2026年南宁市第二届“邕城工匠杯” 数智化应用职业技能大赛 网络安全管理赛项技术文件

2026年南宁市第二届“邕城工匠杯” 数智化应用职业技能大赛 网络安全管理赛项技术文件

2026年南宁市第二届“邕城工匠杯” 数智化应用职业技能大赛 网络安全管理赛项

  • 一、技术描述:
  • (一)项目概要
    • 试题:
      • 1.逆向工程
        • 理解 x86/x64、ARM 等常见架构的指令集与调用约定。
        • 理解 PE、ELF、Mach-O 等可执行文件格式。
        • 能够使用 IDA Pro、Ghidra、x64dbg 等工具进行静态分析与动态调试。
        • 能够从二进制文件中提取关键算法、常量或隐藏逻辑,识别并绕过简单的反调试手段。
      • 2.二进制漏洞利用(Pwn)
        • 理解栈溢出、堆溢出、格式化字符串、整数溢出、UAF 等常见漏洞原理。
        • 理解内存布局、ASLR、PIE、Canary、NX、RELRO 等保护机制。
        • 理解 ROP、ret2libc、堆攻击等利用技术。
        • 能够在授权竞赛环境中,对给定二进制程序进行漏洞原理分析、触发条件判断、验证性分析和结果提取,获取题目要求的答案或 flag。
      • 3. Web 安全
        • 理解 HTTP/HTTPS 协议、Cookie/Session、同源策略。
        • 理解 SQL 注入、XSS、CSRF、SSRF、文件包含、文件上传、反序列化等漏洞。
        • 理解常见 Web 开发框架(如 Django、Spring、ThinkPHP)的典型安全问题。
        • 能够在授权竞赛环境中,手工或使用赛场允许的工具对 Web 应用进行安全分析、漏洞识别与验证,获取题目要求的结果或 flag。
      • 4. 密码学
        • 理解对称加密(AES、DES)、非对称加密(RSA、ECC)、哈希函数(MD5、
        • 理解分组密码模式(ECB、CBC、CTR 等)及填充方式。
        • 理解常见密码攻击(如 CBC 翻转、RSA 低指数攻击、哈希长度扩展攻击)。
        • 能够编写脚本完成加解密、签名验证,从密文或错误实现中恢复 flag。
      • 5. 杂项与隐写
        • 理解常见编码(Base64、Hex、ASCII、URL 编码等)。
        • 理解隐写术基本原理(LSB、图片/音频/视频隐写、压缩包伪加密等)。
        • 能够使用工具(StegSolve、binwalk、十六进制编辑器)分析文件,从看似无用的数据中提取隐藏信息。
      • 6. 数字取证与流量分析
        • 理解 TCP/IP 协议栈及各层协议头结构(IP、TCP、UDP、HTTP、DNS)。
        • 理解内存取证(如 Volatility)、磁盘取证、日志分析的基本概念。
        • 能够使用 Wireshark、tshark 分析 PCAP 文件,提取传输的文件、命令或flag。
        • 能够使用 Volatility 等工具对内存镜像进行分析,定位进程、网络连接或恶意代码。
      • 7. 综合工具使用与比赛策略
        • 熟悉常见 CTF 工具(如 pwntools、Z3、CyberChef、John the Ripper等)的基本用法。
        • 能够根据题目类型快速选择合适的工具或脚本。
        • 理解 CTF 竞赛规则、flag 提交格式、环境隔离要求。
        • 能够合理分配比赛时间,确保在规定时间内完成尽可能多的 flag 提交。
    • 二、试题及评判标准
  • (二)比赛时间及试题具体内容
    • 模块 A:调查取证(120 分钟)
    • 模块 B:CTF 夺旗(90 分钟)
    • 模块 C:二进制漏洞挖掘(90 分钟)
    • (一)模块 A:调查取证模块样题
    • (二)模块 B:CTF 夺旗模块样题
        • 1. 请访问平台提供的业务系统入口,定位系统中隐藏的第一处 flag。提交格式为:flag1{<flag 值>}
        • 2. 请对平台提供的附件材料进行分析,提取第二处 flag。提交格式为:flag2{<flag 值>}
      • 3. 请根据业务系统内隐藏的的密文,获得第三处 flag。提交格式为:flag3{<flag 值>}
        • 4. 请对给定的数据包进行分析,定位攻击者流量,获取第四处 flag。提交格式为:flag4{<flag 值>}
        • 5. 请综合前四题获得的线索,对平台提供的业务系统、附件材料、密文数据和流量信息进行关联分析,确定最终 flag 的获取路径,并在提供的业务系统内完成验证,获取第五处 flag。提交格式为:flag5{<flag 值>}
    • (三)模块 C:二进制漏洞挖掘模块样题

南宁市第二届“邕城工匠杯”数智化应用职业技能大赛-网络安全管理赛项-技术文件

一、技术描述:

(一)项目概要

1.竞赛项目描述
网络安全管理项目是指围绕信息系统安全运行、网络安全管理监测、漏洞识别、应急处置和安全加固等典型工作任务,开展理论知识与实战技能相结合的竞赛项目。比赛以网络安全管理法律法规、职业规范、基础理论、攻防原理、日志分析、系统与网络服务安全配置、Web 应用安全、数据库安全、密码与数
据安全等内容为主要考核范围。比赛中对选手的技能要求主要包括:能够理解网络安全管理相关标准和规
范;能够使用竞赛平台完成调查取证、CTF 夺旗和二进制漏洞挖掘等竞赛任务;能够在授权环境下进行日志分析、流量分析、数字取证、文件分析、系统与业务场景分析、漏洞识别与验证、程序分析、结果提取和证据整理;能够根据题目要求提交 flag、答案、过程记录、分析报告或必要的佐证材料。
参加网络安全管理竞赛项目的选手应具备计算机网络、操作系统、数据库、Web 应用、脚本工具、信息安全管理与应急响应等基础知识与技能,必须遵守国家法律法规和竞赛规则,不得实施任何未经授权的网络访问、攻击、扫描或破坏行为。

2.相关职业和工作角色网络安全管理项目的相关职业主要包括网络与信息安全管理员、信息安全
测试员、网络安全管理运维工程师、安全服务工程师、网络安全管理应急响应工程师、安全运营分析员等岗位。
3.考核目的通过竞赛选拔,发掘优秀网络安全管理技能人才,树立岗位标杆,弘扬工匠精神,提升参赛选手安全意识、规范意识和实战处置能力,为网络安全管理技术人才培养、岗位练兵和后续高层级赛事选拔提供支撑。

4.相关文件
本项目参照《中华人民共和国网络安全管理法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术网络安全管理等级保护基本要求》(GB/T 22239)、《网络与信息安全管理员国家职业技能标准》等法律法规、国家标准及行业通行规范组织实施。竞赛内容贴近网络安全管理岗位实际,评判依据符合行业规范,选拔规格符合职业岗位需求。

5.竞赛方式及标准
选手在参赛前应了解比赛规则、竞赛方案、技术文件、需要携带的证件、竞赛基础设施、场地布局、本项目特殊规定、健康与安全要求以及其他与竞赛有关的信息。竞赛采用技能实操双人赛形式进行考核(理论知识考核融入实操考核过程),接受跨单位组队。要求选手现场独立完成一定的典型工作内容,
按完成质量高低和操作熟练度进行评分排名。各竞赛项目按照相应的国家职业技能标准四级(中级工)标准并结合行业实际命题及办赛。

本技术文件只包含项目技术工作的相关信息。除执行本文外,还需遵照大赛的比赛规则和规定等竞赛有关文件。 (二)基本知识与能力要求本项目采用平台化实操竞赛模式,围绕调查取证、CTF 夺旗和二进制漏洞
挖掘三个模块组织实施。选手最终成绩为三个模块得分汇总。以下列出选手在本项目比赛中应具备的主要知识与技术能力,描述选手在备赛和参赛过程中应掌握的知识技能范围,不对应任何评分项。实际成绩评定参见本技术纲要“二、试题及评判标准”中的规则。

试题:

1.逆向工程

理解 x86/x64、ARM 等常见架构的指令集与调用约定。
理解 PE、ELF、Mach-O 等可执行文件格式。
能够使用 IDA Pro、Ghidra、x64dbg 等工具进行静态分析与动态调试。
能够从二进制文件中提取关键算法、常量或隐藏逻辑,识别并绕过简单的反调试手段。

2.二进制漏洞利用(Pwn)

理解栈溢出、堆溢出、格式化字符串、整数溢出、UAF 等常见漏洞原理。
理解内存布局、ASLR、PIE、Canary、NX、RELRO 等保护机制。
理解 ROP、ret2libc、堆攻击等利用技术。
能够在授权竞赛环境中,对给定二进制程序进行漏洞原理分析、触发条件判断、验证性分析和结果提取,获取题目要求的答案或 flag。

3. Web 安全

理解 HTTP/HTTPS 协议、Cookie/Session、同源策略。
理解 SQL 注入、XSS、CSRF、SSRF、文件包含、文件上传、反序列化等漏洞。
理解常见 Web 开发框架(如 Django、Spring、ThinkPHP)的典型安全问题。
能够在授权竞赛环境中,手工或使用赛场允许的工具对 Web 应用进行安全分析、漏洞识别与验证,获取题目要求的结果或 flag。

4. 密码学

理解对称加密(AES、DES)、非对称加密(RSA、ECC)、哈希函数(MD5、

SHA 系列)。

理解分组密码模式(ECB、CBC、CTR 等)及填充方式。
理解常见密码攻击(如 CBC 翻转、RSA 低指数攻击、哈希长度扩展攻击)。
能够编写脚本完成加解密、签名验证,从密文或错误实现中恢复 flag。

5. 杂项与隐写

理解常见编码(Base64、Hex、ASCII、URL 编码等)。
理解隐写术基本原理(LSB、图片/音频/视频隐写、压缩包伪加密等)。
能够使用工具(StegSolve、binwalk、十六进制编辑器)分析文件,从看似无用的数据中提取隐藏信息。

6. 数字取证与流量分析

理解 TCP/IP 协议栈及各层协议头结构(IP、TCP、UDP、HTTP、DNS)。
理解内存取证(如 Volatility)、磁盘取证、日志分析的基本概念。
能够使用 Wireshark、tshark 分析 PCAP 文件,提取传输的文件、命令或flag。
能够使用 Volatility 等工具对内存镜像进行分析,定位进程、网络连接或恶意代码。

7. 综合工具使用与比赛策略

熟悉常见 CTF 工具(如 pwntools、Z3、CyberChef、John the Ripper等)的基本用法。
能够根据题目类型快速选择合适的工具或脚本。
理解 CTF 竞赛规则、flag 提交格式、环境隔离要求。
能够合理分配比赛时间,确保在规定时间内完成尽可能多的 flag 提交。

二、试题及评判标准

1.基本内容
本项目以网络安全管理职业岗位典型工作任务为基础设计赛题。比赛共有三个模块:模块 A:调查取证、模块 B:CTF 夺旗和模块 C:二进制漏洞挖掘。

三个模块均使用 SVRC-V10 信息安全竞赛平台组织实施,主要考核选手在授权竞赛环境中的分析、验证、取证和 flag 提交能力。

2.命题方式
赛题包括文字描述、平台任务说明、需要提交的答案、flag;根据题目要求,可能需提交的报告或截图材料等。题目设计遵循公平性、可操作性和可复核性原则,所有实操任务均在赛场授权环境内完成。

(二)比赛时间及试题具体内容

1.比赛时间
本项目正式比赛 1 天,每位选手比赛时长 300 分钟(以正式通知为准),分 3 个模块进行。
比赛日时间 具体工作 参加人员 地点
8:30—9:00 报到检录、顺序号抽签、工位号抽签、 全体人员 赛场

9:00-9:30 介绍比赛规程、设备检查、赛前宣告、竞赛账号发放等 全体人员 赛场

9:30-11:30 模块

A:调查取证裁判长、裁判员、选手赛场 11:30-13:00 午休 选手

选手自行安排或 指定休息区域
13:00-13:30 二次检录、入场、设备复检 全体人员 赛场
13:30-15:00 模块 B:CTF 夺旗裁判长、裁判员、选手

赛场
15:00-16:30 模块 C:二进制漏洞挖掘 裁判长、裁判员、选手
赛场
16:30-17:30 成绩汇总、核分、异常提交记录复核、日志核验、公布初版成绩,告知成绩复核和申诉方式
裁判长、裁判员 赛场
17:30-19:00 成绩复核申请和成绩申诉受理、评分复核、成绩确认、数据备份、材料封存归档,赛后技术点评。裁判长、裁判员 赛场

具体时间以正式通知为准。午休期间,选手不得进入竞赛操作区,不得接触竞赛设备、竞赛平台、赛题、账号及其他竞赛资料。

2.试题具体内容

模块 A:调查取证(120 分钟)

模块 A 的工作任务主要是:选手使用竞赛平台,在规定时间内对给定的取证材料、日志数据、流量数据、内存镜像、磁盘镜像、系统文件、应用数据、配置文件或其他附件材料进行分析,完成调查取证任务。
该模块重点考核选手在授权竞赛环境中的证据识别、数据提取、日志分析、流量分析、文件系统分析、内存分析、主机入侵痕迹排查、恶意行为分析、时间线梳理、关键线索关联和结果提交能力。
题目形式可包括但不限于主机取证、内存取证、磁盘取证、日志分析、流量分析、Web 入侵痕迹分析、账号与权限异常分析、恶意文件线索分析、数据恢复、文件解析、事件溯源和综合调查分析等。
平台提供题目描述、附件材料、镜像文件、流量包、日志文件、服务器场景或其他必要材料。选手应根据题目要求,在授权范围内完成分析、还原、提取、关联或推理,获取对应答案或 flag,并按题目指定格式提交。

模块 B:CTF 夺旗(90 分钟)

模块 B 的工作任务主要是:选手使用竞赛平台,独立完成 CTF 夺旗任务。该模块重点考核选手在授权竞赛环境中的网络安全管理综合分析、漏洞识别与验证、编码与密码分析、文件与数据分析、流量分析、逆向分析、Web 与业务场景分析、脚本编写及工具综合运用等能力。任务场景可结合 Web 应用、业务系统、认证授权、网络服务、数据库、文
件服务、协议通信、程序文件、脚本代码、配置文件、压缩包、图片音视频或其他附件材料等形式设置,题型和技术点包括但不限于 Web 安全、系统安全、网络协议分析、密码学、编码解码、逆向工程、杂项与隐写、数据库安全、配置分析、业务逻辑分析和综合安全分析等。
平台提供题目描述、服务器场景、靶机环境、离线附件、虚拟机、容器、数据包、日志、镜像或其他必要材料。选手应根据题目要求,在授权范围内完成分析、验证、还原、提取或推理,获取对应答案或 flag,并按题目指定格式提交,如 flag{<值>}、flag1{<值>} 等。所有任务均须在赛场授权靶场、离线样本或平台附件环境内完成,不得攻击非授权目标。

模块 C:二进制漏洞挖掘(90 分钟)

模块 C 的工作任务主要是:选手使用竞赛平台,对给定的二进制程序、服务程序、运行环境、交互接口或相关附件材料进行分析,在授权竞赛环境中完成漏洞识别、漏洞成因分析、触发条件判断、验证性测试和结果提交。
该模块重点考核选手对程序运行机制、二进制文件格式、汇编指令、函数调用约定、内存布局、输入处理逻辑、常见漏洞类型和保护机制的理解,以及使用调试、反汇编、反编译、动态分析、脚本辅助分析等方法定位问题和提取题目结果的能力。

题目形式可包括但不限于本地二进制程序分析、远程服务交互分析、崩溃样本分析、输入校验缺陷分析、内存破坏类漏洞分析、整数处理缺陷分析、格式化字符串问题分析、堆栈相关问题分析、保护机制识别、漏洞触发条件分析和综合程序安全分析等。
平台可提供题目描述、二进制文件、运行环境、服务器场景、交互端口、附件材料或其他必要信息。选手应在授权范围内完成分析与验证,获取题目要求的答案或 flag,并按题目指定格式提交。所有任务均须在赛场授权靶场、离线样本或平台附件环境内完成,不得攻击非授权目标。

2.成绩并列
如果选手最终总成绩到小数点后 2 位出现并列,优先比较模块 B CTF 夺旗成绩成绩;如仍相同,则比较模块 C 二进制漏洞挖掘;如仍相同,则比较模块 A 调查取证成绩;仍相同的,按照三个模块中最后一次有效得分提交的时间进行排序,最后一次有效得分提交时间较早者排名靠前。有效得分提交时间以
竞赛平台记录的服务器时间为准。如选手无有效得分提交,或上述规则仍无法区分名次的,由裁判组依据竞
赛平台记录、提交记录和竞赛规则进行复核后确定排序;仍无法区分的,按大赛相关规定处理。
3. 评分方式与提交规则
三个模块均由竞赛平台根据题目预设答案、评分规则和提交记录进行评分。选手应按题目指定格式提交答案、flag、分析结果或佐证材料,格式不符合要求、内容错误或未提交的,不得分。除题目另有说明外,flag 按平台预设规则进行匹配,是否区分大小写以题目要求或平台设置为准;提交时间以竞赛平台服务器记录时间为准。

各模块原则上不设置倒扣分。题目如设置提交次数限制、提交间隔限制、动态 flag、附件提交或人工复核要求,以竞赛平台发布的题目要求和裁判组说明为准。 三、竞赛细则
(1)参赛选手在竞赛前 30 分钟凭身份证、参赛证到检录处进行检录。
(2)参赛选手开赛后迟到 15 分钟及以上不得进入竞赛操作区。除规定允许携带并经检查确认的物品外,其他物品不得带入竞赛操作区,应按赛场要求统一存放。
(3)竞赛开始前统一告知选手比赛规则、时间、流程和提交方式。
(4)选手应使用赛场统一提供的计算机、账号、网络环境和竞赛平台,不得擅自更换设备或私接网络设备。
(5)选手在比赛中严禁使用各类通讯工具、移动存储设备、个人笔记、电子资料和未经许可的软件。
(6)选手不得攻击赛场以外目标,不得对竞赛平台、裁判系统、评分系统、网络设备等平台、系统、设备实施破坏、拒绝服务或规避审计的行为。
(7)选手必须严格遵守考场有关规定,严禁作弊或代考,自觉服从裁判长、裁判员、赛场工作人员的管理。
(8)比赛结束后,选手应按要求停止操作、提交材料、退出平台,不得复制、传播赛题和竞赛环境数据。 四、竞赛场地、设施设备等安排

(一)模块 A:调查取证模块样题

1.请对给定的内存镜像进行数字取证分析。攻击者疑似通过加载恶意Linux 内核模块实现持久化与隐藏通信,请结合内核模块链表、符号表以及/proc/modules 相关痕迹,定位被隐藏的可疑模块,并提取其真实模块名。提交格式为 flag{模块名}
例如:flag{rk_hide_net};

2.请分析附件中的 Linux 主机取证镜像。攻击者加载了经过改造的内核模块,并通过修改系统调用表隐藏自身行为。请定位被篡改的系统调用项,确认
其跳转到的可疑内核模块地址范围,并提取该模块中用于标识版本的字符串。提交格式为 flag{版本字符串}
例如:flag{v3.7.1_debug};

3.请对给定内存转储进行分析。系统中存在疑似 Rootkit 的内核模块,该模块未出现在常规模块列表中,但仍残留在内核内存结构中。请通过扫描struct module 结构、模块段地址和内核符号引用,恢复隐藏模块信息,并提取其 .modinfo 中的 description 字段内容。提交格式为 flag{description 内容}
例如:flag{stealth_packet_filter};

4.请分析给定 Linux 取证环境。攻击者通过恶意内核模块注册了Netfilter Hook,用于拦截和筛选特定 C2 流量。请定位异常 Hook 函数地址,关联其所属的可疑内核模块,并提取该模块中用于匹配 C2 流量的魔数。
提交格式为 flag{十六进制魔数}
例如:flag{0xdeadbeef};

(二)模块 B:CTF 夺旗模块样题

请对给定的 CTF 综合场景进行分析,获取各小题对应的 flag,并按题目要求提交。所有操作仅限于竞赛平台提供的授权靶场、服务地址、离线附件和题目指定范围内完成,不得访问、扫描、攻击或干扰非授权目标。

1. 请访问平台提供的业务系统入口,定位系统中隐藏的第一处 flag。提交格式为:flag1{<flag 值>}

示例:flag1{web_entry_found_2026}

2. 请对平台提供的附件材料进行分析,提取第二处 flag。提交格式为:flag2{<flag 值>}

示例:flag2{file_hidden_data_recovered}

3. 请根据业务系统内隐藏的的密文,获得第三处 flag。提交格式为:flag3{<flag 值>}

示例:flag3{crypto_decode_success}

4. 请对给定的数据包进行分析,定位攻击者流量,获取第四处 flag。提交格式为:flag4{<flag 值>}

示例:flag4{traffic_session}

5. 请综合前四题获得的线索,对平台提供的业务系统、附件材料、密文数据和流量信息进行关联分析,确定最终 flag 的获取路径,并在提供的业务系统内完成验证,获取第五处 flag。提交格式为:flag5{<flag 值>}

示例:flag5{ctf_final_success_2026}

(三)模块 C:二进制漏洞挖掘模块样题

请对给定的 Linux x86_64 二进制服务程序 vuln_service 进行分析,按题目要求提交答案。

1.请分析 vuln_service 的文件格式、目标架构和启用的安全保护机制,识别该程序是否启用 Canary、NX、PIE、RELRO 等保护,并按 Canary-NX-PIERELRO 的顺序提交保护机制状态。其中启用记为 ON,未启用记为 OFF,RELRO取值为 NO、PARTIAL 或 FULL。提交格式为:flag1{Canary 状态-NX 状态-PIE 状态-RELRO 状态}
示例:flag1{ON-ON-OFF-PARTIAL}。

2.请结合反汇编、反编译或调试结果,定位 vuln_service 中处理用户输入并引发内存越界风险的关键函数,提交该函数名称以及漏洞触发点相对程序基址的十六进制偏移,二者以下划线连接。提交格式为:flag2{函数名_0x 偏移}
示例:flag2{handle_login_0x12f4}。

3.请对程序进行运行测试和崩溃分析,结合调用栈、寄存器状态、输入长度变化和内存访问异常,确定触发漏洞所需的最小输入长度,并判断漏洞类型。漏洞类型可使用 stack_overflow、heap_overflow、format_string、nteger_overflow、uaf 等英文标识。提交格式为:flag3{漏洞类型_最小触发长度}
示例:flag3{stack_overflow_136}。

4.请根据程序中的校验逻辑,分析漏洞触发后程序进入隐藏分支所需满足的 4 字节校验值。校验值按内存中的实际字节顺序转换为 8 位小写十六进制字符串提交,不添加 0x 前缀。提交格式为:flag4{8 位小写十六进制字符串}示例:flag4{efbeadde}。

5.请综合前述分析结果,在授权竞赛环境中完成远程服务交互验证,使服务程序输出最终 flag,并提交完整内容。提交格式为:flag5{<最终 flag 值>}
示例:flag5{binary_vuln_success_2026}