模块一
网络平台搭建与设备安全防护
一、 赛项时间
共计 180 分钟。
二、 赛项信息
|
三、 赛项内容
本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的 U 盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U 盘的根目录下建立一个名为“GWxx”的文件夹(xx 用具体的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如:08 工位,则需要在 U 盘根目录下建立“GW08”文件夹,并在“GW08” 文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明:只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一) 赛项环境设置
某集团公司原在北京建立了总部,在南京设立了分公司。总部设有销售、产品、财务、信息技术 4 个部门,分公司设有销售、产品、财务 3 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF 动态路由协议和静态路由协议进行互连互通。公司规模在 2023 年快速发展,业务数据量和公司访问量增长
巨大。为了更好管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台 SW 交换机用于总部核心和终端高速接入,采用一台 BC 作为总公司因特网出口;分公司采用一台FW 防火墙作为因特网出口设备,一台 AC 作为分公司核心,同时作为集团有线无线智能一体化控制器,通过与 AP 高性能企业级 AP 配合实现集团无线覆盖, 总部有一台 WEB 服务器,为了安全考虑总公司部署了一台 WAF 对服务器进行web 防护。在 2023 年公司进行 IPV6 网络改造,内部网络采用双栈模式。Ipv6 网络采用 ospf V3 实现互通。
- 网络拓扑图
- IP 地址规划表
| 设备名称 | 接口 | IP 地址 | 对端设备 | 接口 |
| 防火墙 | ETH0/1-2 | 20.1.0.1/30(trust1 安全域) | SW | eth1/0/1-2 |
| 设备名称 | 接口 | IP 地址 | 对端设备 | 接口 |
| FW | 20.1.1.1/30(untrust1 安全域) | SW | ||
| 222.22.1.1/29(untrust) | SW | |||
| ETH0/3 | 20.10.28.1/24(DMZ) | WAF | ||
| Eth0/4-5 | 20.1.0.13/30 2001:da8:192:168:10:1::1/96 | AC | Eth1/0/21-22 | |
| Loopback1 | 20.0.0.254/32(trust) Router-id | |||
| L2TP Pool | 192.168.10.1/26 可用 IP 数量为 20 | L2tp VPN 地址池 | ||
| 三层 交换机SW | ETH1/0/4 | 财务专线 VPN CW | AC | ETH1/0/4 |
| ETH1/0/5 | trunk | AC | ETH1/0/5 | |
| ETH1/0/6 | trunk | AC | ETH1/0/6 | |
| VLAN21 ETH1/0/1-2 | 20.1.0.2/30 | FW | Eth1/0/1-2 | |
| VLAN22 ETH1/0/1-2 | 20.1.1.2/30 | FW | Eth1/0/1-2 | |
| VLAN 222 ETH1/0/1-2 | 222.22.1.2/29 | FW | Eth1/0/1-2 | |
| VLAN 24 ETH1/0/24 | 223.23.1.2/29 | BC | Eth 5 | |
| Vlan 25 Eth 1/0/3 | 20.1.0.9/30 Ipv6:2001:da8:20:1:0::1/96 | BC | Eth 1 | |
| VLAN 30 ETH1/0/4 | 20.1.0.5/30 | AC 1/0/4 | Vlan name CW | |
| VLAN 31 Eth1/0/10-12 10 口配置 Loopback | 20.1.3.1/25 | Vlan name CW | ||
| VLAN 40 ETH1/0/8-9 | 192.168.40.1/24 IPV6 2001:DA8:192:168:40::1/96 | Vlan name 销售 | ||
| VLAN 50 ETH1/0/13-14 | 192.168.50.1/24 IPV6 2001:DA8:192:168:50::1/96 | PC3 | Vlan name 产品 | |
| Vlan 60 Eth1/0/15-16 | 192.168.60.1/24 IPV6 2001:DA8:192:168:60::1/96 | Vlan name 信息 | ||
| VLAN 100 ETH 1/0/20 | 需设定 | Vlan name AP-Manage | ||
| Loopback1 | 20.0.0.253/32(router-id) | |||
| 无线 控制器AC | VLAN 30 ETH1/0/4 | 20.1.0.6/30 | SW | Vlan name TO-CW |
| VLAN 10 | Ipv4:需设定2001:da8:172:16:1::1/96 | 无线 1 | Vlan name WIFI-vlan10 | |
| VLAN 20 | Ipv4:需设定2001:da8:172:16:2::1/96 | 无线 2 | Vlan name WIFI-vlan20 | |
| VLAN 31 | 20.1.3.129/25 | Vlan name CW |
| 设备名称 | 接口 | IP 地址 | 对端设备 | 接口 |
| VLAN 140 ETH1/0/5 | 172.16.40.1/24 | SW 1/0/5 | Vlan name 销售 | |
| Vlan 150 Eth1/0/13-14 | 172.16.50.1/24 IPV6 2001:DA8:172:16:60::1/96 | Vlan name 产品 | ||
| Vlan 60 Eth1/0/15-18 | 192.168.60.2/24 IPV6 2001:DA8:192:168:60::2/96 | Vlan name 信息 | ||
| Vlan 70 Eth1/0/21-22 | 20.1.0.14/30 2001:da8:192:168:10:1::1/96 | FW | Eth1/0/4-5 | |
| Loopback1 | 20.1.1.254/24(router-id) | |||
| 日志 服务器BC | Eth1 | 20.1.0.10/30 Ipv6:2001:da8:20:1:0::2/96 | SW | Eth1/0/3 |
| Eth5 | 223.23.1.1/29 | SW | ||
| eth3 | 192.168.28.1/24 | WAF | ||
| PPTP-pool | 192.168.10.129/26(10 个地址) | |||
| WEB 应 用防火墙 WAF | ETH2 | 192.168.28.2/24 | SERVER | |
| ETH3 | FW | |||
| AP | Eth1 | SW(20 口) | ||
| SERVER | 网卡 | 192.168.28.10/24 |
(二) 第一阶段任务书
任务 1:网络平台搭建 (50 分)
| 题号 | 网络需求 |
| 1 | 根据网络拓扑图所示,按照 IP 地址参数表,对 FW 的名称、各接口 IP 地址进行配 置。 |
| 2 | 根据网络拓扑图所示,按照 IP 地址参数表,对 SW 的名称进行配置,创建 VLAN 并将相应接口划入 VLAN。 |
| 3 | 根据网络拓扑图所示,按照 IP 地址参数表,对 AC 的各接口 IP 地址进行配置。 |
| 4 | 根据网络拓扑图所示,按照 IP 地址参数表,对 BC 的名称、各接口 IP 地址进行配 置。 |
| 5 | 按照 IP 地址规划表,对 WEB 应用防火墙的名称、各接口 IP 地址进行配置。 |
任务 2:网络安全设备配置与防护(250 分)
- 北京总公司和南京分公司有两条裸纤采用了骨干链路配置,做必要的配置,只允许必要的 vlan 通过,不允许其他 vlan 信息通过包含 vlan1。
- SW 和 AC 开启telnet 登录功能,telnet 登录账户仅包含“***2023”,密码为明文“***2023”,采用 telnet 方式登录设备时需要输入 enable 密码,密码设置为明文“12345” 。
- 北京总公司和南京分公司租用了运营商三条裸光纤,实现内部办公互通。一条裸光纤承载公司财务部门业务,另外两条裸光纤承载其他内部有业 务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离,财务业务位于VPN 实例名称CW 内,总公司财务和分公司财务能够通信,财务部门总公司和分公司之间采用 RIP 路由实现互相访问。
- SW 和 AC 之间启用 MSTP,实现网络二层负载均衡和冗余备份,要求如 下:无线用户关联实例 1,信息部门关联实例 2,名称为 SKILLS,修订版本为 1,设置 AC 为根交换机,走 5 口链路转发、信息部门通过 6 口链路转发,同时实现链路备份。除了骨干接口,关闭其他接口生成树协议。
- 总公司产品部门启用端口安全功能,最大安全MAC地址数为20,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为10分钟;禁止采用访问控制列表,只允许IP主机位为20-50的数据包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通,组名称FW。
- 由于总公司出口带宽有限,需要在交换机上对总公司销售部门访问因特网
http 服务做流量控制,访问 http 流量最大带宽限制为 20M 比特/秒,突发值设为 4M 字节,超过带宽的该网段内的报文一律丢弃。
- 在 SW 上配置将 8 端口收到的源IP 为 10.0.41.111 的帧重定向到 9 端口,即从 8 端口收到的源 IP 为 10.0.41.111 的帧通过 9 端口转发出去。
- 总公司 SW 交换机模拟因特网交换机,通过某种技术实现本地路由和因特网路由进行隔离,因特网路由实例名 internet。
- 对 SW 上 VLAN60 开启以下安全机制:
启用环路检测,环路检测的时间间隔为 10s,发现环路以后关闭该端口,恢复时间为 30 分钟; 如私设 DHCP 服务器关闭该端口;开启防止 ARP 网关欺
骗。
- 配置使北京公司内网用户通过总公司出口 BC 访问因特网,分公司内网用户通过分公司出口 FW 访问因特网,要求总公司销售部门的用户访问因特网的流量往反数据流都要经过防火墙,在通过 BC 访问因特网;防火墙untrust 和 trust1 开启安全防护,参数采用默认参数。
- 总部核心交换机上配置 SNMP,引擎 id 分别为 1;创建组 GROUP2023,采用最高安全级别,配置组的读、写视图分别为: SKILLS_R、SKILLS_W;创建认证用户为 USER2023,采用aes 算法进行加密,密钥为Pass-1234,哈希算法为sha,密钥为Pass-1234;当设备有异常时,需要用本地的环回地址 loopback1 发送v3 Trap 消息至集团网管服务器 20.10.11.99、采用最高安全级别;当财务部门对应的用户接口发生 UP DOWN 事件时,禁止发送 trap 消息至上述集团网管服务器。
- 总公司和分公司今年进行 IPv6 试点,要求总公司和分公司销售部门用户能够通过IPV6 相互访问,IPV6 业务通过租用裸纤承载。实现分公司和总公司ipv6 业务相互访问;FW、AC 与 SW 之间配置动态路由 OSPF V3 使总公司和分公司可以通过 IPv6 通信。
- 在总公司核心交换机 SW 配置IPv6 地址,开启路由公告功能,路由器公告的生存期为 2 小时,确保销售部门的IPv6 终端可以通过DHCP SERVER 获取IPv6 地址,在 SW 上开启IPV6 dhcp server 功能。
- 在南京分公司上配置 IPv6 地址,使用相关特性实现销售部的 IPv6 终端可自动从网关处获得IPv6 无状态地址。
- FW、SW、AC、BC 之间配置OSPF area 0 开启基于链路的 MD5 认证,密钥自定义,SW 与 AC 手动配置 INTERNET 默认路由,让总公司和分公司内网用户能够相互访问包含 AC 上loopback1 地址。
- 分公司销售部门通过防火墙上的 DHCP SERVER 获取 IP 地址,server IP 地址为 20.0.0.254,地址池范围 172.16.40.10-172.16.40.100,dns-server
8.8.8.8。
- 如果 SW 的 11 端口的收包速率超过 30000 则关闭此端口,恢复时间 5 分钟;为了更好地提高数据转发的性能,SW 交换中的数据包大小指定为1600 字节。
- 为实现对防火墙的安全管理,在防火墙 FW 的 Trust 安全域开启PING,HTTP,telnet,SNMP 功能,Untrust 安全域开启SSH、HTTPS 功能。
- 在分部防火墙上配置,分部 VLAN 业务用户通过防火墙访问 Internet 时, 转换为公网 IP: 182.22.1.1/29;保证每一个源 IP 产生的所有会话将被映射到同一个固定的IP 地址,当有流量匹配本地址转换规则时产生日志信息, 将匹配的日志发送至 20.10.28.10 的 UDP 2000 端口。
- 远程移动办公用户通过专线方式接入分公司网络,在防火墙 FW 上配置, 采用 L2TP 方式实现仅允许对内网信息部门的访问,端口号使用 4455,用户名密码均为ABC2023,地址池参见地址表。
- 分公司部署了一台 AC 为了便于远程管理,需要把 AC 的web 映射到外
网,让外网通过能通过防火墙外网口地址访问 AC 的 web 服务,AC 地址为
loopback 地址。
- 为了安全考虑,无线用户移动性较强,访问因特网时需要在 BC 上开启 web 认证使用https 方式,采用本地认证,密码账号都为 web2023,同一用户名只能在一个客户端登录,设置超时时间为 30 分钟。
- 由于分公司到因特网链路带宽比较低,出口只有 200M 带宽,需要在防火墙配置iQOS,系统中 P2P 总的流量不能超过 100M ,同时限制每用户最大下载带宽为 2M,上传为 1M,优先保障 HTTP 应用,为http 预留 100M 带宽。
- 为净化上网环境,要求在防火墙 FW 做相关配置,禁止无线用户周一至周五工作时间 9:00-18:00 的邮件内容中含有“病毒”、“赌博”的内容,且记录日志。
- 由于总公司无线是通过分公司的无线控制器统一管理,为了防止专线故障导致无线不能使用,总公司和分公司使用互联网作为总公司无线 ap 和 AC 相互访问的备份链路。FW 和 BC 之间通过 IPSEC 技术实现 AP 管理段与无线 AC 之间联通,具体要求为采用预共享密码为 ***2023,IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方,IKE 阶段 2 采用 ESP-3DES, MD5。
- 总公司用户,通过 BC 访问因特网,BC 采用路由方式,在 BC 上做相关配置,让总公司内网用户(不包含财务)通过 ip:183.23.1.1/29 访问因特网。
- 在 BC 上配置PPTP vpn 让外网用户能够通过 PPTP vpn 访问总公司 SW 上内网地址,用户名为 GS2023,密码 123456。
- 为了提高分公司出口带宽,尽可能加大分公司 AC 和出口 FW 之间带宽。
- 在 BC 上开启IPS 策略,对分公司内网用户访问外网数据进行 IPS 防护,保护服务器、客户端和恶意软件检测,检测到攻击后进行拒绝并记录日志。
- 对分公司内网用户访问外网数据进行防病毒防护,检查协议类型包含
HTTP、FTP、POP3、SMTP,文件类型包含exe、bat、vbs、txt,检测到攻击后进行记录日志并阻断。
- 总公司出口带宽较低,总带宽只有200M,为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量,最大上下行带宽都为50M,以免P2P流量占用太多的出口网络带宽, 启用阻断记录。
- 通过 BC 设置分公司用户在上班时间周一到周五 9:00 到 18:00 禁止玩游戏,
并启用阻断记录。
- 限制总公司内网用户访问因特网 web 视频和即时通信上传最大带宽为
10M,启用阻断记录;
- BC 上开启黑名单告警功能,级别为预警状态,并进行邮件告警和记录日志,发现cpu 使用率大于 80%,内存使用大于 80%时进行邮件告警并记录日志,级别为严重状态。发送邮件地址为 [email protected],接收邮件为[email protected]。
- 分公司内部有一台网站服务器直连到WAF,地址是 192.168.28.10,端口是8080,配置将服务访问日志、WEB 防护日志、服务监控日志信息发送syslog 日志服务器, IP 地址是 192.168.28.6,UDP 的 514 端口;
- 要求能自动识别内网 HTTP 服务器上的 WEB 主机,请求方法采用 GET、POST 方式。
- 在 WAF 上针对 HTTP 服务器进行URL 最大个数为 10,Cookies 最大个数为 30,Host 最大长度为 1024,Accept 最大长度 64 等参数校验设置,设置严重级别为中级,超出校验数值阻断并发送邮件告警。
- 为防止www.2023skills.com 网站资源被其他网站利用,通过 WAF 对资源链接进行保护,通过Referer 方式检测,设置严重级别为中级,一经发现阻断并发送邮件告警。
- 为更好对服务器 192.168.28.10 进行防护,防止信息泄露,禁止美国地区访问服务器。
- 在 WAF 上配置基础防御功能,建立特征规则“HTTP 防御”,开启 SQL 注入、XSS 攻击、信息泄露等防御功能,要求针对这些攻击阻断并保存日志发送邮件告警。
- 在 WAF 上配置定期每周六 1 点对服务器的 http://192.168.28.10/进行最大深度的漏洞扫描测试。
- 为了对分公司用户访问因特网行为进行审计和记录,需要把 AC 连接防火墙的流量镜像到 8 口。
- 由于公司IP 地址为统一规划,原有无线网段 IP 地址为 172.16.0.0/22,为了避免地址浪费需要对 ip 地址进行重新分配;要求如下:未来公司预计部署ap 150 台;办公无线用户 vlan 10 预计 300 人,来宾用户vlan20 以及不超过50 人。
- BC 上配置 DHCP,管理 VLAN 为 VLAN100,为 AP 下发管理地址,网段中第一个可用地址为 AP 管理地址,最后一个可用地址为网关地址,AP 通过 DHCP opion 43 注册,AC 地址为loopback1 地址;为无线用户VLAN10,20 下发IP 地址,最后一个可用地址为网关;AP 上线需要采用MAC 地址认证。
- AC 配置dhcpv4 和 dhcpv6,分别为总公司产品段 vlan50 分配地址;ipv4 地址池名称分别为POOLv4-50,ipv6 地址池名称分别为 POOLv6-50;ipv6 地址池用网络前缀表示;排除网关;DNS 分别为 114.114.114.114 和2400:3200::1;为 PC1 保留地址 192.168.50.9 和 2001:da8:192:168:50::9, SW 上中继地址为 AC loopback1 地址。
- 在 NETWORK 下配置 SSID,需求如下:
NETWORK 1 下设置 SSID ***2023,VLAN10,加密模式为 wpa-personal,其口令为 20232023。
- NETWORK 2 下设置 SSID GUEST,VLAN20 不进行认证加密,做相应配置隐藏该SSID; NETWORK 2 开启内置portal+本地认证的认证方式,账号为test 密码为test2023。
- 配置SSID GUEST 每天早上 0 点到 6 点禁止终端接入; GUSET 最多接入 10 个用户,并对GUEST 网络进行流控,上行 1M,下行 2M;配置所有无线接入用户相互隔离。
- 配置当 AP 上线,如果 AC 中储存的Image 版本和 AP 的Image 版本号不同时,会触发 AP 自动升级;配置 AP 发送向无线终端表明 AP 存在的帧时间间隔为 2 秒;配置 AP 失败状态超时时间及探测到的客户端状态超时时间都为 2 小时;配置 AP 在脱离 AC 管理时依然可以正常工作。
- 为防止外部人员蹭网,现需在设置信号值低于 50%的终端禁止连接无线信号;为防止非法 AP 假冒合法SSID,开启 AP 威胁检测功能。
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题,内容包括:网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为 180 分钟。
介绍
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!
-
- 当竞赛结束,离开时请不要关机;
- 所有配置应当在重启后有效;
- 请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为 300 分。
项目和任务描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代 码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息 系统的机密性、完整性和可用性。因此,对抗网络攻击,组织安全事件应急响应, 采集电子证据等技术工作是网络安全防护的重要部分。现在,A 集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助 A 集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码, 帮助其巩固网络安全防线。
本模块主要分为以下几个部分:
- 网络安全事件响应
- 数字取证调查
- 应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上,参赛选手完成后,填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中,竞赛结束时每组将答案整合到一份PDF 文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应(70 分)
任务 1:CentOS 服务器应急响应(70 分)
A 集团的CentOS 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
本任务素材清单:CentOS 服务器虚拟机。
受攻击的Server 服务器已整体打包成虚拟机文件保存,请选手自行导入分析。注意:Server 服务器的基本配置参见附录,若题目中未明确规定,请使用默
认配置。
请按要求完成该部分的工作任务。
| 任务 1:CentOS 服务器应急响应 | ||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交攻击者攻击成功的第一时间,格 式:YY:MM:DD hh:mm:ss | |
| 2 | 请提交攻击者的浏览器版本 | |
| 3 | 请提交攻击者目录扫描所使用的工具名称 | |
| 4 | 找到攻击者写入的恶意后门文件,提交 文件名(完整路径) | |
| 5 | 找到攻击者隐藏在正常 web 应用代码中的恶意代码,提交该文件名(完整路 径) | |
| 6 | 请提交内存中可疑进程的 PID | |
| 7 | 请提交攻击者执行过几次修改文件访问权限的命令 | |
| 8 | 请指出可疑进程采用的自动启动的方式 |
第二部分 数字取证调查(150 分)
任务 2 :基于 CentOS 的内存取证(40 分)
A 集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析 A 集团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。
本任务素材清单:存储镜像、内存镜像。
请按要求完成该部分的工作任务。
| 任务 2:基于 CentOS 的内存取证 | ||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交用户目录下压缩包的解压密码 | |
| 2 | 请提交 root 账户的登录密码 | |
| 3 | 请指出攻击者通过什么命令实现提权操作 | |
| 4 | 请指出内存中恶意进程的 PID | |
| 5 | 请指出恶意进程加密文件的文件类型 | |
任务 3:通信数据分析取证(TCP/IP)(50 分)
A 集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT),并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的行为。
本任务素材清单:捕获的通信数据文件。
请按要求完成该部分的工作任务。
| 任务 3:通信数据分析取证(TCP/IP) | ||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交攻击者一共上传了几个文件 | |
| 2 | 请提交攻击者上传的木马文件的 MD5 值 | |
| 3 | 请写出攻击者运行木马文件的命令(含参 数) | |
| 4 | 攻击者获取主机权限之后,进行了回连操 作,请提交回连的 IP 地址 | |
任务 4: 移动介质文件单机取证(60 分)
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”,有文本形式也有图片形式,不区分大小写), 请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于 15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。
本任务素材清单:取证镜像文件。
请按要求完成该部分的工作任务。
| 任务 4:移动介质文件单机取证 | ||
| 证据编号 | 在取证镜像中的文件名 | 镜像中原文件 Hash 码(MD5,不区分大小写) |
| evidence 1 | ||
| evidence 2 | ||
| evidence 3 | ||
| evidence 4 | ||
| evidence 5 | ||
| evidence 6 | ||
| evidence 7 | ||
| evidence 8 | ||
| evidence 9 | ||
| evidence 10 |
第三部分 应用程序安全(80 分)
任务 5:Android 恶意程序分析(50 分)
A 集团发现其发布的 Android 移动应用程序文件遭到非法篡改,您的团队需要协助 A 集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单:Android 的 apk 文件。
请按要求完成该部分的工作任务。
| 任务 5:Android 恶意程序分析 | ||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交恶意应用回传数据的 url 地址 | |
| 2 | 请提交恶意应用保存数据文件名称(含路 径) | |
| 3 | 请提交恶意应用解密数据的密钥 | |
| 4 | 请描述恶意应用的行为 | |
任务 6:PHP 代码审计(30 分)
A 集团发现其发布的 web 应用程序中被黑客种植了 webshell,文件遭到非法篡改,您的团队需要协助 A 集团对该恶意脚本程序样本进行分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单:PHP 文件。
请按要求完成该部分的工作任务。
| 任务 6:PHP 代码审计 | ||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交存在安全漏洞的代码行 | |
| 2 | 请指出安全漏洞的名称 | |
| 3 | 请修改该代码行使其变得安全 | |
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题,内容包括:网络安全渗透、理论技能与职业素养。
本次比赛时间为 180 分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的 flag 值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为 400 分,其中,网络安全渗透 300 分,理论技能与职
业素养 100 分。
项目和任务描述
在 A 集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患,请通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗透测试,在测试中获取 flag 值。网络环境参考样例请查看附录 A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域:
- 数据库攻击
- 枚举攻击
- 权限提升攻击
- 基于应用系统的攻击
- 基于操作系统的攻击
- 逆向分析
- 密码学分析
- 隐写分析
所有设备和服务器的 IP 地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag 值来获取得分,flag 统一格式如下所示:
flag{<flag 值 >}
这种格式在某些环境中可能被隐藏甚至混淆。所以,注意一些敏感信息并利用工具把它找出来。
注:部分 flag 可能非统一格式,若存在此情况将会在题目描述中明确指出 flag
格式,请注意审题。
工作任务
一、 人力资源管理系统(45 分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务一 | 请对人力资源管理系统进行黑盒测 试,利用漏洞找到 flag1,并将 flag1 提交。flag1 格式 flag1{<flag 值>} | ||
| 任务二 | 请对人力资源管理系统进行黑盒测 试,利用漏洞找到 flag2,并将 flag2 提 交。flag2 格式 flag2{<flag 值>} | ||
| 任务三 | 请对人力资源管理系统进行黑盒测 试,利用漏洞找到 flag3,并将 flag3 提交。flag3 格式 flag3{<flag 值>} |
二、 邮件系统(30 分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务四 | 请对邮件系统进行黑盒测试,利用漏洞找到 flag1,并将 flag1 提交。flag1 格式 flag1{<flag 值>} | ||
| 任务五 | 请对邮件系统进行黑盒测试,利用漏洞找到 flag2,并将 flag2 提交。flag2 格式 flag2{<flag 值>} |
三、 FTP 服务器(165 分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务六 | 请获取 FTP 服务器上 task6 目录下的文件进行分析,找出其中隐藏的 flag,并 将 flag 提交。flag 格式 flag{<flag 值>} | ||
| 任务七 | 请获取 FTP 服务器上 task7 目录下的文件进行分析,找出其中隐藏的 flag,并 将 flag 提交。flag 格式 flag{<flag 值>} | ||
| 任务八 | 请获取 FTP 服务器上 task8 目录下的文件进行分析,找出其中隐藏的 flag,并 将 flag 提交。flag 格式 flag{<flag 值>} | ||
| 任务九 | 请获取 FTP 服务器上 task9 目录下的文 件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | ||
| 任务十 | 请获取 FTP 服务器上 task10 目录下的文件进行分析,找出其中隐藏的 flag, 并将 flag 提交。flag 格式 flag{<flag 值>} | ||
| 任务十一 | 请获取 FTP 服务器上 task11 目录下的文件进行分析,找出其中隐藏的 flag, 并将 flag 提交。flag 格式 flag{<flag 值>} | ||
| 任务十二 | 请获取 FTP 服务器上 task12 目录下的文件进行分析,找出其中隐藏的 flag, 并将 flag 提交。flag 格式 flag{<flag 值>} | ||
| 任务十三 | 请获取 FTP 服务器上 task13 目录下的文件进行分析,找出其中隐藏的 flag, 并将 flag 提交。flag 格式 flag{<flag 值>} |
四、 认证服务器(30 分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十四 | 认证服务器 10000 端口存在漏洞,获取 FTP 服务器上 task14 目录下的文件进行分析,请利用漏洞找到 flag,并将 flag 提交。flag 格式 flag{<flag 值>} |
五、 运维服务器(30 分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十五 | 运维服务器 10001 端口存在漏洞,获取 FTP 服务器上 task15 目录下的文件 进行分析,请利用漏洞找到 flag,并将flag 提交。flag 格式 flag{<flag 值>} |
附录 A
图 1 网络拓扑结构图
六、 理论技能与职业素养(100 分)
2023 年全国职业院校技能大赛(高等职业教育组)
“信息安全管理与评估”测试题(样题)
【注意事项】
- 理论测试前请仔细阅读测试系统使用说明文档,按提供的账号和密码登录测试系统进行测试,账号只限 1 人登录。
- 该部分答题时长包含在第三阶段比赛时长内,请在临近竞赛结束前提交。
- 参赛团队可根据自身情况,可选择 1-3 名参赛选手进行作答,团队内部可以交流,但不得影响其他参赛队。
一、 单选题 (每题 2 分,共 35 题,共 70 分)
1、外部数据包过滤路由器只能阻止一种类型的 IP 欺骗,即( ) ,而不能阻止 DNS 欺 1、《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过,自( )起施行。
A、 2019 年 6 月 1 日
B、 2018 年 6 月 1 日
C、 2017 年 6 月 1 日
D、 2016 年 6 月 1 日
2、传播计算机病毒属于以下( )问题行为。
A、信息道德与信息安全失范行为B、侵害他人财产
C、危害国家安全D、传播有害文件
3、一个基于网络的IDS 应用程序利用什么来检测攻击?( )
A、 正确配置的DNS B、 特征库
C、 攻击描述
D、 信息包嗅探器
4、你检测到一次针对你的网络的攻击,你的服务器日志显示了攻击的源 IP 地址,但是你需要确定这个地址来自哪个域,你应该?( )
A、 Ping 根服务器
B、 进行反向 DNS 查找
C、 检查你的 DNS 服务器的 A 记录
D、 请你的互联网服务供应商为你寻找需要的信息
5、扫描器之王 NMAP 中,全面扫描的命令是什么?( )
A 、 -o B 、 -SV
C 、 -sP D 、 -a
6、根据网络安全应急处理流程,应急启动后,应该进行哪一步( ) 。
A、 归类&定级B、 应急处置C、 信息通报D、 后期处理
7、能修改系统引导扇区,在计算机系统启动时首先取得控制权的病毒属于
( ) 。
A、 文件病毒B、 引导型病毒C、 混合型病毒D、 恶意代码
8、你有一个共享文件夹,你将它的 NTFS 权限设置为 sam 用户可以修改,共享权限设置为 sam 用户可以读取,当 sam 从网络访问这个共享文件夹的时候,他有什么样的权限?( )
A、 读取B、 写入C、 修改
D、 完全控制
9、通过设置网络接口(网卡)的(),可以使其接受目的地址并不指向自己的网络数据包,从而达到网络嗅探攻击的目的?( )
A、 共享模式B、 交换模式C、 混杂模式D、 随机模式
10、下面那个名称不可以作为自己定义的函数的合法名称?( )
A 、 print B 、 len C 、 error
D 、 Haha
11、下列有关数据库系统及相关内容的说法中,错误的是( ) 。
A、 数据库系统是由计算机软硬件组成的复杂系统,其体系结构与系统硬件平台密切相关
B、 数据库管理系统提供了查询、插入、删除、更新等通用数据操作,但没有提供各种面向具体应用领域的业务处理
C、 数据库中的数据是按照一定的数据模型组织和存储的、可供多个用户共享的、具有最小冗余度的相关数据集合
D、 数据字典记录数据库系统运行时数据库操作情况的日志信息,通常由数据库管理员管理和维护
12、下列对计算机网络的攻击方式中,属于被动攻击的是?( )
A、 口令嗅探
B、 重放
C、 拒绝服务
D、 物理破坏
13、关于分布式数据库,下列说法正确的是( ) 。
A、 分布式数据库的事务管理包括恢复控制和并发控制,恢复控制一般采用的策略是基于两阶段提交协议
B、 在分布式数据库查询中,导致数据传输通信代价大的主要原因是各个站点分片的连接和并操作
C、 分布式数据库中的分布透明性包括分片透明性、位置透明性、局部数据模型透明性,其中分片透明性是最高层次的透明性
D、 分布式数据库的目标是本地自治、非集中式管理、高可用性、位置独立性、数据分片独立性等
14、MD5 算法以( )位分组来处理输入文本。
A 、 64
B 、 128
C 、 256
D 、 512
15、关于函数,下面哪个说法是错误的?( )
A、 函数必须有参数
B、 函数可以有多个函数
C、 函数可以调用本身
D、 函数内可以定义其他函数
16、根据我国网络安全应急响应的法律法规,网络安全事件可以分为 7 类,下列哪项不属于有害程序事件。( )
A、 蠕虫事件
B、 特洛伊事件
C、 信息泄露事件
D、 混合程序攻击事件
17、攻击者在使用nmap 对目标网络进行扫描时发现,某个主机开放了 25 和
110 端口,此主机最有可能是?( )
A、 文件服务器B、 邮件服务器C、 WEB 服务器D、 DNS 服务器
18、关于IP 提供的服务,下列哪种说法是正确的?( )
A、 IP 提供不可靠的数据投递服务,因此数据包投递不能受到保障
B、 IP 提供不可靠的数据投递服务,因此它可以随意丢弃报文C、 IP 提供可靠的数据投递服务,因此数据报投递可以受到保障D、 IP 提供可靠的数据投递服务,因此它不能随意丢弃报文
19、ICMP 泛洪利用了?( )
A、 ARP 命令的功能
B、 traceroute 命令的功能
C、 ping 命令的功能
D、 route 命令的功能
20、根据工信部明确的公共互联网网络安全突发事件应急预案文件,公共互联网网络突发事件等级最高可标示的颜色是什么?( )
A、 红色B、 黄色C、 蓝色D、 橙色
21、黑客利用IP 地址进行攻击的方法有?( )
A、 IP 欺骗
B、 解密
C、 窃取口令
D、 发送病毒
22、在强制存取控制机制中,当主体的许可证级别等于客体的密级时,主体可以对客体进行如下操作()。( )
A、 读取
B、 写入
C、 不可操作
D、 读取、写入
23、ARP 欺骗的实质是?( )
A、 提供虚拟的MAC 与 IP 地址的组合
B、 让其他计算机知道自己的存在C、 窃取用户在网络中的传输的数据D、 扰乱网络的正常运行
24、函数的 doc 属性表示?( )
A、 函数的名称
B、 函数中的说明
C、 函数中定义的变量
D、 函数的返回值
25、下列不属于口令安全威胁的是?( )
A、 弱口令
B、 明文传输
C、 MD5 加密
D、 多账户共用一个密码
26、维吉利亚(Vigenere)密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是( ) 。
A、 置换密码
B、 单表代换密码C、 多表代换密码D、 序列密码
27、DES 的秘钥长度是多少 Bit?( )
A 、 6
B 、 56
C 、 128
D 、 32
28、MD5 散列算法具有( ) 位摘要值。
A 、 56
B 、 128
C 、 160
D 、 168
29、VIM 模式切换的说法中,正确的是?( )
A、 命令模式通过i 命令进入输入模式
B、 输入模式通过:切换到末行模式
C、 命令模式通过ESC 键进入末行模式
D、 末行模式通过i 进入输入模式
30、Shell 编程条件判断中,说法错误的是?( )
A、 -b 判断文件是否存在,并且是否为块设备文件B、 -c 判断文件是否存在,并且是否为字符设备文件C、 -d 判断文件是否存在,并且是否为目录文件
D、 -e 判断文件是否存在,并且是否为普通文件
31、Linux 软件管理 rpm 命令,说法不正确的是?( )
A、 -v 显示详细信息
B、 -h: 以#显示进度;每个#表示 2%
C、 -q PACKAGE_NAME:查询指定的包是否已经安装D、 -e 升级安装包
32、关于sed 操作命令中,说法错误的是?( )
A、 a 命令在行的前面另起一行新增B、 p 命令打印相关行,配合-n 使用C、 c 命令替换行
D、 d 命令删除行
33、部署大中型IPSEC VPN 时,从安全性和维护成本考虑,建议采取什么样的技术手段提供设备间的身份验证?( )
A、 预共享密钥
B、 数字证书
C、 路由协议验证
D 、 802.1x
34、Jennings 发生器用了一个复合器来组合( )个LFSR。A 、 1
B 、 2
C 、 3
D 、 4
35、vim 命令中,用于查找并替换的命令,正确的是?( )
A 、 xw
B 、 1,$s/test/360/g C 、 cw
D 、 p
二、 多选题 (共每题 3 分,共 10 题,共 30 分)
1、安全业务指安全防护措施,包括( ) 。
A、 保密业务B、 认证业务C、 完整性业务
D、 不可否认业务
2、SQL Server 提供了 DES、RC2、RC4 和 AES 等加密算法,没有某种算法能适应所有要求,每种算法都有优劣势,但选择算法需要有如下共通之处
( ) 。
A、 强加密通常会比较弱的加密占用更多的 CPU 资源
B、 长密钥通常会比短密钥生成更强的加密
C、 如果加密大量数据,应使用对称密钥来加密数据,并使用非对称密钥来加密该对称密钥
D、 可以先对数据进行加密,然后再对其进行压缩
3、Python 中哪些符号可以包含字符串数据?( )
A、 单引号
B、 双引号
C、 两个双引号
D、 三个双引号
4、下面哪些选项是类的属性?( )
A、 doc B、 init
C、 module D、 class
5、下面那些方法可以检测恶意 ICMP 流量?( )
A、 检测同一来源ICMP 数据包的数量
B、 注意那些ICMP 数据包中 payload 大于 64 比特的数据包
C、 寻找那些响应数据包中 payload 跟请求数据包不一致的 ICMP 数据包
D、 检查 ICMP 数据包的协议标签
6、使用 os.walk 函数可以得到哪些内容?( )
A、 目录的路径
B、 子目录的列表
C、 非目录的文件列表
D、 目录中文件的大小
7、VPN 设计中常用于提供用户识别功能的是( ) 。
A 、 RADIUS B 、 TOKEN 卡
C、 数字证书
D 、 8O2.1xAA.OOcIn.com
8、上传文件夹权限管理方法包括 ?( )
A、 取消执行权限
B、 限制上传文件大小
C、 设置用户umask 值
D、 在上传目录关闭php 解析引擎
9、在反杀伤链中,情报可以分为那几个层次?( )
A、 战斗B、 战略C、 战区D、 战术
10、以下后缀中,属于 Linux 中常见压缩文件后缀的有?( )
A 、 doc B 、 zip
C 、 tar.gz D 、 ppt