网络安全|2021年江苏省职业院校技能大赛中职网络信息安全赛项试卷

任务三:代码审计

  • 在渗透机Kali Linux中访问靶机服务器Web页面,注册账号并登陆,找到存在XSS执行漏洞的页面,将该页面中存在XSS执行漏洞的对象名作为FLAG提交;(2分)
  • 构造Cookie反弹JS脚本,将该JS代码中使用的对象及方法作为FLAG(形式:对象.方法)进行提交;(2分)
  • 在渗透机Kali Linux中重启Web服务,将重启使用的命令作为FLAG进行提交;(2分)
  • 在靶机服务器中利用原有的XSS漏洞调用上述JS脚本,在渗透机Kali Linux中开启3333端口监听,将开启端口监听使用的命令作为FLAG提交;(2分)
  • 在渗透机Kali Linux中开启3333端口监听,将开启端口监听后接收回应的第一行的第一个单词作为FLAG提交;(2分)
  • 在渗透机Kali Linux中开启3333端口监听,将开启端口监听后接收回应的第五行的最后一个单词作为FLAG提交。(2分)
第一题在页面中存在xss执行漏洞的对象
网络安全|2021年江苏省职业院校技能大赛中职网络信息安全赛项试卷
文章图片



Flag:name
第二题:构造cookie脚本
document.write('网络安全|2021年江苏省职业院校技能大赛中职网络信息安全赛项试卷
文章图片
')

js代码中使用的对象和方法
Flag:document.write
第三题重启web服务
Flag:service apache2 restart
第四题 开启端口监听使用的命令作为flag提交
Flag:nc -l -p
第五题 监听后接收回应的第一行的第一个单词

网络安全|2021年江苏省职业院校技能大赛中职网络信息安全赛项试卷
文章图片

Flag:GET
第六 监听后接收回应的第五行最后一个的单词
网络安全|2021年江苏省职业院校技能大赛中职网络信息安全赛项试卷
文章图片

【网络安全|2021年江苏省职业院校技能大赛中职网络信息安全赛项试卷】Flag:deflate

    推荐阅读