好几分钟才能定位成功,急得...
安卓手机系统更新原理,原理与流... 你有没有发现,你的安卓手机最近是不是总在提醒你更新系统呢?别急,别急,让我来给你揭秘一下安卓手机系统...
安卓系统通知管理,全面解析与优... 你有没有发现,手机里的通知就像是一群调皮的小精灵,时不时地跳出来和你互动?没错,说的就是安卓系统的通...
安卓系统手机哪买,揭秘哪里购买... 你有没有想过,拥有一部安卓系统手机是多么酷的事情呢?想象你可以自由安装各种应用,不受限制地探索各种功...
安卓系统 ipv4,基于安卓系... 你知道吗?在智能手机的世界里,有一个系统可是无人不知、无人不晓,那就是安卓系统。而在这个庞大的安卓家...
目前安卓是什么系统,探索安卓系... 亲爱的读者,你是否曾好奇过,如今安卓系统究竟是什么模样?在这个科技飞速发展的时代,操作系统如同人体的...
安卓6.0系统比5.0,从5.... 你有没有发现,自从手机更新了安卓6.0系统,感觉整个人都清爽了不少呢?没错,今天咱们就来聊聊这个话题...
安卓2.36系统升级,功能革新... 你知道吗?最近安卓系统又来了一次大变身,那就是安卓2.36系统升级!这可不是一个小打小闹的更新,而是...
安卓系统源码怎么打开,并可能需... 你有没有想过,安卓系统的源码就像是一扇神秘的门,隐藏着无数的技术秘密?想要打开这扇门,你得掌握一些小...
安卓8.0系统体验视频,智能革... 你有没有听说安卓8.0系统最近可是火得一塌糊涂啊!作为一个紧跟科技潮流的数码达人,我当然要来给你好好...
宣传系统漫画app安卓,探索安... 亲爱的读者们,你是否曾在某个午后,百无聊赖地打开手机,想要寻找一些轻松愉悦的读物?今天,我要给你介绍...
鸿蒙替换安卓系统吗,开启智能生... 你知道吗?最近科技圈里可是炸开了锅,因为华为的新操作系统鸿蒙系统,据说要大举进军手机市场,替换掉安卓...
手机安卓系统深度清理,解锁手机... 手机里的东西是不是越来越多,感觉就像一个装满了杂物的储物柜?别急,今天就来教你一招——手机安卓系统深...
安卓上的windows系统,融... 你有没有想过,在安卓手机上也能体验到Windows系统的魅力呢?没错,这就是今天我要跟你分享的神奇故...
安卓系统焦点变化事件,Andr... 你知道吗?在安卓系统的世界里,最近发生了一件超级有趣的事情——焦点变化事件。这可不是什么小打小闹,它...