模块一
网络平台搭建与设备安全防护
一、 赛项时间
共计 180 分钟。
二、 赛项信息
|
三、 赛项内容
本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的 U 盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U 盘的根目录下建立一个名为“GWxx”的文件夹(xx 用具体的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如:08 工位,则需要在 U 盘根目录下建立“GW08”文件夹,并在“GW08” 文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明:只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一) 赛项环境设置
某集团公司原在北京建立了总部,在南京设立了分公司。总部设有销售、产品、财务、信息技术 4 个部门,分公司设有销售、产品、财务 3 个部门,统一
进行 IP 及业务资源的规划和分配,全网采用 OSPF 动态路由协议和静态路由协议进行互连互通。公司规模在 2023 年快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台 SW 交换机用于总部核心和终端高速接入,采用一台 BC 作为总公司因特网出口;分公司采用一台 FW 防火墙作为因特网出口设备,一台 AC 作为分公司核心,同时作为集团有线无线智能一体化控制器,通过与 AP 高性能企业级 AP 配合实现集团无线覆盖,总部有一台 WEB 服务器,为了安全考虑总公司部署了一台 WAF 对服务器进行 web 防护。在 2023 年公司进行 IPV6 网络改造,内部网络采用双栈模式。Ipv6 网络采用 ospf V3 实现互通。
- 网络拓扑图
- IP 地址规划表
设备名 称 | 接口 | IP 地址 | 对端设备 | 接口 |
防火墙FW | ETH0/1-2 | 20.1.0.1/30(trust1 安全域) | SW | eth1/0/1- 2 |
20.1.1.1/30(untrust1 安全域) | SW | |||
222.22.1.1/29(untrust) | SW | |||
ETH0/3 | 20.10.28.1/24(DMZ) | WAF | ||
Eth0/4-5 | 20.1.0.13/30 2001:da8:192:168:10:1::1/96 | AC | Eth1/0/21 -22 | |
Loopback1 | 20.0.0.254/32(trust) Router-id | |||
L2TP Pool | 192.168.10.1/26 可用 IP 数量为 20 | L2tp VPN 地址池 | ||
三层交换机 SW | ETH1/0/4 | 财务专线 VPN CW | AC | ETH1/0/4 |
ETH1/0/5 | trunk | AC | ETH1/0/5 | |
ETH1/0/6 | trunk | AC | ETH1/0/6 | |
VLAN21 ETH1/0/1-2 | 20.1.0.2/30 | FW | Eth1/0/1- 2 | |
VLAN22 ETH1/0/1-2 | 20.1.1.2/30 | FW | Eth1/0/1- 2 | |
VLAN 222 ETH1/0/1-2 | 222.22.1.2/29 | FW | Eth1/0/1- 2 | |
VLAN 24 ETH1/0/24 | 223.23.1.2/29 | BC | Eth 5 | |
Vlan 25 Eth 1/0/3 | 20.1.0.9/30 Ipv6:2001:da8:20:1:0::1/96 | BC | Eth 1 | |
VLAN 30 ETH1/0/4 | 20.1.0.5/30 | AC 1/0/4 | Vlan name CW | |
VLAN 31 Eth1/0/10-12 | 20.1.3.1/25 | Vlan name CW |
设备名 称 | 接口 | IP 地址 | 对端设备 | 接口 |
10 口配置Loopback | ||||
VLAN 40 ETH1/0/8-9 | 192.168.40.1/24 IPV6 2001:DA8:192:168:40::1/96 | Vlan name 销售 | ||
VLAN 50 ETH1/0/13-14 | 192.168.50.1/24 IPV6 2001:DA8:192:168:50::1/96 | PC3 | Vlan name 产品 | |
Vlan 60 Eth1/0/15-16 | 192.168.60.1/24 IPV6 2001:DA8:192:168:60::1/96 | Vlan name 信息 | ||
VLAN 100 ETH 1/0/20 | 需设定 | Vlan name AP-Manage | ||
Loopback1 | 20.0.0.253/32(router-id) | |||
无线控制器 AC | VLAN 30 ETH1/0/4 | 20.1.0.6/30 | SW | Vlan name TO-CW |
VLAN 10 | Ipv4:需设定2001:da8:172:16:1::1/96 | 无线 1 | Vlan name WIFI- vlan10 | |
VLAN 20 | Ipv4:需设定2001:da8:172:16:2::1/96 | 无线 2 | Vlan name WIFI- vlan20 | |
VLAN 31 | 20.1.3.129/25 | Vlan name CW | ||
VLAN 140 ETH1/0/5 | 172.16.40.1/24 | SW 1/0/5 | Vlan name 销售 | |
Vlan 150 Eth1/0/13-14 | 172.16.50.1/24 IPV6 2001:DA8:172:16:60::1/96 | Vlan name 产品 | ||
Vlan 60 Eth1/0/15-18 | 192.168.60.2/24 IPV6 2001:DA8:192:168:60::2/96 | Vlan name 信息 |
设备名 称 | 接口 | IP 地址 | 对端设备 | 接口 |
Vlan 70 Eth1/0/21-22 | 20.1.0.14/30 2001:da8:192:168:10:1::1/96 | FW | Eth1/0/4- 5 | |
Loopback1 | 20.1.1.254/24(router-id) | |||
日志服务器 BC | Eth1 | 20.1.0.10/30 Ipv6:2001:da8:20:1:0::2/96 | SW | Eth1/0/3 |
Eth5 | 223.23.1.1/29 | SW | ||
eth3 | 192.168.28.1/24 | WAF | ||
PPTP-pool | 192.168.10.129/26(10 个地 址) | |||
WEB 应用防火墙WAF | ETH2 | 192.168.28.2/24 | SERVER | |
ETH3 | FW | |||
AP | Eth1 | SW(20 口) | ||
SERVER | 网卡 | 192.168.28.10/24 |
(二) 第一阶段任务书
任务 1:网络平台搭建 (50 分)
题号 | 网络需求 |
1 | 根据网络拓扑图所示,按照 IP 地址参数表,对 FW 的名称、各接口 IP 地址进行配置。 |
2 | 根据网络拓扑图所示,按照 IP 地址参数表,对 SW 的名称进行配置,创建 VLAN 并将相应接口划入 VLAN。 |
3 | 根据网络拓扑图所示,按照 IP 地址参数表,对 AC 的各接口 IP 地址进行配置。 |
4 | 根据网络拓扑图所示,按照 IP 地址参数表,对 BC 的名称、各接口 IP 地址进行配置。 |
5 | 按照 IP 地址规划表,对 WEB 应用防火墙的名称、各接口 IP 地址进行配置。 |
任务 2:网络安全设备配置与防护(250 分)
- 北京总公司和南京分公司有两条裸纤采用了骨干链路配置,做必要的配置,只允许必要的 vlan 通过,不允许其他 vlan 信息通过包含 vlan1。
- SW 和AC 开启telnet 登录功能,telnet 登录账户仅包含“***2023”,密码为明文“***2023”,采用telnet 方式登录设备时需要输入 enable 密码,密码设置为明文“12345” 。
- 北京总公司和南京分公司租用了运营商三条裸光纤,实现内部办公互通。一条裸光纤承载公司财务部门业务,另外两条裸光纤承载其他内部有业 务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离,财务业务位于 VPN 实例名称 CW 内,总公司财务和分公司财务能够通信,财务部门总公司和分公司之间采用 RIP 路由实现互相访问。
- SW 和AC 之间启用 MSTP,实现网络二层负载均衡和冗余备份,要求如下: 无线用户关联实例 1,信息部门关联实例 2,名称为SKILLS,修订版本为1,设置 AC 为根交换机,走 5 口链路转发、信息部门通过 6 口链路转发, 同时实现链路备份。除了骨干接口,关闭其他接口生成树协议。
- 总公司产品部门启用端口安全功能,最大安全MAC地址数为20,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为10分钟;禁止采用访问控制列表,只允许IP主机位为20-50的数据包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通,组名称FW。
- 由于总公司出口带宽有限,需要在交换机上对总公司销售部门访问因特网http 服务做流量控制,访问 http 流量最大带宽限制为 20M 比特/秒,突发值设为 4M 字节,超过带宽的该网段内的报文一律丢弃。
- 在SW 上配置将 8 端口收到的源 IP 为 10.0.41.111 的帧重定向到 9 端口, 即从 8 端口收到的源 IP 为 10.0.41.111 的帧通过 9 端口转发出去。
- 总公司 SW 交换机模拟因特网交换机,通过某种技术实现本地路由和因特网路由进行隔离,因特网路由实例名 internet。
- 对SW 上VLAN60 开启以下安全机制:
启用环路检测,环路检测的时间间隔为 10s,发现环路以后关闭该端口,恢复时间为 30 分钟; 如私设 DHCP 服务器关闭该端口;开启防止ARP 网关欺骗。
- 配置使北京公司内网用户通过总公司出口 BC 访问因特网,分公司内网用户通过分公司出口 FW 访问因特网,要求总公司销售部门的用户访问因特网的流量往反数据流都要经过防火墙,在通过 BC 访问因特网;防火墙 untrust 和trust1 开启安全防护,参数采用默认参数。
- 总部核心交换机上配置 SNMP,引擎 id 分别为 1;创建组 GROUP2023,采用最高安全级别,配置组的读、写视图分别为:SKILLS_R、SKILLS_W;创建认证用户为USER2023,采用 aes 算法进行加密,密钥为 Pass-1234,哈希算法为 sha,密钥为 Pass-1234;当设备有异常时,需要用本地的环回地址loopback1 发送 v3 Trap 消息至集团网管服务器 20.10.11.99、采用最高安全级别;当财务部门对应的用户接口发生 UP DOWN 事件时,禁止发送trap 消息至上述集团网管服务器。
- 总公司和分公司今年进行 IPv6 试点,要求总公司和分公司销售部门用户能够通过IPV6 相互访问,IPV6 业务通过租用裸纤承载。实现分公司和总公司
ipv6 业务相互访问;FW、AC 与SW 之间配置动态路由 OSPF V3 使总公司和分公司可以通过 IPv6 通信。
- 在总公司核心交换机 SW 配置IPv6 地址,开启路由公告功能,路由器公告的生存期为 2 小时,确保销售部门的 IPv6 终端可以通过DHCP SERVER 获取IPv6 地址,在 SW 上开启 IPV6 dhcp server 功能。
- 在南京分公司上配置 IPv6 地址,使用相关特性实现销售部的 IPv6 终端可自动从网关处获得 IPv6 无状态地址。
- FW、SW、AC、BC 之间配置 OSPF area 0 开启基于链路的 MD5 认证,密钥自定义,SW 与AC 手动配置 INTERNET 默认路由,让总公司和分公司内网用户能够相互访问包含 AC 上 loopback1 地址。
- 分公司销售部门通过防火墙上的 DHCP SERVER 获取IP 地址,server IP 地址为 20.0.0.254,地址池范围 172.16.40.10-172.16.40.100,dns-server 8.8.8.8。
- 如果 SW 的 11 端口的收包速率超过 30000 则关闭此端口,恢复时间 5 分钟;为了更好地提高数据转发的性能,SW 交换中的数据包大小指定为 1600 字节。
- 为实现对防火墙的安全管理,在防火墙 FW 的Trust 安全域开启PING,HTTP,telnet,SNMP 功能,Untrust 安全域开启 SSH、HTTPS 功能。
- 在分部防火墙上配置,分部 VLAN 业务用户通过防火墙访问 Internet 时, 转换为公网 IP: 182.22.1.1/29;保证每一个源 IP 产生的所有会话将被映射到同一个固定的 IP 地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至 20.10.28.10 的 UDP 2000 端口。
- 远程移动办公用户通过专线方式接入分公司网络,在防火墙 FW 上配置,采用L2TP 方式实现仅允许对内网信息部门的访问,端口号使用 4455,用户名密码均为ABC2023,地址池参见地址表。
- 分公司部署了一台 AC 为了便于远程管理,需要把 AC 的web 映射到外网, 让外网通过能通过防火墙外网口地址访问 AC 的 web 服务,AC 地址为loopback 地址。
- 为了安全考虑,无线用户移动性较强,访问因特网时需要在 BC 上开启web 认证使用https 方式,采用本地认证,密码账号都为 web2023,同一用户名只能在一个客户端登录,设置超时时间为 30 分钟。
- 由于分公司到因特网链路带宽比较低,出口只有 200M 带宽,需要在防火墙配置iQOS,系统中 P2P 总的流量不能超过 100M ,同时限制每用户最大下载带宽为 2M,上传为 1M,优先保障HTTP 应用,为 http 预留 100M 带宽。
- 为净化上网环境,要求在防火墙 FW 做相关配置,禁止无线用户周一至周五工作时间 9:00-18:00 的邮件内容中含有“病毒”、“赌博”的内容,且记录日志。
- 由于总公司无线是通过分公司的无线控制器统一管理,为了防止专线故障导致无线不能使用,总公司和分公司使用互联网作为总公司无线 ap 和 AC 相互访问的备份链路。FW 和BC 之间通过 IPSEC 技术实现 AP 管理段与无线AC 之间联通,具体要求为采用预共享密码为 ***2023,IKE 阶段 1 采用DH 组 1、3DES 和 MD5 加密方,IKE 阶段 2 采用 ESP-3DES,MD5。
- 总公司用户,通过 BC 访问因特网,BC 采用路由方式,在 BC 上做相关配置,让总公司内网用户(不包含财务)通过 ip:183.23.1.1/29 访问因特网。
- 在BC 上配置PPTP vpn 让外网用户能够通过 PPTP vpn 访问总公司 SW 上内网地址,用户名为 GS2023,密码 123456。
- 为了提高分公司出口带宽,尽可能加大分公司 AC 和出口FW 之间带宽。
- 在BC 上开启 IPS 策略,对分公司内网用户访问外网数据进行 IPS 防护,保护服务器、客户端和恶意软件检测,检测到攻击后进行拒绝并记录日志。
- 对分公司内网用户访问外网数据进行防病毒防护,检查协议类型包含
HTTP、FTP、POP3、SMTP,文件类型包含 exe、bat、vbs、txt,检测到攻击后进行记录日志并阻断。
- 总公司出口带宽较低,总带宽只有200M,为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量,最大上下行带宽都为50M,以免P2P流量占用太多的出口网络带宽, 启用阻断记录。
- 通过 BC 设置分公司用户在上班时间周一到周五 9:00 到 18:00 禁止玩游戏,
并启用阻断记录。
- 限制总公司内网用户访问因特网 web 视频和即时通信上传最大带宽为 10M, 启用阻断记录。
- BC 上开启黑名单告警功能,级别为预警状态,并进行邮件告警和记录日志,发现 cpu 使用率大于 80%,内存使用大于 80%时进行邮件告警并记录日志,级别为严重状态。发送邮件地址为 123@163.com,接收邮件为133139123456@163.com。
- 分公司内部有一台网站服务器直连到 WAF,地址是 192.168.28.10,端口是8080,配置将服务访问日志、WEB 防护日志、服务监控日志信息发送syslog 日志服务器, IP 地址是 192.168.28.6,UDP 的 514 端口。
- 要求能自动识别内网 HTTP 服务器上的WEB 主机,请求方法采用 GET、POST 方式。
- 在WAF 上针对HTTP 服务器进行 URL 最大个数为 10,Cookies 最大个数为30,Host 最大长度为 1024,Accept 最大长度 64 等参数校验设置,设置严重级别为中级,超出校验数值阻断并发送邮件告警。
- 为防止www.2023skills.com 网站资源被其他网站利用,通过 WAF 对资源链接进行保护,通过 Referer 方式检测,设置严重级别为中级,一经发现阻断并发送邮件告警。
- 为更好对服务器 192.168.28.10 进行防护,防止信息泄露,禁止美国地区访问服务器。
- 在WAF 上配置基础防御功能,建立特征规则“HTTP 防御”,开启 SQL 注入、XSS 攻击、信息泄露等防御功能,要求针对这些攻击阻断并保存日志发送邮件告警。
- 在 WAF 上配置定期每周六 1 点对服务器的 http://192.168.28.10/进行最大深度的漏洞扫描测试。
- 为了对分公司用户访问因特网行为进行审计和记录,需要把 AC 连接防火墙的流量镜像到 8 口。
- 由于公司 IP 地址为统一规划,原有无线网段 IP 地址为 172.16.0.0/22,为了避免地址浪费需要对 ip 地址进行重新分配;要求如下:未来公司预计部署ap 150 台;办公无线用户 vlan 10 预计 300 人,来宾用户 vlan20 以及不超过 50 人。
- BC 上配置 DHCP,管理 VLAN 为VLAN100,为 AP 下发管理地址,网段中第一个可用地址为 AP 管理地址,最后一个可用地址为网关地址,AP 通过DHCP opion 43 注册,AC 地址为loopback1 地址;为无线用户 VLAN10,20 下发 IP 地址,最后一个可用地址为网关;AP 上线需要采用 MAC 地址认证。
- AC 配置dhcpv4 和 dhcpv6,分别为总公司产品段 vlan50 分配地址;ipv4 地址池名称分别为POOLv4-50,ipv6 地址池名称分别为 POOLv6-50;ipv6 地址池用网络前缀表示;排除网关;DNS 分别为 114.114.114.114 和2400:3200::1;为 PC1 保留地址 192.168.50.9 和2001:da8:192:168:50::9, SW 上中继地址为 AC loopback1 地址。
- 在NETWORK 下配置 SSID,需求如下:NETWORK 1 下设置SSID ***2023, VLAN10,加密模式为 wpa-personal,其口令为 20232023。
- NETWORK 2 下设置 SSID GUEST,VLAN20 不进行认证加密,做相应配置隐藏该SSID; NETWORK 2 开启内置portal+本地认证的认证方式,账号为 test 密码为test2023。
- 配置SSID GUEST 每天早上 0 点到 6 点禁止终端接入; GUSET 最多接入 10 个用户,并对 GUEST 网络进行流控,上行 1M,下行 2M;配置所有无线接入用户相互隔离。
- 配置当 AP 上线,如果 AC 中储存的 Image 版本和AP 的Image 版本号不同 时,会触发 AP 自动升级;配置 AP 发送向无线终端表明 AP 存在的帧时间间隔为 2 秒;配置 AP 失败状态超时时间及探测到的客户端状态超时时间都为2 小时;配置 AP 在脱离 AC 管理时依然可以正常工作。
- 为防止外部人员蹭网,现需在设置信号值低于 50%的终端禁止连接无线信号;为防止非法 AP 假冒合法 SSID,开启 AP 威胁检测功能。
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题,内容包括:网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为 180 分钟。
介绍
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!
-
- 当竞赛结束,离开时请不要关机;
- 所有配置应当在重启后有效;
- 请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为 300 分。
项目和任务描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代 码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息 系统的机密性、完整性和可用性。因此,对抗网络攻击,组织安全事件应急响应, 采集电子证据等技术工作是网络安全防护的重要部分。现在,A 集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助 A 集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码, 帮助其巩固网络安全防线。
本模块主要分为以下几个部分:
- 网络安全事件响应
- 数字取证调查
- 应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上,参赛选手完成后,填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中,竞赛结束时每组将答案整合到一份 PDF 文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应(70 分)
任务 1:CentOS 服务器应急响应(70 分)
A 集团的 CentOS 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
本任务素材清单:CentOS 服务器虚拟机
受攻击的 Server 服务器已整体打包成虚拟机文件保存,请选手自行导入分析。
注意:Server 服务器的基本配置参见附录,若题目中未明确规定,请使用默认配置。
请按要求完成该部分的工作任务。
任务 1:CentOS 服务器虚拟机 | ||
序号 | 任务内容 | 答案 |
1 | 请提交攻击者的 IP 地址 | |
2 | 请提交攻击者使用的操作系统 |
3 | 请提交攻击者进入网站后台的密码 | |
4 | 请提交攻击者首次攻击成功的时 间,格式:DD/MM/YY:hh:mm:ss | |
5 | 请提交攻击者上传的恶意文件名 (含路径) | |
6 | 请提交攻击者写入的恶意后门文件 的连接密码 | |
7 | 请提交攻击者创建的用户账户名称 | |
8 | 请提交恶意进程的名称 |
第二部分 数字取证调查(150 分)
任务 2:基于Windows Server 的内存取证(40 分)
A 集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析 A 集团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。
本任务素材清单:存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务 2:基于 Windows Server 的内存取证 | ||
序号 | 任务内容 | 答案 |
1 | 请提交用户目录下压缩包的解压密码 | |
2 | 请提交 root 账户的登录密码 | |
3 | 请指出攻击者通过什么命令实现提权操作 | |
4 | 请指出内存中恶意进程的 PID | |
5 | 请指出恶意进程加密文件的文件类型 |
任务 3:通信数据分析取证(应用层协议)(50 分)
A 集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT), 并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分
解出隐藏的恶意程序,并分析恶意程序的行为。
本任务素材清单:捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务 3:通信数据分析取证(应用层协议) | ||
序号 | 任务内容 | 答案 |
1 | 请提交攻击者通过什么协议发起的攻击 | |
2 | 请提交攻击者第一次攻击成功的时 间 | |
3 | 请提交攻击者在目标主机上上传的文件名 | |
4 | 请解密出上传的文件内容 |
任务 4:基于Windows 计算机单机取证(60 分)
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为“evidence 1”“evidence 2”……“evidence 10”,有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于 15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。
本任务素材清单:取证镜像文件。
请按要求完成该部分的工作任务。
任务 4:基于 Windows 计算机单机取证 | ||
证据编号 | 在取证镜像中的文件名 | 镜像中原文件 Hash 码(MD5,不区分大小写) |
evidence 1 | ||
evidence 2 | ||
evidence 3 |
evidence 4 | ||
evidence 5 | ||
evidence 6 | ||
evidence 7 | ||
evidence 8 | ||
evidence 9 | ||
evidence 10 |
第三部分 应用程序安全(80 分)
任务 5:Linux 恶意程序分析(50 分)
A 集团发现其发布的应用程序文件遭到非法篡改,您的团队需要协助 A 集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单:Linux 恶意程序
请按要求完成该部分的工作任务。
任务 5:Linux 恶意程序分析 | ||
序号 | 任务内容 | 答案 |
1 | 请提交恶意程序回传数据的 url 地址 | |
2 | 请指出恶意程序会加密哪些类型的文件 | |
3 | 请指出恶意程序加密文件的算法 | |
4 | 请指出恶意程序创建的子进程名称 |
任务 6:JAVA 语言代码审计(30 分)
代码审计是指对源代码进行检查,寻找代码存在的脆弱性,这是一项需要多方面技能的技术。作为一项软件安全检查工作,代码安全审查是非常重要的一部分,因为大部分代码从语法和语义上来说是正确的,但存在着可能被利用的安全漏洞,你必须依赖你的知识和经验来完成这项工作。
本任务素材清单:Java 源文件
请按要求完成该部分的工作任务。
任务 6:JAVA 语言代码审计 | ||
序号 | 任务内容 | 答案 |
1 | 请指出存在安全漏洞的代码行 | |
2 | 请指出可能利用该漏洞的威胁名称 | |
3 | 请修改该代码行使其变得安全 |
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题,内容包括:网络安全渗透、理论技能与职业素养。
本次比赛时间为 180 分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的 flag 值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为 400 分,其中,网络安全渗透 300 分,理论技能与职
业素养 100 分。
项目和任务描述
在A 集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患,请通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗透测试,在测试中获取 flag 值。网络环境参考样例请查看附录 A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域:
-
- 数据库攻击
- 枚举攻击
-
- 权限提升攻击
- 基于应用系统的攻击
- 基于操作系统的攻击
- 逆向分析
- 密码学分析
- 隐写分析
所有设备和服务器的 IP 地址请查看现场提供的设备列表。
特别提醒
通过找到正确的 flag 值来获取得分,flag 统一格式如下所示: flag{<flag 值 >}
这种格式在某些环境中可能被隐藏甚至混淆。所以,注意一些敏感信息并利用工具把它找出来。
注:部分 flag 可能非统一格式,若存在此情况将会在题目描述中明确指出flag 格式,请注意审题。
工作任务
一、 商城购物系统(45 分)
任务编号 | 任务描述 | 答案 | 分值 |
任务一 | 请对商城购物系统进行黑盒测试,利用漏洞找到 flag1,并将 flag1 提交。flag1 格式 flag1{<flag 值>} | ||
任务二 | 请对商城购物系统进行黑盒测试,利用漏洞找到 flag2,并将 flag2 提交。flag2 格式 flag2{<flag 值>} | ||
任务三 | 请对商城购物系统进行黑盒测试,利用漏洞找到 flag3,并将 flag3 提交。flag3 格式 flag3{<flag 值>} |
二、 企业云盘系统(30 分)
任务编号 | 任务描述 | 答案 | 分值 |
任务四 | 请对企业云盘系统进行黑盒测试,利用漏洞找到 flag1,并将 flag1 提交。flag1 格式 flag1{<flag 值>} | ||
任务五 | 请对企业云盘系统进行黑盒测试,利用漏洞找到 flag2,并将 flag2 提交。 flag2 格式 flag2{<flag 值>} |
三、 FTP 服务器(165 分)
任务编号 | 任务描述 | 答案 | 分值 |
任务六 | 请获取 FTP 服务器上 task6 目录下的文件进行分析,找出其中隐藏的flag,并将 flag 提交。flag 格式 flag{<flag 值>} | ||
任务七 | 请获取 FTP 服务器上 task7 目录下的文件进行分析,找出其中隐藏的flag,并将 flag 提交。flag 格式 flag{<flag 值>} | ||
任务八 | 请获取 FTP 服务器上 task8 目录下的文件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式flag{<flag 值>} | ||
任务九 | 请获取 FTP 服务器上 task9 目录下的文件进行分析,找出其中隐藏的 flag,并将 flag 提交。flag 格式flag{<flag 值>} | ||
任务十 | 请获取 FTP 服务器上 task10 目录下的文件进行分析,找出其中隐藏的flag,并将 flag 提交。flag 格式 flag{<flag 值>} | ||
任务十一 | 请获取 FTP 服务器上 task11 目录下的文件进行分析,找出其中隐藏的flag,并将 flag 提交。flag 格式 flag{<flag 值>} |
任务十二 | 请获取 FTP 服务器上 task12 目录下的文件进行分析,找出其中隐藏的flag,并将 flag 提交。flag 格式 flag{<flag 值>} | ||
任务十三 | 请获取 FTP 服务器上 task13 目录下的文件进行分析,找出其中隐藏的flag,并将 flag 提交。flag 格式 flag{<flag 值>} |
四、 存储服务器(30 分)
任务编号 | 任务描述 | 答案 | 分值 |
任务十四 | 存储服务器 10000 端口存在漏洞,获取 FTP 服务器上 task14 目录下的文件进行分析,请利用漏洞找到 flag,并将 flag 提交。flag 格式 flag{<flag 值>} |
五、 大数据服务器(30 分)
任务编号 | 任务描述 | 答案 | 分值 |
任务十五 | 大数据服务器 10001 端口存在漏洞, 获取 FTP 服务器上 task15 目录下的文件进行分析,请利用漏洞找到 flag, 并将 flag 提交。flag 格式 flag{<flag 值>} |
附录A
拓扑结构图
六、 理论技能与职业素养(100 分)
2023 年全国职业院校技能大赛(高等职业教育组)
“信息安全管理与评估”测试题(样题)
【注意事项】
- 理论测试前请仔细阅读测试系统使用说明文档,按提供的账号和密码登录测试系统进行测试,账号只限 1 人登录。
- 该部分答题时长包含在第三阶段比赛时长内,请在临近竞赛结束前提交。
- 参赛团队可根据自身情况,可选择 1-3 名参赛选手进行作答,团队内部可以交流,但不得影响其他参赛队。
一、 单选题 (每题 2 分,共 35 题,共 70 分)
1、《中华人民共和国个人信息保护法》是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定的法规,自( )起施行。
A、 2020 年 11 月 1 日
B、 2021 年 11 月 1 日
C、 2022 年 1 月 1 日
D、 2021 年 1 月 1 日
2、下列( )方式不适合对学生进行信息道德与信息安全教育。A、观看相关新闻
B、观看相关视频C、信息技术课
D、一起玩游戏
3、有关数据库加密,下面说法不正确的是( )。A、 索引字段不能加密
B、 关系运算的比较字段不能加密C、 字符串字段不能加密
D、 表间的连接码字段不能加密
4、入侵检测的目的是( )。A、 实现内外网隔离与访问控制
B、 提供实时的检测及采取相应的防护手段,阻止黑客的入侵C、 记录用户使用计算机网络系统进行所有活动的过程
D、 预防、检测和消除病毒
5、\x32\x2E\x68\x74\x6D 此加密是几进制加密?( ) A、 二进制
B、 八进制C、 十进制
D、 十六进制
6、现代密码学中很多应用包含散列运算,而下面应用中不包含散列运算的是?
( )
A、 消息机密性B、 消息完整性C、 消息认证码D、 数字签名
7、目标计算机与网关通信失败,更会导致通信重定向的攻击形式是?( ) A、 病毒
B、 木马C、 DOS
D、 ARP 欺骗
8、设在 RSA 的公钥密码体制中,公钥为(e,n)=(13,35),则私钥 d=?
( ) A、 11
B、 13
C、 15
D、 17
9、Shell 变量命令,说法错误的是?( )
A、 变量名必须以字母或下划线开头,且只能由字母、数字和下划线组成B、 变量名的长度不得超过 100 个字符
C、 变量名在有效的范围内必须是唯一
D、 在 bash 中,变量的默认类型都是字符串型
10、SQL 的GRANT 和REVOKE 语句可以用来实现( )。A、 自主存取控制
B、 强制存取控制C、 数据库角色创建D、 数据库审计
11、Str='heiheihei' print str[3:]将输出?( ) A、 hei
B、 heihei C、 eih
D、 ihe
12、能修改系统引导扇区,在计算机系统启动时首先取得控制权的病毒属于
( )。
A、 文件病毒
B、 引导型病毒
C、 混合型病毒D、 恶意代码
13、下列哪个不是密码字典?( ) A、 弱口令字典
B、 社工字典C、 彩虹表
D、 《康熙字典》
14、Skipjack 是一个密钥长度为( )位。A、 56
B、 64
C、 80
D、 128
15、在 RSA 算法中,取 P=3,q=11,e=3,则d 等于多少?( ) A、 33
B、 20
C、 14
D、 7
16、已知字母A 的ASCII 码为十进制数 65,且 c2 为字符型,则执行语句c2='A'+'6'-'3';后,c2 中的值为?( )
A 、 D B、 68
C、 58
D、 24
17、Burp suite 是用于攻击( )的集成平台。A、 web 应用程序
B、 客户机C、 服务器D、 浏览器
18、远程windows 口令破解的工具是?( ) A、 NtScan
B、 getpass C、 Hydra
D、 Saminside
19、如果想在文件test.txt 中追加内容,应该使用下列哪个选项?( ) A、 a=open('test.txt',"a")
B、 a=open('test.txt',"r")
C、 a=open('test.txt',"d")
D、 a=open('test.txt',"w")
20、在强制存取控制机制中,当主体的许可证级别等于客体的密级时,主体可以对客体进行如下操作( )。
A、 读取B、 写入
C、 不可操作
D、 读取、写入
21、关于数据库应用系统的设计,下列说法正确的是( )。
A、 数据库应用系统设计需要考虑数据组织与存储、数据访问与处理、应用设计等几个方面
B、 数据库概念设计阶段,采用自上而下的 E-R 设计时,首先设计局部 E-R 图,然后合并各局部 E-R 图得到全局E-R 图
C、 在数据库逻辑设计阶段,将关系模式转换为具体 DBMS 平台支持的关系表D、 在数据库物理设计阶段,一般需要设计视图和关系模式的完整性约束
22、如果想在类中创建私有方法,下面哪个命名是正确的?( ) A、 _add_one
B 、 add_one C、 add_one
D、 add_one
23、nmap 的-SV 是什么操作?( ) A、 TCP 全连接扫描
B、 FIN 扫描C、 版本扫描D、 全面扫描
24、扫描器之王 NMAP 中,全面扫描的命令是什么?( ) A、 -o
B、 -SV
C、 -sP D、 -a
25、一个基于特征的IDS 应用程序需要下列选项中的哪一项来对一个攻击做出反应?( )
A、 正确配置的 DNS B、 正确配置的规则C、 特征库
D、 日志
26、一个完整的密码体制,不包括以下( )要素。A、 明文空间
B、 密文空间C、 数字签名D、 密钥空间
27、如果 VPN 网络需要运行动态路由协议并提供私网数据加密,通常采用什么技术手段实现( )。
A、 GRE
B、 GRE+IPSEC C、 L2TP
D、 L2TP+IPSEC
28、在现有的计算能力条件下,对于椭圆曲线密码算法(ECC),被认为是安全的最小密钥长度 是?( )
A、 128 位
B、 160 位
C、 512 位
D、 1024 位
29、在( )年,美国国家标准局 NBS 把 IBM 的Tuchman-Meyer 方案确定数据加密标准,即 DES。
A、 | 1949 |
B、 | 1972 |
C、 | 1977 |
D、 | 2001 |
30、过滤所依据的信息来源不包括?( ) A、 IP 包头
B、 TCP 包头C、 UDP 包头D、 IGMP 包头
31、SEAL 使用了四个( )位寄存器。A、 24
B、 32
C、 48
D、 56
32、维吉利亚(Vigenere)密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是( )。
A、 置换密码
B、 单表代换密码C、 多表代换密码D、 序列密码
33、Linux 中,使用哪一个命令删除非空文件夹?( ) A、 mv
B、 rm
C、 rmdir D、 del
34、下面哪一项不是hash 函数的等价提法?( ) A、 压缩信息函数
B、 哈希函数
C、 单向散列函数D、 杂凑函数
35、差分分析是针对下面那种密码算法的分析方法?( ) A、 DES
B、 AES C、 RC4 D、 MD5
二、 多选题 (每题 3 分,共 10 题,共 30 分)
1、分组密码的常见的四中运行模式中,如果其中一个密文分组有一个比特的错误,不会将该错误进行传播的模式是?( )
A、 ECB B、 CBC C、 CFB D、 OFB
2、Apache 服务器外围加固措施包括?( ) A、 部署WAF
B、 部署IPS C、 部署IDS
D、 部署蜜罐系统
3、Bash 编程中,常见的循环有?( ) A、 foreach
B、 while
C 、 for D、 until
4、netwox 工具拥有以下哪些功能?( ) A、 嗅探
B、 SQL 注入C、 欺骗
D、 地址转换
5、如何在不改变原始网络拓扑和业务的前提下,消除或者避免 ICMP 重定向攻击?( )
A、 关掉ip redirects B、 代理ARP
C、 使用访问控制表(ACL) D、 不同掩码长度子网划分
6、移动用户常用的VPN 接入方式是( )。A、 L2TP
B、 IPSECHIKE 野蛮模式C、 GRE+IPSEC
D、 L2TP+IPSEC
7、Linux 的ls 命令,下列说法正确的是?( ) A、 -d:选项是查看目录属性
B、 -l:选项是显示详细信息
C、 -h:选项是人性化显示文件大小D、 -i:选项是显示文件索引号
8、以下 Linux 命令中,跟网络管理相关的命令有哪些?( ) A、 ifconfig
B、 df
C 、 lsmod D、 netstat
9、防火墙一般需要检测哪些扫描行为?( ) A、 Port-scan
B、 Icmp-scan C、 Udp-scan
D、 Tcp-synflood
10、在RHEL5 系统中,以下( )操作将在分区/dev/sdb7 上创建 EXT3 文件系统。
A、 mkfs –t ext3 /dev/sdb7 B、 mkfs.ext3 /dev/sdb7
C 、 fdisk –t ext3 /dev/sdb7 D、 format /dev/sdb7 –t ext3