模块一
网络平台搭建与设备安全防护
一、 赛项时间
共计 180 分钟。
二、 赛项信息
|--------------------|---------------|-------------|--------------|--------|
| 竞赛阶段 | 任务阶 段 | 竞赛任务 | 竞赛时间 | 分值 |
| 第一阶段 网络平台搭建与设备安全防护 | 任务 1 | 网络平台搭建 | XX:XX- XX:XX | 50 |
| 第一阶段 网络平台搭建与设备安全防护 | 任务 2 | 网络安全设备配置与防护 | XX:XX- XX:XX | 250 |
三、 赛项内容
本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的 U 盘中的"XXX-答题模板"提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U 盘的根目录下建立一个名为"GWxx"的文件夹(xx 用具体的工位号替代),赛题第一阶段所完成的"XXX-答题模板"放置在文件夹中。
例如:08 工位,则需要在 U 盘根目录下建立"GW08"文件夹,并在"GW08" 文件夹下直接放置第一个阶段的所有"XXX-答题模板"文件。
特别说明:只允许在根目录下的"GWxx"文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一) 赛项环境设置
- 网络拓扑图
- IP 地址规划表
|----------|-------------------|--------------------------------|-------------|------------------|
| 设备名称 | 接口 | IP 地址 | 对端设备 | 接口 |
| 防火墙 FW | ETH0/1-2 | 20.1.0.1/30(trust1 安全域) | SW | eth1/0/1-2 |
| 防火墙 FW | ETH0/1-2 | 20.1.1.1/30(untrust1 安全 域) | SW | eth1/0/1-2 |
| 防火墙 FW | ETH0/1-2 | 202.22.1.1/29(untrust) | SW | eth1/0/1-2 |
| 防火墙 FW | ETH0/3 | 20.10.28.1/24(DMZ) | WAF | |
| 防火墙 FW | Eth0/4-5 | 20.1.0.14/30 | AC | Eth1/0/21- 22 |
| 防火墙 FW | Loopback1 | 20.0.0.254/32(trust) Router-id | | |
| 防火墙 FW | SSL Pool | 192.168.10.1/26 可用 IP 数量为 20 | SSL VPN 地址池 | |
| 三层交换机 SW | ETH1/0/4 | 财务专线 | AC ETH1/0/4 | |
| 三层交换机 SW | ETH1/0/5 | 办公专线 | AC ETH1/0/5 | |
| 三层交换机 SW | VLAN21 ETH1/0/1-2 | 20.1.0.2/30 | FW | Vlan name TO-FW1 |
|----------|-----------------------|-------------------------------------|---------------|------------------------|
| 设备名称 | 接口 | IP 地址 | 对端设备 | 接口 |
| | VLAN22 ETH1/0/1-2 | 20.1.1.2/30 | FW | Vlan name TO-FW2 |
| | VLAN 23 ETH1/0/1-2 | 202.22.1.2/29 | FW | Vlan name TO- internet |
| | VLAN 24 ETH1/0/24 | 203.23.1.1/29 | BC | Vlan name TO-BC |
| | Vlan 25 Eth 1/0/18-19 | 20.1.0.17/30 | BC | Vlan name TO-BC-N |
| | VLAN 10 | 需设定 | 无线 1 | Vlan name WIFI- vlan10 |
| | VLAN 20 | 需设定 | 无线 2 | Vlan name WIFI- vlan20 |
| | VLAN 30 ETH1/0/4 | 20.1.0.5/30 | AC 1/0/4 | Vlan name T0-SW |
| | VLAN 31 Eth1/0/10-12 | 20.1.3.1/25 | | Vlan name SW |
| | VLAN 40 ETH1/0/5 | 20.1.0.9/30 | AC 1/0/5 | Vlan name TO-IPV6 |
| | VLAN 41 ETH1/0/6-9 | 20.1.41.1/24 | PC3 | Vlan name BG |
| | Vlan 50 Eth1/0/13-14 | 20.1.50.1/24 IPV6 2001:DA8:50::1/64 | | Vlan name Sales |
| | VLAN 100 ETH 1/0/20 | 需设定 | | Vlan name AP- Manage |
| | Loopback1 | 20.0.0.253/32(router-id) | | |
| 无线控制器 AC | VLAN 30 ETH1/0/4 | 20.1.0.6/30 | SW 1/0/4 | Vlan name TO-SW |
| 无线控制器 AC | VLAN 31 | 20.1.3.129/25 | | Vlan name SW |
| 无线控制器 AC | VLAN 40 ETH1/0/5 | 20.1.0.10/30 | SW 1/0/5 | Vlan name TO-IPV6 |
| 无线控制器 AC | Vlan 60 Eth1/0/13-14 | 20.1.60.1/24 IPV6 2001:DA8:60::1/64 | | Vlan name sales |
| 无线控制器 AC | Vlan 61 Eth1/0/15-18 | 20.1.61.1/24 | | Vlan name BG |
| 无线控制器 AC | Vlan 100 Eth1/0/21-22 | 20.1.0.13/30 | FW Eth1/0/4-5 | Vlan name TO-FW |
| 无线控制器 AC | Loopback1 | 20.1.1.254/32(router-id) | | |
| 日志服务器 BC | LAN2-3 | 20.1.0.18/30 | SW | |
| 日志服务器 BC | WAN2 | 203.23.1.2/29 | SW | |
| 日志服务器 BC | PPTP-pool | 192.168.10.129/26(10 个地 址) | | |
| | ETH2 | 20.10.28.2/24 | SERVER | |
|----------------|--------|----------------|----------|--------|
| 设备名称 | 接口 | IP 地址 | 对端设备 | 接口 |
| WEB 应 用防火墙 WAF | ETH3 | | FW | |
| AP | Eth1 | | SW(20 口) | |
| PC1 | 网卡 | eth1/0/7 | SW | |
| SERVER | 网卡 | 20.10.28.10/24 | | |
( 二 ) 第一阶段任务书
任务 1:网络平台搭建 (50 分)
|--------|---------------------------------------------------------------------------------|
| 题号 | 网络需求 |
| 1 | 根据网络拓扑图所示,按照 IP 地址参数表,对 FW 的名称、各接口 IP 地址进行配置。设备名称根据网络拓扑图所示配置;(8 分) |
| 2 | 根据网络拓扑图所示,按照 IP 地址参数表,对 SW 的名称进行配置,创建 VLAN 并将相应接口划入 VLAN。设备名称根据网络拓扑图所示配置;(16 分) |
| 3 | 根据网络拓扑图所示,按照 IP 地址参数表,对 AC 的各接口 IP 地址进行配 置。设备名称根据网络拓扑图所示配置;(10) |
| 4 | 根据网络拓扑图所示,按照 IP 地址参数表,对 BC 的名称、各接口 IP 地址进 行配置。设备名称根据网络拓扑图所示配置;(8 分) |
| 5 | 根据网络拓扑图所示,按照 IP 地址规划表,对 WEB 应用防火墙的名称、各 接口 IP 地址进行配置。设备名称根据网络拓扑图所示配置;(8) |
任务 2:网络安全设备配置与防护(250 分)
-
SW 和 AC 开启telnet 登录功能,telnet 登录账户仅包含"ABC4321",密码为明文"ABC4321",采用 telnet 方式登录设备时需要输入 enable 密码,密码设置为明文"12345" 。
-
北京总公司和南京分公司租用了运营商两条裸光纤,实现内部办公互通。一条裸光纤承载公司财务部门业务,一条裸光纤承载其他内部业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离,财务业务位于VPN 实例名称 SW 内,总公司财务和分公司财务能够通信,财务部门总公司和分公司之间采用 RIP 路由实现互相访问。
-
尽可能加大总公司核心和出口 BC 之间的带宽。
-
为防止终端产生MAC 地址泛洪攻击,请配置端口安全,已划分 VLAN41 的端口最多学习到 5 个 MAC 地址,发生违规阻止后续违规流量通过,不影响已有流量并产生 LOG 日志;连接 PC1 的接口为专用接口,限定只允许 PC1 的 MAC 地址可以连接。
-
总公司核心交换机端口 ethernet1/0/6 上,将属于网段 20.1.41.0 内的报文带宽限制为 10M 比特/秒,突发值设为 4M 字节,超过带宽的该网段内的报文一律丢弃。
-
在 SW 上配置将 8 端口收到的源IP 为 20.1.41.111 的帧重定向到 9 端口,即从 8 端口收到的源 IP 为 20.1.41.111 的帧通过 9 端口转发出去。
-
总公司 SW 交换机模拟因特网交换机,通过某种技术实现本地路由和因特网路由进行隔离,因特网路由实例名 internet。
-
对 SW 上 VLAN50 开启以下安全机制。业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为 10s,发现环路以后关闭该端口,恢复时间为 30 分钟; 如私设 DHCP 服务器关闭该端口;开启防止 ARP 欺骗攻
击。
-
配置使北京公司内网用户通过总公司出口 BC 访问因特网,分公司内网用户通过分公司出口 FW 访问因特网,要求总公司核心交换机 9 口 VLAN41 业务的用户访问因特网的流量往反数据流经过防火墙在通过 BC 访问因特网;防火墙untrust 和 trust1 开启安全防护,参数采用默认参数。
-
为了防止 DOS 攻击的发生,在总部交换机 vlan50 接口下对 MAC、ARP、ND 表项数量进行限制,具体要求为:最大可以学习 20 个动态 MAC 地址、20 个动态 ARP 地址、50 个 NEIGHBOR 表项。
-
总公司和分公司今年进行 IPv6 试点,要求总公司和分公司销售部门用户能够通过IPV6 相互访问,IPV6 业务通过租用裸纤承载。实现分公司和总公司ipv6 业务相互访问;AC 与 SW 之间配置静态路由 使 VLAN50 与VLAN60 可以通过 IPv6 通信;IPv6 业务地址规划如下,其它 IPv6 地址自行规划。
|------------|--------------------|
| 业务 | IPV6 地址 |
| 总公司 VLAN50 | 2001::DA8:50::1/64 |
| 分公司 VLAN60 | 2001::DA8:60::1/64 |
-
在总公司核心交换机 SW 配置IPv6 地址,开启路由公告功能,路由器公告的生存期为 2 小时,确保销售部门的 IPv6 终端可以通过DHCP SERVER 获取IPv6 地址,在 SW 上开启IPV6 dhcp server 功能,ipv6 地址范围2001:da8:50::2-2001:da8:50::100。
-
在南京分公司上配置 IPv6 地址,使用相关特性实现销售部的 IPv6 终端可自动从网关处获得IPv6 无状态地址。
-
SW 与 AC,AC 与 FW 之间配置OSPF area 0 开启基于链路的 MD5 认证, 密钥自定义,传播访问 INTERNET 默认路由,让总公司和分公司内网用户能够相互访问包含 AC 上 loopback1 地址;分公司 SW 和 BC 之间运行静态路由协议。
-
分公司销售部门通过防火墙上的 DHCP SERVER 获取 IP 地址,server IP 地址为 20.0.0.254,地址池范围 20.1.60.10-20.1.60.100,dns-server 8.8.8.8。
-
如果 SW 的 11 端口的收包速率超过 30000 则关闭此端口,恢复时间 5 分钟,为了更好地提高数据转发的性能,SW 交换中的数据包大小指定为1600 字节。
-
为实现对防火墙的安全管理,在防火墙 FW 的 Trust 安全域开启PING,HTTP,telnet,SNMP 功能,Untrust 安全域开启SSH、HTTPS 功能。
-
在分部防火墙上配置,分部 VLAN 业务用户通过防火墙访问 Internet 时, 复用公网IP: 202.22.1.3、202.22.1.4;保证每一个源 IP 产生的所有会话将被映射到同一个固定的 IP 地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至 20.10.28.10 的 UDP 2000 端口。
-
远程移动办公用户通过专线方式接入分公司网络,在防火墙 FW 上配置, 采用 SSL 方式实现仅允许对内网 VLAN 61 的访问,端口号使用 4455,用户名密码均为ABC4321,地址池参见地址表。
-
分公司部署了一台WEB 服务器ip 为 20.10.28.10,接在防火墙的 DMZ 区域为外网用户提供web 服务,要求内网用户能,ping 通 web 服务器和访问服务器上的web 服务(端口 80)和远程管理服务器(端口 3389),外网用户只能访问通过防火墙外网地址访问服务器 web 服务。
-
为了安全考虑,无线用户移动性较强,访问因特网时需要在 BC 上开启 web
认证,采用本地认证,密码账号都为web4321。
-
由于分公司到因特网链路带宽比较低,出口只有 200M 带宽,需要在防火墙配置iQOS,系统中 P2P 总的流量不能超过 100M ,同时限制每用户最大下载带宽为 2M,上传为 1M,优先保障 HTTP 应用,为http 预留 100M 带宽。
-
为净化上网环境,要求在防火墙 FW 做相关配置,禁止无线用户周一至周五工作时间 9:00-18:00 的邮件内容中含有"病毒"、"赌博"的内容, 且记录日志。
-
由于总公司无线是通过分公司的无线控制器统一管理,为了防止专线故障导致无线不能使用,总公司和分公司使用互联网作为总公司无线 ap 和 AC 相互访问的备份链路。FW 和 BC 之间通过 IPSEC 技术实现 AP 管理段与无线 AC 之间联通,具体要求为采用预共享密码为 ABC4321,IKE 阶段 1 采用 DH 组 1、DES 和 MD5 加密方,IKE 阶段 2 采用 ESP-DES, MD5。
-
总公司用户,通过 BC 访问因特网,BC 采用路由方式,在 BC 上做相关配置,让总公司内网用户(不包含财务)通过 BC 外网口 ip 访问因特网。
-
在 BC 上配置PPTP vpn 让外网用户能够通过 PPTP vpn 访问总公司 SW 上内网地址,用户名为 test,密码test23。
-
为了提高分公司出口带宽,尽可能加大分公司 AC 和出口 FW 之间带宽。
-
在 BC 上开启上网审计策略,对总公司内网用户启用 web 全部记录、记录即时通讯的登录信息、记录邮件的全部记录,要求全部审计,记录所有网页访问。
-
为了防止总公司内网用户私接小路由上网,需要在 BC 上做相关配置,内网私接小路由进行惩罚,强制下线。
-
总公司出口带宽较低,总带宽只有 200M,为了防止内网用户使用 p2p 迅雷下载占用大量带宽需要限制内部员工使用 P2P 工具下载的流量,最大上下行带宽都为 50M,以免 P2P 流量占用太多的出口网络带宽,启用阻断记 录。
-
通过 BC 设置总公司用户在上班时间周一到周五 9:00 到 18:00 禁止玩游戏, 并启用阻断记录。
-
限制总公司内网用户访问因特网 web 视频和即时通信最大带宽为 20M,上传为 10M,启用阻断记录。
-
BC 上开启黑名单告警功能,级别为预警状态,并进行邮件告警和记录日志,发现cpu 使用率大于 80%,内存使用大于 80%时进行邮件告警并记录日志,级别为严重状态。发送邮件地址为 123@163.com,接收邮件为133139123456@163.com。
-
分公司内部有一台网站服务器直连到WAF,地址是 20.10.28.10,端口是8080,配置将服务访问日志、WEB 防护日志、服务监控日志信息发送syslog 日志服务器, IP 地址是 20.10.28.6,UDP 的 514 端口;
-
在分公司的 WAF 上配置,阻止常见的WEB 攻击数据包访问到公司内网服务器,防止某源IP 地址在短时间内发送大量的恶意请求,影响公司网站正常服务,大量请求的确认值是:10 秒钟超过 1000 次请求。
-
编辑防护策略,定义 HTTP 请求体的最大长度为 256,防止缓冲区溢出攻击。
-
WAF 上配置开启爬虫防护功能,当爬虫标识为 Spider360,自动阻止该行为;WAF 上配置阻止用户上传 ZIP、DOC、JPG、RAR 格式文件;WAF 上配置编辑防护策略,要求客户机访问内部网站时,禁止访问*.bat 的文件;
-
WAF 上配置,使用WAF 的漏洞立即扫描功能检测服务器(20.10.28.10) 的安全漏洞情况,要求包括信息泄露、SQL 注入、跨站脚本编制。
-
WAF 上配置开启防护策略,将请求报头 DATA 自动重写为 DATE。
-
WAF 上配置开启错误代码屏蔽功能,屏蔽 404 错误代码。
-
由于公司IP 地址为统一规划,原有无线网段 IP 地址为 172.16.0.0/22,为了避免地址浪费需要对 ip 地址进行重新分配;要求如下:未来公司预计部署ap 50 台;办公无线用户 vlan 10 预计 300 人,来宾用户vlan20 以及不超过50 人。
-
AC 上配置 DHCP,管理 VLAN 为 VLAN100,为 AP 下发管理地址,网段中第一个可用地址为 AP 管理地址,最后一个可用地址为网关地址,AP 通过 DHCP opion 43 注册,AC 地址为loopback1 地址;为无线用户VLAN10,20 下发IP 地址,最后一个可用地址为网关。
-
在 NETWORK 下配置 SSID,需求如下:NETWORK 1 下设置 SSID ABC4321,VLAN10,加密模式为 wpa-peSWonal,其口令为 43214321。
-
NETWORK 2 下设置 SSID GUEST,VLAN20 不进行认证加密,做相应配置隐藏该SSID。
-
NETWORK 2 开启内置 portal+本地认证的认证方式,账号为 test 密码为
test4321。
- 配置SSID GUEST 每天早上 0 点到 6 点禁止终端接入; GUSET 最多接入 10 个用户,并对GUEST 网络进行流控,上行 1M,下行 2M;配置所有无线接入用户相互隔离。
- 配置当 AP 上线,如果 AC 中储存的Image 版本和 AP 的Image 版本号不同时,会触发 AP 自动升级;配置 AP 发送向无线终端表明 AP 存在的帧时间间隔为 2 秒;配置 AP 失败状态超时时间及探测到的客户端状态超时时间都为 2 小时;配置 AP 在脱离 AC 管理时依然可以正常工作。
- 为防止外部人员蹭网,现需在设置信号值低于 50%的终端禁止连接无线信号;为防止非法 AP 假冒合法SSID,开启 AP 威胁检测功能。
- SW、AC 运行静态组播路由和因特网组管理协议第二版本;总公司办公段和分公司办公段启用组播协议,总公司采用三层组播,使用密集模式,分公司采用二层组播。
- PC1 启用组播,使用 VLC 工具串流播放视频文件 1.mpg,组地址228.10.10.10,端口:1234,实现PC2 可以通过组播查看视频播放。
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题,内容包括:网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为 180 分钟。
介绍
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!
-
- 当竞赛结束,离开时请不要关机;
-
- 所有配置应当在重启后有效;
-
- 请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为 300 分。
项目和任务描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此,对抗网络攻击,组织安全事件应急响应,采集电子证据等技术工作是网络安全防护的重要部分。现在,A 集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助A 集团追踪此网络攻击
来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。
本模块主要分为以下几个部分:
- 网络安全事件响应
- 数字取证调查
- 应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上,参赛选手完成后,填写在电脑桌面上"信息安全管理与评估竞赛-答题卷"中,竞赛结束时每组将答案整合到一份 PDF 文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应( 70 分)
任务 1 : CentOS 服务器应急响应( 70 分)
A 集团的CentOS 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
本任务素材清单: CentOS 服务器虚拟机。
受攻击的Server 服务器已整体打包成虚拟机文件保存,请选手自行导入分析。
注意:Server 服务器的基本配置参见附录,若题目中未明确规定,请使用默认配置。
请按要求完成该部分的工作任务。
|--------|-----------------------------------------|--------|
| 任务 1 : CentOS 服务器应急响应 |||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交攻击者攻击成功的第一时 间,格式:YY:MM:DD hh:mm:ss | |
| 2 | 请提交攻击者的浏览器版本 | |
| 3 | 请提交攻击者目录扫描所使用的工具名称 | |
| 4 | 找到攻击者写入的恶意后门文件, 提交文件名(完整路径) | |
| 5 | 找到攻击者隐藏在正常 web 应用代码中的恶意代码,提交该文件名 (完整路径) | |
| 6 | 请提交内存中可疑进程的 PID | |
| 7 | 请提交攻击者执行过几次修改文件访问权限的命令 | |
| 8 | 请指出可疑进程采用的自动启动的 方式 | |
第二部分 数字取证调查( 150 分)
任务 2 :基于 Windows 10 的内存取证( 40 分)
A 集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析 A 集团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。
本任务素材清单:存储镜像、内存镜像。
请按要求完成该部分的工作任务。
|--------|---------------------|--------|
| 任务 2 :基于 Windows 10 的内存取证 |||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交用户目录下压缩包的解压密码 | |
| 2 | 请提交 root 账户的登录密码 | |
| 3 | 请指出攻击者通过什么命令实现提权操 作 | |
|---|------------------|---|
| 4 | 请指出内存中恶意进程的 PID | |
| 5 | 请指出恶意进程加密文件的文件类型 | |
任务 3 :通信数据分析取证( USB )( 50 分)
A 集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击
(APT),并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的行为。
本任务素材清单:捕获的通信数据文件。
请按要求完成该部分的工作任务。
|--------|----------------------------------|--------|
| 任务 3 :通信数据分析取证( USB ) |||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交攻击者一共上传了几个文件 | |
| 2 | 请提交攻击者上传的木马文件的 MD5 值 | |
| 3 | 请写出攻击者运行木马文件的命令(含参 数) | |
| 4 | 攻击者获取主机权限之后,进行了回连操作,请提交回连的 IP 地址 | |
任务 4 : 基于 Linux 计算机单机取证( 60 分)
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为"evidence 1"、"evidence 2"、......、"evidence 10",有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于 15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。
本任务素材清单:取证镜像文件。
请按要求完成该部分的工作任务。
|-------------|----------------|-------------------------------------------------|
| 任务 4 :基于 Linux 计算机单机取证 |||
| 证据编号 | 在取证镜像中的文件名 | 镜像中原文件 Hash 码( MD5 ,不区分大小写) |
| evidence 1 | 提交文件名正确得分 | |
| evidence 2 | 提交文件名正确得分 | |
| evidence 3 | 提交文件名正确得分 | |
| evidence 4 | 提交文件名正确得分 | |
| evidence 5 | 提交文件名正确得分 | |
| evidence 6 | 提交文件名正确得分 | |
| evidence 7 | 提交文件名正确得分 | |
| evidence 8 | 提交文件名正确得分 | |
| evidence 9 | 提交文件名正确得分 | |
| evidence 10 | 提交文件名正确得分 | |
第三部分 应用程序安全( 80 分)
任务 5 : Windows 恶意程序分析( 50 分)
A 集团发现其发布的 Android 移动应用程序文件遭到非法篡改,您的团队需要协助 A 集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单: Windows 恶意程序。
请按要求完成该部分的工作任务。
|--------|-----------------------|--------|
| 任务 5 : Windows 恶意程序分析 |||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交恶意应用回传数据的 url 地址 | |
| 2 | 请提交恶意应用保存数据文件名称(含路 径) | |
| 3 | 请提交恶意应用解密数据的密钥 | |
| 4 | 请描述恶意应用的行为 | |
任务 6 : PHP 代码审计( 30 分)
A 集团发现其发布的 web 应用程序中被黑客种植了 webshell,文件遭到非法篡改,您的团队需要协助 A 集团对该恶意脚本程序样本进行分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单: PHP 文件。
请按要求完成该部分的工作任务。
|--------|---------------|--------|
| 任务 6 : PHP 代码审计 |||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交存在安全漏洞的代码行 | |
| 2 | 请指出安全漏洞的名称 | |
|---|---------------|---|
| 3 | 请修改该代码行使其变得安全 | |
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题,内容包括:网络安全渗透、理论技能与职业素养。
本次比赛时间为 180 分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的 flag 值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为 400 分,其中,网络安全渗透 300 分,理论技能与职
业素养 100 分。
项目和任务描述
在 A 集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患,请通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗透测试,在测试中获取 flag 值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域:
-
数据库攻击
-
枚举攻击
-
权限提升攻击
-
基于应用系统的攻击
-
基于操作系统的攻击
-
逆向分析
-
密码学分析
-
隐写分析
所有设备和服务器的 IP 地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag 值来获取得分,flag 统一格式如下所示:
flag{<flag 值 >}
这种格式在某些环境中可能被隐藏甚至混淆。所以,注意一些敏感信息并利用工具把它找出来。
注:部分flag 可能非统一格式,若存在此情况将会在题目描述中明确指出
flag 格式,请注意审题。
工作任务
一、 人力资源管理系统(45 分)
|----------|----------------------------------------------------------------|--------|--------|
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务一 | 人力资源管理系统存在漏洞,请利用漏洞并找到 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
|----------|----------------------------------------------------------------|--------|--------|
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务二 | 人力资源管理系统存在漏洞,请利用漏洞并找到 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
| 任务三 | 人力资源管理系统存在漏洞,请利用漏洞并找到 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
二、 邮件系统 ( 30 分)
|----------|-------------------------------------------------------------|--------|--------|
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务四 | 邮件系统存在漏洞,请利用漏洞并找到 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
| 任务五 | 邮件系统存在漏洞,请利用漏洞并 找到 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
三、 FTP 服务器(165 分)
|----------|------------------------------------------------------------------------|--------|--------|
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务六 | 请获取 FTP 服务器上对应的文件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
| 任务七 | 请获取 FTP 服务器上对应的文件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
| 任务八 | 请获取 FTP 服务器上对应的文件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
| 任务九 | 请获取 FTP 服务器上对应的文件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
| 任务十 | 请获取 FTP 服务器上对应的文件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
|----------|------------------------------------------------------------------------|--------|--------|
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十一 | 请获取 FTP 服务器上对应的文件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
| 任务十二 | 请获取 FTP 服务器上对应的文件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
| 任务十三 | 请获取 FTP 服务器上对应的文件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
四、 应用系统服务器( 30 分)
|----------|-------------------------------------------------------------------------------------------|--------|--------|
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十四 | 应用系统服务器 10000 端口存在漏洞,获取 FTP 服务器上对应的文件进行分析,请利用漏洞找到flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
五、 测试系统服务器( 30 分)
|----------|-------------------------------------------------------------------------------------------|--------|--------|
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十五 | 应用系统服务器 10001 端口存在漏洞,获取 FTP 服务器上对应的文件进行分析,请利用漏洞找到flag,并将 flag 提交。flag 格式 flag{<flag 值>} | | |
附录 A
图 1 网络拓扑结构图
六、 理论技能与职业素养(100 分)
2023 年全国职业院校技能大赛(高等职业教育组)
" 信息安全管理与评估 " 测试题(样题)
【注意事项】
-
-
- 理论测试前请仔细阅读测试系统使用说明文档,按提供的账号和密码登录测试系统进行测试,账号只限 1 人登录。
- 该部分答题时长包含在第三阶段比赛时长内,请在临近竞赛结束前提交。
- 参赛团队可根据自身情况,可选择 1-3 名参赛选手进行作答,团队内部可
-
以交流,但不得影响其他参赛队。
一、 单选题 (每题 2 分,共 35 题,共 70 分)
1、外部数据包过滤路由器只能阻止一种类型的 IP 欺骗,即( ) , 而不能阻止 DNS 欺骗?( )
A、 内部主机伪装成外部主机的 IP B、 内部主机伪装成内部主机的IP C、 外部主机伪装成外部主机的 IP D、 外部主机伪装成内部主机的 IP
2、Open 函数中w 参数的作用是?( )
A、 读文件内容 B、 写文件内容C、 删除文件内容D、 复制文件内容
3、通过设置网络接口(网卡)的( ) ,可以使其接受目的地址并不指向自己的网络数据包,从而达到网络嗅探攻击的目的?
A、 共享模式B、 交换模式C、 混杂模式D、 随机模式
4、以下不属于入侵监测系统的是( ) 。
A、 AAFID 系统B、 SNORT 系统C、 IETF 系统
D、 NETEYE 系统
5、通过 TCP 序号猜测,攻击者可以实施下列哪一种攻击?( )
A、 端口扫描攻击B、 ARP 欺骗攻击C、 网络监听攻击
D、 TCP 会话劫持攻击
6、下面不是数据库的基本安全机制的是( ) 。
A、 用户认证B、 用户授权C、 审计功能D、 电磁屏蔽
7、假设创建了名为f 的实例,如何在f 中调用类的add_food 函数?( )
A 、 f(add_food()) B 、 f.[add_food()] C 、 f.add_food
D 、 f.add_food()
8、aspx 的网站配置文件一般存放在哪个文件里?( )
A 、 conn.asp B 、 config.php C 、 web.config D 、 index.aspx
9、一个基于特征的 IDS 应用程序需要下列选项中的哪一项来对一个攻击做出反应?( )
A、 正确配置的DNS B、 正确配置的规则C、 特征库
D、 日志
10、完成数据库应用系统的设计并进行实施后,数据库系统进入运行维护阶段。下列工作中不属于数据库运行维护工作的是( ) 。
A、 恢复数据库数据以核查问题
B、 为了保证安全,定期修改数据库用户的密码
C、 更换数据库服务器以提高应用系统运行速度
D、 使用开发人员提供的 SQL 语句易始化数据库中的表
11、以下不属入侵检测中要收集的信息的是( ) 。
A、 系统和网络日志文件
B、 目录和文件的内容
C、 程序执行中不期望的行为
D、 物理形式的入侵信息
12、POP3 服务器使用的监听端口是?( )
A、 TCP 的 25 端口 B、 TCP 的 110 端口C、 UDP 的 25 端口D、 UDP 的 110 端口
13、目标计算机与网关通信失败,更会导致通信重定向的攻击形式是?
( )
A、 病毒B、 木马C 、 DOS
D、 ARP 欺骗
14、的目的是发现目标系统中存在的安全隐患,分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。( )
A、 漏洞分析B、 入侵检测C、 安全评估D、 端口扫描
15、以下哪一项描述不正确?( )
A、 ARP 是地址解析协议
B、 TCP/IP 传输层协议有 TCP 和 UDP C、 UDP 协议提供的是可靠传输
D、 IP 协议位于TCP/IP 网际层
16、如果想在类中创建私有方法,下面哪个命名是正确的?( )
A 、 _add_one B 、 add_one
C、add_one D 、 add_one
17、MD5 的主循环有( ) 轮。
A 、 3
B 、 4
C 、 5
D 、 8
18、根据网络安全应急处理流程,应急启动后,应该进行哪一步( )。
A、 归类&定级B、 应急处置C、 信息通报D、 后期处理
19、( )是一种架构在公用通信基础设施上的专用数据通信网络,利用 IPSec
等网络层安全协议和建立在 PKI 上的加密与签名技术来获得私有性。( )
A 、 SET B 、 DDN C 、 VPN D 、 PKIX
20、假设系统中有n 个用户,他们使用对称加密体制实现保密通信,那么系统中共需要管理( n(n-1)/2)个密钥,每个用户需要保存( ) 个密钥。
A 、 n-1 B 、 2n C 、 Cn2 D 、 n!
21、什么是数据库安全的第一道保障()。( )
A、 操作系统的安全
B、 数据库管理系统层次
C、 网络系统的安全
D、 数据库管理员
22、下列方法中不能用来进行 DNS 欺骗的是?( )
A、 缓存感染
B、 DNS 信息劫持C、 DNS 重定向D、 路由重定向
23、下列选项哪列不属于网络安全机制?( )
A、 加密机制
B、 数据签名机制
C、 解密机制
D、 认证机制
24、部署大中型 IPSEC VPN 时,从安全性和维护成本考虑,建议采取什么样的技术手段提供设备间的身份验证。( )
A、 预共享密钥
B、 数字证书
C、 路由协议验证
D 、 802.1x
25、现今非常流行的 SQL(数据库语言)注入攻击属于下列哪一项漏洞的利
用?( )
A、 域名服务的欺骗漏洞 B、 邮件服务器的编程漏洞C、 WWW 服务的编程漏洞D、 FTP 服务的编程漏洞
26、维吉利亚(Vigenere)密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是( ) 。
A、 置换密码
B、 单表代换密码C、 多表代换密码D、 序列密码
27、如果 VPN 网络需要运行动态路由协议并提供私网数据加密,通常采用什么技术手段实现( ) 。
A 、 GRE
B 、 GRE+IPSEC C 、 L2TP
D 、 L2TP+IPSEC
28、过滤所依据的信息来源不包括?( )
A、 IP 包头B、 TCP 包头C、 UDP 包头
D、 IGMP 包头
29、bind9 的日志默认保存在?( )
A 、 /var/log/named.log
B 、 /var/log/named/named.log C 、 /var/named/data/named.run D 、 /var/log/data/named.run
30、一个完整的密码体制,不包括以下( )要素。
A、 明文空间B、 密文空间C、 数字签名D、 密钥空间
31、Linux 系统中,添加用户的命令是?( )
A 、 net user test /add B 、 user add test
C 、 useradd test D 、 test useradd
32、以下关于正则表达式,说法错误的是?( )
A、 'root'表示匹配包含 root 字符串的内容
B、 '.'表示匹配任意字符C、 [0-9]表示匹配数字D、 '^root'表示取反
33、将用户user123 修改为管理员权限命令是 ( ) 。
A 、 net user localgroup administrators user123 /add
B 、 net use localgroup administrators user123 /add C 、 net localgroup administrators user123 /add
D 、 net localgroup administrator user123 /add
34、VIM 模式切换的说法中,正确的是?( )
A、 命令模式通过i 命令进入输入模式
B、 输入模式通过:切换到末行模式
C、 命令模式通过ESC 键进入末行模式
D、 末行模式通过i 进入输入模式
35、在常见的安全扫描工具中,以下( ) 主要用来分析 Web 站点的漏洞,可以针对数千种常见的网页漏洞或安全风险进行检测。
A 、 SuperScan
B、 Fluxay(流光) C 、 Wikto
D 、 MBSA
二、 多选题 (每题 3 分,共 10 题,共 30 分)
1、SQL Server 提供了 DES、RC2、RC4 和 AES 等加密算法,没有某种算法能适应所有要求,每种算法都有优劣势,但选择算法需要有如下共通之处
( ) 。
A、 强加密通常会比较弱的加密占用更多的 CPU 资源
B、 长密钥通常会比短密钥生成更强的加密
C、 如果加密大量数据,应使用对称密钥来加密数据,并使用非对称密钥来加密该对称密钥
D、 可以先对数据进行加密,然后再对其进行压缩
2、以下关于TCP 和 UDP 协议的说法错误的是?( )
A、 没有区别,两者都是在网络上传输数据
B、 TCP 是一个定向的可靠的传输层协议,而 UDP 是一个不可靠的传输层协议
C、 UDP 是一个局域网协议,不能用于 Interner 传输,TCP 则相反
D、 TCP 协议占用带宽较 UDP 协议多
3、关于函数中变量的定义,哪些说法是正确的?( )
A、 即使函数外已经定义了这个变量,函数内部仍然可以定义
B、 如果一个函数已经定义了 name 变量,那么其他的函数就不能再定义
C、 函数可以直接引用函数外部定义过的变量
D、 函数内部只能定义一个变量
4、下面标准可用于评估数据库的安全级别的有( )
A 、 TCSEC B 、 IFTSEC
C 、 CC DBMS.PP
D 、 GB17859-1999E.TD
5、安全的网络通信必须考虑以下哪些方面?( )
A、 加密算法
B、 用于加密算法的秘密信息
C、 秘密信息的分布和共享
D、 使用加密算法和秘密信息以获得安全服务所需的协议
6、RC4 加密算法被广.泛应用,包括( )
A 、 SSL/TLS
B、 WEP 协议C、 WPA 协议D、 数字签名
7、VIM 的工作模式,包括哪些?( )
A、 命令模式B、 输入模式C、 高亮模式D、 底行模式
8、在反杀伤链中,情报可以分为那几个层次?( )
A、 战斗B、 战略C、 战区D、 战术
9、我国现行的信息安全法律体系框架分为( )三个层面。
A、信息安全相关的国家法律
B、信息安全相关的行政法规和部分规章
C、信息安全相关的地方法规/规章和行业规定D、信息安全相关的个人职业素养
10、信息道德与信息安全问题一直存在的原因有( )。
A、信息系统防护水平不高B、信息安全意识不强
C、信息安全法律法规不完善 D、网络行为道德规范尚未形成