新疆维吾尔自治区第一届“丝路杯”网络安全大赛暨2026年新疆职业院校技能大赛网络安全赛项竞赛样题

新疆维吾尔自治区第一届“丝路杯”网络安全大赛暨2026年新疆职业院校技能大赛网络安全赛项竞赛样题

🤵‍♂️ 个人主页：@旺仔Sec的博客主页
WeChat公众号：鹏璃安全
✍🏻博主身份：网络安全兼技能大赛工程师
🐋 希望大家多多支持，我们一起进步！😄
如果文章对你有帮助的话， 欢迎评论 💬点赞👍🏻 收藏 📂加关注（各大技能大赛参考答案链接如下）
🖥️：软件测试技能大赛参考答案
🙌： 软件测试—单元自动化接口测试参考答案
👻：区块链技术应用技能大赛参考答案
🚀：大数据应用开发职业院校竞赛答案参阅
🔎：GZ100移动应用设计与开发参考答案
✍： GZ031应用软件系统开发参考答案
☠：网络安全职业技能大赛任务解析

一、CTF模块（60%）

任务1：PWN - Linux系统渗透测试

任务环境说明：

攻击机：

• 物理机：Windows
• 虚拟机1：Ubuntu Linux（工具：Python/Python3/GDB，用户名：r0ot，密码：123456）
• 虚拟机2：CentOS Linux（工具：GDB，用户名：r0ot，密码：123456）
• 虚拟机3：Windows（工具：OllyICB，用户名：administrator，密码：123456）

靶机：

• 服务器场景1：Windows Server（FTP服务账号：匿名）
• 服务器场景2：Linux Server

任务内容：

1. 从靶机服务器场景1的FTP服务中下载文件 ExploitLinux01.c，编辑该C程序源文件，填写其中空缺的 FLAG01 字符串，将该字符串通过 MD5 运算后返回的哈希值的十六进制结果作为 Flag 值提交（形式：十六进制字符串）。
2. 继续编辑该C程序文件，填写空缺的 FLAG02 字符串，MD5 哈希后提交。
3. 填写 FLAG03 字符串，MD5 哈希后提交。
4. 填写 FLAG04 字符串，MD5 哈希后提交。
5. 填写 FLAG05 字符串，MD5 哈希后提交。
6. 编译并运行该源文件，获取服务器场景2的 root 权限，读取根路径下 FLAG 文件内容，将其通过 MD5 哈希后提交。

任务2：Web安全测试 - 代码审计

任务环境说明：

攻击机：

同上

靶机：

• 服务器场景1：Windows Server（FTP匿名）
• 服务器场景2：WebSecServer（FTP匿名）

任务内容：

1. 使用浏览器访问网站，通过 Web 安全测试方法获取服务器场景2根路径下 flaginfo 文件中的完整字符串，MD5 哈希后提交。
2. 从FTP下载 websec01.php，编辑该PHP文件，使其能防护任务1中的渗透过程，填写 FLAG01，MD5 哈希后提交。
3. 继续编辑PHP文件，填写 FLAG02，MD5 哈希后提交。
4. 填写 FLAG03，MD5 哈希后提交。
5. 填写 FLAG04，MD5 哈希后提交。
6. 填写 FLAG05，MD5 哈希后提交。
7. 将编辑好的PHP文件上传至FTP目录，再次进行渗透测试，记录弹出的字符串，MD5 哈希后提交。

任务3：逆向工程 - Windows PE

任务环境说明：

同上

任务内容：

1. 从FTP下载 windows_pe_01 可执行文件与脚本，通过调试工具逆向分析，补充脚本中 FLAG01，MD5 哈希后提交。
2. 补充 FLAG02，MD5 哈希后提交。
3. 补充 FLAG03，MD5 哈希后提交。
4. 补充 FLAG04，MD5 哈希后提交。
5. 补充 FLAG05，MD5 哈希后提交。
6. 使用 Python 或 Ruby 执行脚本，获取靶机 root 权限，读取 FLAG 文件内容，MD5 哈希后提交。

任务4：PWN - Windows系统渗透测试

任务内容：

1. 从FTP下载脚本 windows_exploit_01，补充 FLAG01，MD5 哈希后提交。
2. 补充 FLAG02，MD5 哈希后提交。
3. 补充 FLAG03，MD5 哈希后提交。
4. 补充 FLAG04，MD5 哈希后提交。
5. 补充 FLAG05，MD5 哈希后提交。
6. 执行脚本，获取靶机权限，读取 FLAG 文件内容，MD5 哈希后提交。

任务5：逆向工程 - Linux ELF

任务内容：

1. 从FTP下载 linuxelf01 和 linuxelf01.c，逆向分析后补充C源码中 FLAG01，MD5 哈希后提交。
2. 补充 FLAG02，MD5 哈希后提交。
3. 补充 FLAG03，MD5 哈希后提交。
4. 补充 FLAG04，MD5 哈希后提交。
5. 补充 FLAG05，MD5 哈希后提交。
6. 编译并运行程序，获取 root 权限，读取 FLAG 文件内容，MD5 哈希后提交。

任务6：大数据与机器学习应用 - Web安全测试

任务内容：

1. 从FTP下载数据集 DS01、DS02 和脚本 WebSec01.py，完善脚本实现以下任务：
   • A：特征向量表示
   • B：训练异常检测模型
   • C：判断URL是否异常
     补充 FLAG01，MD5 哈希后提交。
2. 补充 FLAG02，MD5 哈希后提交。
3. 补充 FLAG03，MD5 哈希后提交。
4. 补充 FLAG04，MD5 哈希后提交。
5. 补充 FLAG05，MD5 哈希后提交。
6. 补充 FLAG06，MD5 哈希后提交。
7. 补充 FLAG07，MD5 哈希后提交。
8. 补充 FLAG08，MD5 哈希后提交。
9. 补充 FLAG09，MD5 哈希后提交。
10. 补充 FLAG10，MD5 哈希后提交。
11. 执行脚本，检测URL异常，返回结果字符串，MD5 哈希后提交。

二、AWD模块（40%）

假定各位选手是某企业的信息安全工程师，负责服务器的维护，该服务器可能存在着各种问题和漏洞（见以下漏洞列表）。你需要尽快对服务器进行加固，十五分钟之后将会有很多的白帽黑客（其它参赛队选手）对这台服务器进行渗透测试。

提示1：该题不需要保存文档；
提示2：服务器中的漏洞可能是常规漏洞也可能是系统漏洞；
提示3：加固常规漏洞；
提示4：对其它参赛队系统进行渗透测试，取得FLAG值并提交到裁判服务器。

注意事项：

注意1：任何时候不能人为关闭服务器的服务端口80、5555，否则将判令停止比赛，第二阶段分数为0分；
注意2：不能对裁判服务器进行攻击，否则将判令停止比赛，第三阶段分数为0分；
注意3：在加固阶段（前十五分钟，具体听现场裁判指令）不得对任何服务器进行攻击，否则将判令攻击者停止比赛，第二阶段分数为0分；
注意4：FLAG值为每台受保护服务器的唯一性标识，每台受保护服务器仅有一个。靶机的FLAG值存放在/root/flaginfoxxxx.xxx.txt文件内容当中。每提交1次对手靶机的FLAG值增加1分，每当被对手提交1次自身靶机的FLAG值扣除1分，每个对手靶机的FLAG值只能被自己提交一次。在登录自动评分系统后，提交对手靶机的FLAG值，同时需要指定对手靶机的IP地址。
注意5：不得人为恶意破坏自己服务器的FLAG值，否则将判令停止比赛，第二阶段分数为0分；

在这个环节里，各位选手可以继续加固自身的服务器，也可以攻击其他选手的服务器。

漏洞列表：

1. 靶机上的网站可能存在命令注入的漏洞，要求选手找到命令注入的相关漏洞，利用此漏洞获取一定权限。
2. 靶机上的网站可能存在文件上传漏洞，要求选手找到文件上传的相关漏洞，利用此漏洞获取一定权限。
3. 靶机上的网站可能存在文件包含漏洞，要求选手找到文件包含的相关漏洞，与别的漏洞相结合获取一定权限。
4. 操作系统提供的服务可能包含了远程代码执行的漏洞，要求用户找到远程代码执行的服务，并利用此漏洞获取系统权限。
5. 操作系统中可能存在一些系统后门，选手可以找到此后门，并利用预留的后门直接获取到系统权限。

选手通过以上的所有漏洞点，最后得到其他选手靶机的最高权限，并获取到其他选手靶机上的FLAG值进行提交。