文章总结： 本文档分享了第十九届全国大学生信息安全竞赛暨第三届长城杯初赛题目，涵盖Pwn、逆向、密码学、流量分析及AI安全五大方向。题目包括二进制漏洞利用、智能设备固件分析、Snake后门流量取证、以及针对银行欺诈检测模型的对抗样本攻击等实战场景，旨在考察选手在网络安全与AI攻防领域的综合技术能力。 综合评分： 65 文章分类： CTF,二进制安全,AI安全,流量分析,WEB安全

第十九届全国大学生信息安全竞赛（创新实践能力赛）暨第三届“长城杯” 网数智安全大赛（防护赛）初赛 题目分享

小志z

志在片语

2025年12月28日 21:48 山东

本资料仅限‌个人技术研究用途‌，禁止用于商业培训或竞赛押题

Pwn

robo

题目内容：
真的有点粗心呢～

题目链接：https://share.x-z-z.com/2025-CISCN/Pwn/robo.zip

MD5 Sum：64E02DBC8CE2CF3BDBE80FADBB972FC9

SHA256 Sum：4543EB7B2D69DF9D2B45CEE4DC12D8DA821EA960229B3293AC74225339B6DA8C

easy_rw

题目内容：
在一次漏洞扫描中，你的团队扫到了目标团伙的一个直播平台，听说你是 PWN 高手，给你一天时间把这个站点拿下。

题目链接：https://share.x-z-z.com/2025-CISCN/Pwn/easy_rw.zip

MD5 Sum：8B625E71B1EA16F29BAAB029859C90DD

SHA256 Sum：38FC88BBC177B50EA3CC17A89942730CEAC5CFE2FAF01A53E27983A8CDC97407

ram_snoop

题目内容：
That’s where the flag is hidden.

题目链接：https://share.x-z-z.com/2025-CISCN/Pwn/ram_snoop.zip

MD5 Sum：C469ABC781405BB1FB501461BC445FA9

SHA256 Sum：6E25392A6C38124515428C37DA68B40828894FB14842D0E0D5AC2340AC7DCFA3

minihttpd

题目内容：
小A刚参加工作不久，接到任务需要用C语言给一款嵌入式设备开发一个http服务端，用于业务通信。他刚把httpd框架写好，希望有人帮他测试一下有没有安全问题，你能帮帮他吗？

题目链接：https://share.x-z-z.com/2025-CISCN/Pwn/minihttpd.zip

MD5 Sum：E026EDF0EA26C16D30C18ADCB542F468

SHA256 Sum：1DC68073488974FB5B37F9486244F49A6686EA97E5AF2D3FADD3C5B2743C5819

smart_home

题目内容：
某知名智能设备厂商近期推出了一款名为 “SmartHome Hub” 的智能家居中枢设备。该设备集成了灯光控制、温控调节、安防联动等多种功能，并支持远程固件更新与设备管理。然而，在对该设备的固件进行初步逆向分析后，安全研究人员发现其通信协议和系统设计中存在多个高危安全隐患。请分析设备程序，找出存在的安全隐患。（flag 位于 /flag）

题目链接：https://share.x-z-z.com/2025-CISCN/Pwn/smart_home.zip

MD5 Sum：1F2853FD6DEC9DF9FE7A5833FCC6409D

SHA256 Sum：E14508F306C309A2213B9DE44BBF359CA872356C9BEDC46BD6C23F9C4073AEF6

Reverse

Eternum

题目内容：
Eternal control, eternal resistance.

题目链接：https://share.x-z-z.com/2025-CISCN/Reverse/eternum.zip

MD5 Sum：665A4BF7903BB6EA0B05C1FA8A447F4E

SHA256 Sum：84E1D42A22EB56C971AE11FE2D17F85250C3A1816EE0F8A3D688552D693A2A0E

babygame

题目内容：
请找出隐藏的Flag。请注意只有收集了所有的金币，才能验证flag。

题目链接：https://share.x-z-z.com/2025-CISCN/Reverse/babygame.7z

MD5 Sum：50EE1D94243165EB78503F6FB848C494

SHA256 Sum：6982D45E74EA5829F19E1A3199A6B5244E6F551E61B18F8AD51BF1D93387E7F5

wasm-login

题目内容：
某人本想在2025年12月第三个周末爆肝一个web安全登录demo，结果不仅搞到周一凌晨，他自己还忘了成功登录时的时间戳了，你能帮他找回来吗？

提交格式为flag{时间戳正确时的check值}。是一个大括号内为一个32位长的小写十六进制字符串。

题目链接：https://share.x-z-z.com/2025-CISCN/Reverse/wasm-login.zip

MD5 Sum：4CE9F4B3CEE8956AC085B957322EF608

SHA256 Sum：B0607BE0BF1E5370698D61ABAD4AE332103E798D31541B46D0790CC09B0F9E01

vvvmmm

题目内容：
Arise now, ye Tarnished! Unleash the might of the Ancient Dragons from their chains of bondage!

题目链接：https://share.x-z-z.com/2025-CISCN/Reverse/vvvmmm.zip

MD5 Sum：89FA997312F466633C380A6186E7681D

SHA256 Sum：4771B638D23F216424964E8B2E7AF3CCD6DEF3EABF2FE8DCF716378DC7467A0F

Crypto

ECDSA

题目内容：
ECDSA一定是安全的吗？提交格式：flag{私钥的MD5值}

题目链接：https://share.x-z-z.com/2025-CISCN/Crypto/ECDSA.zip

MD5 Sum：7D86EFAF7F5E84A7135C0B71130C0825

SHA256 Sum：630FA3C1C0A62331C99764B09D1AB6AFE11605FB7526949EDFF391A6EE2142C1

EzFlag

题目内容：
这是一个简单的逆向，轻轻松松获取flag

题目链接：https://share.x-z-z.com/2025-CISCN/Crypto/EzFlag.zip

MD5 Sum：248F149404428676E6AA45E6312D069C

SHA256 Sum：6D75C39BF4AF49D2C609844C7A754DEA3251D5D67039E128706B6541964F58FC

RSA_NestingDoll

题目内容：RSA_NestingDoll

题目链接：https://share.x-z-z.com/2025-CISCN/Crypto/RSA_NestingDoll.zip

MD5 Sum：5A364F0CDFB8DBB72643403EFE98F75A

SHA256 Sum：4FDDFB29AF42045561BA6D1F370303FDE908167F92F04650F47838DA49BDA17A

流量分析

均使用同一个流量包

题目链接：https://share.x-z-z.com/2025-CISCN/TrafficAnalysis/SnakeBackdoor.zip

MD5 Sum：3F3894B7A7B871B83ADE59B205048DB4

SHA256 Sum：4CAA8B5CD145ED0D63FABCE11D66DC0B7D549B7176F472EDECC386B57DA51477

SnakeBackdoor-1

题目内容：
近期发现公司网络出口出现了异常的通信，现需要通过分析出口流量包，对失陷服务器进行定位。现在需要你从网络攻击数据包中找出漏洞攻击的会话，分析会话编写exp或数据包重放，查找服务器上安装的后门木马，然后分析木马外联地址和通信密钥以及木马启动项位置。

攻击者爆破成功的后台密码是什么？，结果提交形式：flag{xxxxxxxxx}

SnakeBackdoor-2

题目内容：
攻击者通过漏洞利用获取Flask应用的 `SECRET_KEY` 是什么，结果提交形式：flag{xxxxxxxxxx}

SnakeBackdoor-3

题目内容：
攻击者植入的木马使用了加密算法来隐藏通讯内容。请分析注入Payload，给出该加密算法使用的**密钥字符串(Key)** ，结果提交形式：flag{xxxxxxxx}

SnakeBackdoor-4

题目内容：
攻击者上传了一个二进制后门，请写出木马进程执行的本体文件的名称，结果提交形式：flag{xxxxx}，仅写文件名不加路径

SnakeBackdoor-5

题目内容：
请提取驻留的木马本体文件，通过逆向分析找出木马样本通信使用的加密密钥（hex，小写字母），结果提交形式：flag{[0-9a-f]+}

SnakeBackdoor-6

题目内容：
请提交攻击者获取服务器中的flag。结果提交形式：flag{xxxx}

AI安全

欺诈猎手的后门陷阱

题目内容：
你是一家国际银行的AI安全渗透测试员。银行近期从第三方供应商采购了一款预训练的信用卡欺诈检测模型（基于XGBoost架构，以.pth格式封装交付），计划部署至实时交易审核系统。该模型分析10维结构化交易特征（如交易金额、位置异常值、时间风险值等），输出0-1区间的欺诈概率——≥0.5 判定为欺诈并拦截交易，<0>

任务目标：

下载模型调用所需资源与样本数据，通过黑箱测试逆向定位后门触发规则；构造满足核心高风险特征阈值的欺诈交易样本，触发后门使模型错误批准该高风险交易；从模型响应中提取加密的“flag”字符串并完成解密（格式：FLAG {...}），提交原始flag。

题目链接：https://share.x-z-z.com/2025-CISCN/AI/欺诈猎手的后门陷阱.zip

MD5 Sum：F6059236E2667A37DACBAD64D77D3575

SHA256 Sum：69FFBA0D2B32D39DF770A9E709DE00A9D81FE200162E0F592D1F249B86BEE0FF

The Silent Heist

题目内容：
目标银行部署了一套基于 Isolation Forest (孤立森林) 的反欺诈系统。该系统不依赖传统的黑名单，而是通过机器学习严密监控交易的 20 个统计学维度。系统学习了正常用户的行为模式（包括资金流向、设备指纹的协方差关系等），一旦发现提交的数据分布偏离了“正常模型”，就会立即触发警报。

我们成功截取了一份包含 1000 条正常交易记录的流量日志 (public_ledger.csv)。请你利用统计学方法分析这份数据，逆向推导其多维特征分布规律，并伪造一批新的交易记录。

题目链接：https://share.x-z-z.com/2025-CISCN/AI/The_Silent_Heist.zip

MD5 Sum：AFF7B9C6C71F6C14015298CDF69324C8

SHA256 Sum：86A3AB9B6FB4A88732845795E099195BA49B5FB7A44D39C5BFA0F26535E24495

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：志在片语 小志z《第十九届全国大学生信息安全竞赛（创新实践能力赛）暨第三届“长城杯” 网数智安全大赛（防护赛）初赛 题目分享》