2024年甘肃省职业院校技能大赛信息安全管理与评估任务书卷②—模块二&&模块三
模块二 网络安全事件响应、数字取证调查、应用程序安全
一 、竞赛内容
第二阶段竞赛内容包括:网络安全事件响应、数字取证调查和应
用程序安全。
| 竞赛阶段 |
任务阶段 |
竞赛任务 |
竞赛时间 |
分值 |
|
| 第二阶段 |
网络安全事件响应 |
任务 1 |
应急响应 |
100 |
|
| 数字取证调查 |
任务 2 |
网络数据包分析 |
100 |
||
| 应用程序安全 |
任务 3 |
恶意代码分析 |
100 |
||
| 总分 |
300 |
||||
二 、竞赛时长
本阶段竞赛时长为 180 分钟,共 300 分。
三 、注意事项
1. 本部分的所有工作任务素材或环境均已放置在指定的计算机上, 参赛选手完成后,填写在电脑桌面上“信息安全管理与评估竞赛-第二阶段答题卷” 中。
2. 选手的电脑中已经安装好 Office 软件并提供必要的软件工具(Tools 工具包)。
【特别提醒】
竞赛有固定的开始和结束时间,选手必须决定如何有效的分配时间。请阅读以下指引!
1. 当竞赛结束,离开时请不要关机;
2. 所有配置应当在重启后有效;
3. 除了 CD-ROM/HDD/NET 驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。
第二阶段 任务书
任务描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击 行 为已严重威胁到信息系统的机密性、完整性和可用性。因此,对抗 网络 攻击,组织安全事件应急响应,采集电子证据等技术工作是网络 安全防 护的重要部分。现在,A 集团已遭受来自不明组织的非法恶意攻击,您 的团队需要帮助 A 集团追踪此网络攻击来源,分析恶意攻击行为的证 据线索,找出操作系统和应用程序中的漏洞或者恶意代码, 帮助其巩固网络安全防线。
本模块主要分为以下几个部分:
. 网络安全事件响应;
. 数字取证调查;
. 应用程序安全。
第一部分 网络安全事件响应
任务 1 应急响应(100 分)
A 集团的 WebServer服务器被黑客入侵,该服务器的 Web 应用系统 被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司 追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,和残留的关键证据信息。
本任务素材清单:Server 服务器虚拟机
受攻击的Server服务器已整体打包成虚拟机文件保存,请选手自
行导入分析。
虚拟机用户名:root,密码:123456,若题目中未明确规定,请使
用默认配置。请按要求完成该部分工作任务,答案有多项内容的请用换行分隔。
| 任务 1 应急响应 |
||
| 序号 |
任务要求 |
答案 |
| 1 |
提交攻击者的两个内网 IP 地址 |
|
| 2 |
提交网站管理员用户的用户名与密码 |
|
| 3 |
提交黑客得到MySQL 服务的root账号密码的时间(格 式:dd/MM/yyyy:hh:mm:ss) |
|
| 4 |
查找黑客在 Web 应用文件中写入的恶意代码,提交文 件绝对路径 |
|
| 5 |
查找黑客在 Web 应用文件中写入的恶意代码,提交代 码的最简形式(格式:php xxxx?>) |
|
| 6 |
分析攻击者的提权手法,提交攻击者通过哪一个指令 成功提权 |
|
| 7 |
服务器内与动态恶意程序相关的三个文件绝对路径 |
|
| 8 |
恶意程序对外连接的目的 IP 地址 |
|
第二部分 数字取证调查
任务 2 网络数据包分析(100 分)
A 集团的网络安全监控系统发现有恶意攻击者对集团官方网站进 行攻击,并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,并分析黑客的恶意行为。
本任务素材清单:捕获的网络数据包文件(*.pcapng)
请按要求完成该部分的工作任务,答案有多项内容的请用换行分隔。
| 任务 2 网络数据包分析 |
||
| 序号 |
任务要求 |
答案 |
| 1 |
提交恶意程序传输协议 (只提交一个协议,两个以上视为无效) |
|
| 2 |
恶意程序对外连接目标 IP |
|
| 3 |
恶意程序加载的 dll 文件名称 |
|
| 4 |
解密恶意程序传输内容 |
|
| 5 |
分析恶意程序行为 |
|
第三部分 应用程序安全
任务 3 恶意程序分析(100 分)
A 集团发现其发布的应用程序文件遭到非法篡改,您的团队需要 协助A 集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单:恶意程序代码
请按要求完成该部分的工作任务。
| 任务 3 恶意程序分析 |
||
| 序号 |
任务内容 |
答案 |
| 1 |
请提交素材中的恶意应用回传数据的 url 地址 |
|
| 2 |
请提交素材中的恶意代码保存数据文件名称 (含路径) |
|
| 3 |
请描述素材中恶意代码的行为 |
|
| 4 |
...... |
|
第三阶段
模块三 网络安全渗透、理论技能与职业素养
一 、竞赛内容
第三阶段竞赛内容是:网络安全渗透、理论技能与职业素养。本
阶段分为两个部分。第一部分主要是在一个模拟的网络环境中 实现网络安全渗透测试工作,要求参赛选手作为攻击方,运用所学的 信息收集、漏洞发现、漏洞利用等渗透测试技术完成对网络的渗透测 试;并且能够通过各种信息安全相关技术分析获取存在的 flag 值。第二部分是在理论测试系统中进行考核。
| 竞赛阶段 |
任务阶段 |
竞赛任务 |
竞赛 时间 |
分值 |
|
| 第三阶段 网络安全渗 透、理论技 能与职业素 养 |
网络 安全 渗透 |
第一部分:网站 |
任务 1~任务 3 |
XX:XX- XX:XX |
45 |
| 第二部分:应用系统 |
任务 4~任务 5 |
30 |
|||
| 第三部分:应用服务器 1 |
任务 6~任务 13 |
165 |
|||
| 第四部分:应用服务器 2 |
任务 14 |
30 |
|||
| 第五部分:应用服务器 2 |
任务 15 |
30 |
|||
| 第六部分:理论技能与职业素养 |
100 |
||||
二 、竞赛时长
本阶段竞赛时长为 180 分钟,其中网络安全渗透 300 分,理论技能与职业素养 100 分,共 400 分。
三 、注意事项
通过找到正确的flag 值来获取得分,flag 统一格式如下所示:
flag{<flag 值 >}
这种格式在某些环境中可能被隐藏甚至混淆。所以,注意一些敏感信息并利用工具把它找出来。【特别提醒】部分 flag 可能非统一格式,若存在此情况将会在题目描述中明确指出flag 格式,请注意审题。
第三阶段 任务书
任务描述
在 A 集团的网络中存在几台服务器,各服务器存在着不同业务服 务。在网络中存在着一定网络安全隐患,请利用您所掌握的渗透测试 技术,通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗
透测试,在测试中获取flag 值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域:
. 数据库攻击;
. 枚举攻击;
. 权限提升攻击;
. 基于应用系统的攻击;
. 基于操作系统的攻击;
. 逆向分析;
. 密码学分析;
. 隐写分析。
所有设备和服务器的IP 地址请查看现场提供的设备列表,请根据赛题环境及现场答题卡任务要求提交正确答案。
第一部分 网站(45 分)
| 任务编号 |
任务描述 |
答案 |
分值 |
| 任务 1 |
门户网站存在漏洞,请利用漏洞并找到 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
||
| 任务 2 |
门户网站存在漏洞,请利用漏洞并找到 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
||
| 任务 3 |
门户网站存在漏洞,请利用漏洞并找到 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
第二部分 应用系统(30 分)
| 任务编号 |
任务描述 |
答案 |
分值 |
| 任务 4 |
应用系统存在漏洞, 请利用漏洞并找到 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
||
| 任务 5 |
应用系统存在漏洞, 请利用漏洞并找到 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
第三部分 应用服务器 1( 165 分)
| 任务编号 |
任务描述 |
答案 |
分值 |
| 任务 6 |
请获取 FTP 服务器上对应的文件进行分析 找出其中隐藏的 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
||
| 任务 7 |
请获取 FTP 服务器上对应的文件进行分析 找出其中隐藏的 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
||
| 任务 8 |
请获取 FTP 服务器上对应的文件进行分析 找出其中隐藏的 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
||
| 任务 9 |
请获取 FTP 服务器上对应的文件进行分析 找出其中隐藏的 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
| 任务 10 |
请获取 FTP 服务器上对应的文件进行分析 找出其中隐藏的 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
||
| 任务 11 |
请获取 FTP 服务器上对应的文件进行分析 找出其中隐藏的 flag,并将 flag 提交。 flag 格式 flag{<flag 值>} |
||
| 任务 12 |
请获取 FTP 服务器上对应的文件进行分析 找出其中隐藏的 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
||
| 任务 13 |
请获取 FTP 服务器上对应的文件进行分析 找出其中隐藏的 flag ,并将 flag 提交。 flag 格式 flag{<flag 值>} |
第四部分 应用服务器 2( 30 分)
| 任务编号 |
任务描述 |
答案 |
分值 |
| 任务 14 |
应用系统服务器 10000 端口存在漏洞,获 取 FTP 服务器上对应的文件进行分析,请 利用漏洞找到 flag,并将 flag 提交。 flag 格式 flag{<flag 值>} |
第五部分 应用服务器 3( 30 分)
| 任务编号 |
任务描述 |
答案 |
分值 |
| 任务 15 |
应用系统服务器 10001 端口存在漏洞,获 取 FTP 服务器上对应的文件进行分析,请 利用漏洞找到 flag,并将 flag 提交。 flag 格式 flag{<flag 值>} |
附录 A
图 2 网络拓扑结构图
第六部分 理论技能与职业素养(100 分)
【注意事项】
1.该部分答题时长包含在第三阶段竞赛时长内,请在临近竞赛结束前提交。
2.参赛团队可根据自身情况,可选择1-3名参赛选手进行作答,参赛队内部可以进行交流,但不得影响其他团队。
一、 单选题(每题 2 分,共 35 题,共 70 分)
1 、下列不属于口令安全威胁的是? ( )
A 、 弱口令
B 、 明文传输
C 、 MD5加密
D 、 多账户共用一个密码
2 、在学校或单位如果发现自己的计算机感染了病毒,应首先采取什么措施( )。
A 、断开网络
B 、告知领导
C 、杀毒
D 、重启
3 、检查点能减少数据库完全恢复时所必须执行的日志,提高数据库恢复速度。下列有关检查点的说法,错误的是( )。
A 、 检查点记录的内容包括建立检查点时正在执行的事务清单和这些事务最近一个日志记录的地址
B 、 在检查点建立的同时,数据库管理系统会将当前数据缓冲区中的所有数据记录写入数据库中
C 、 数据库管理员应定时手动建立检查点,保证数据库系统出现故障时可以快速恢复数据库数据
D 、 使用检查点进行恢复时需要从"重新开始文件" 中找到最后一个检查点记录在日志文件中的地址
4 、下列哪个不属于密码破解的方式? ( )
A 、 密码学分析
B 、 撞库
C 、 暴力破解
D 、 字典破解
5 、下列不属于应用层安全协议的是哪一项? ( )
A 、 Secure shell
B 、 超文本传输协议
C 、 电子交易安全协议SET
D 、 SSL协议
6 、\x32\x2E\x68\x74\x6D此加密是几进制加密? ( )
A 、 二进制
B 、 八进制
C 、 十进制
D 、 十六进制
7 、下列关于SQL Server 2008中分离和附加数据库的说法,错误的是( )
A 、 在分离数据库之前,必须先断开所有用户与该数据库的连接
B 、 分离数据库只分离数据文件,不会分离日志文件
C 、 附加数据库时文件存储位置可以与分离数据库时文件所处的存储位置不同
D 、 进行分离数据库操作时不能停止SQL Server服务
8 、C语言中的标识符只能由字母、数字和下划线三种字符组成,且第一个字符 ? ( )
A 、 必须为字母
B 、 必须为下划线
C 、 必须为字母或下划线
D 、 可以是字母,数字和下划线中任一种字符
9 、下面那个名称不可以作为自己定义的函数的合法名称? ( )
A 、 print
B 、 len
C 、 error
D 、 Haha
10 、现今非常流行的SQL(数据库语言)注入攻击属于下列哪一项漏洞的利用? ( )
A 、 域名服务的欺骗漏洞
B 、 邮件服务器的编程漏洞
C 、 WWW服务的编程漏洞
D 、 FTP服务的编程漏洞
11 、.IPSec包括报文验证头协议AH 协议号( )和封装安全载荷协议ESP协议号( )。
A 、 51 50
B 、 50 51
C 、 47 48
D 、 48 47
12 、SYN攻击属于DOS攻击的一种,它利用() 协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源? ( )
A 、 UDP
B 、 ICMP
C 、 TCP
D 、 OSPF
13 、POP3服务器使用的监听端口是? ( )
A 、 TCP的25端口
B 、 TCP的110端口
C 、 UDP的25端口
D 、 UDP的110端口
14 、一个基于特征的IDS应用程序需要下列选项中的哪一项来对一个攻击做出反应? ( )
A 、 正确配置的DNS
B 、 正确配置的规则
C 、 特征库
D 、 日志
15 、下列工具中可以直接从内存中读取windows 密码的是? ( )
A 、 getpass
B 、 QuarkssPwDump
C 、 SAMINSIDE
D 、 John
16 、利用虚假IP地址进行ICMP报文传输的攻击方法称为? ( )
A 、 ICMP泛洪
B 、 死亡之ping
C 、 LAND攻击
D 、 Smurf攻击
17 、关于函数,下面哪个说法是错误的? ( )
A 、 函数必须有参数
B 、 函数可以有多个函数
C 、 函数可以调用本身
D 、 函数内可以定义其他函数
18 、在TCP/IP参考模型中,与OSI参考模型的网络层对应的是? ( )
A 、 主机- 网络层
B 、 传输层
C 、 互联网层
D 、 应用层
19 、MD5的主循环有( ) 轮。
A 、 3
B 、 4
C 、 5
D 、 8
20 、Open函数中w 参数的作用是? ( )
A 、 读文件内容
B 、 写文件内容
C 、 删除文件内容
D 、 复制文件内容
21 、根据工信部明确的公共互联网网络安全突发事件应急预案文件,
公共互联网网络突发事件等级最高可标示的颜色是什么? ( )
A 、 红色
B 、 黄色
C 、 蓝色
D 、 橙色
22 、下列选项哪列不属于网络安全机制? ( )
A 、 加密机制
B 、 数据签名机制
C 、 解密机制
D 、 认证机制
23 、 以下选项中,不属于结构化程序设计方法的是哪个选项? ( )
A 、 可封装
B 、 自顶向下
C 、 逐步求精
D 、 模块化
24 、关于并行数据库,下列说法错误的是( )。
A 、 层次结构可以分为两层,顶层是无共享结构,底层是共享内存或共享磁盘结构
B 、 无共享结构通过最小化共享资源来降低资源竞争,因此具有很高的可扩展性,适合于OLTP应用
C 、 并行数据库系统经常通过负载均衡的方法来提高数据库系统的业务吞吐率
D 、 并行数据库系统的主要目的是实现场地自治和数据全局透明共享
25 、下面不是 Oracle 数据库支持的备份形式的是( )。
A 、 冷备份
B 、 温备份
C 、 热备份
D 、 逻辑备份
26 、Linux中,通过chmod修改权限设置,正确的是? ( )
A 、 chmod test.jpg +x
B 、 chmod u+8 test.jpg
C 、 chmod 777 test.jpg
D 、 chmod 888 test.jpg
27 、windows自带FTP服务器的日志文件后缀为? ( )
A 、 evt或.evtx
B 、 log
C 、 w3c
D 、 txt
28 、部署IPSEC VPN时,配置什么样的安全算法可以提供更可靠的数据加密( )。
A 、 DES
B 、 3DES
C 、 SHA
D 、 128位的MD5
29 、如果明文为abc,经恺撒密码- 加密后, 密文bcd,则密钥为?( )
A 、 1
B 、 2
C 、 3
D 、 4
30 、部署IPSEC VPN 网络时我们需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,其中每条加密ACL将消耗多少IPSEC SA资源( )。
A 、 1个
B 、 2个
C 、 3个
D 、 4个
31 、部署IPSEC VPN 网络时我们需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,其中每条加密ACL将消耗多少IPSEC SA资
源( )。
A 、 1个
B 、 2个
C 、 3个
D 、 4个
32 、DES的秘钥长度是多少Bit?( )
A 、 6
B 、 56
C 、 128
D 、 32
33 、VIM命令中,用于删除光标所在行的命令是? ( )
A 、 dd
B 、 dw
C 、 de
D 、 db
34 、Linux软件管理rpm命令,说法不正确的是? ( )
A 、 -v 显示详细信息
B 、 -h: 以#显示进度;每个#表示2%
C 、 -q PACKAGE_NAME:查询指定的包是否已经安装
D 、 -e 升级安装包
35 、RIP路由协议有RIP v1 和RIP v2两个版本,下面关于这两个版本的说法错误的是( )。
A 、 RIP v1和RIP v2都具有水平分割功能
B 、 RIP v1 是有类路由协议,RIP v2是无类路由协议
C 、 RIP v1 和 RIP v2 都是以跳数作为度量值
D 、 RIP v1 规定跳数的最大值为15,16跳视为不可达;而RIP v2无此限制
二、 多选题(每题 3 分,共 10 题,共 30 分)
1 、SQL Server提供了DES 、RC2 、RC4和AES等加密算法,没有某种算法能适应所有要求,每种算法都有优劣势,但选择算法需要有如下共通之处( )。
A 、 强加密通常会比较弱的加密占用更多的CPU资源
B 、 长密钥通常会比短密钥生成更强的加密
C 、 如果加密大量数据,应使用对称密钥来加密数据,并使用非对称密钥来加密该对称密钥
D 、 可以先对数据进行加密,然后再对其进行压缩
2 、 以下关于TCP和UDP协议的说法错误的是? ( )
A 、 没有区别,两者都是在网络上传输数据
B 、 TCP是一个定向的可靠的传输层协议,而UDP是一个不可靠的传输层协议
C 、 UDP是一个局域网协议,不能用于Interner传输,TCP则相反
D 、 TCP协议占用带宽较UDP协议多
3 、关于函数中变量的定义,哪些说法是正确的? ( )
A 、 即使函数外已经定义了这个变量,函数内部仍然可以定义
B 、 如果一个函数已经定义了name变量,那么其他的函数就不能再定义
C 、 函数可以直接引用函数外部定义过的变量
D 、 函数内部只能定义一个变量
4 、下面标准可用于评估数据库的安全级别的有( )
A 、 TCSEC
B 、 IFTSEC
C 、 CC DBMS.PP
D 、 GB17859- 1999E.TD
5 、安全的网络通信必须考虑以下哪些方面? ( )
A 、 加密算法
B 、 用于加密算法的秘密信息
C 、 秘密信息的分布和共享
D 、 使用加密算法和秘密信息以获得安全服务所需的协议
6 、RC4加密算法被广.泛应用,包括( )
A 、 SSL/TLS
B 、 WEP协议
C 、 WPA协议
D 、 数字签名
7 、VIM的工作模式,包括哪些? ( )
A 、 命令模式
B 、 输入模式
C 、 高亮模式
D 、 底行模式
8 、在反杀伤链中,情报可以分为那几个层次? ( )
A 、 战斗
B 、 战略
C 、 战区
D 、 战术
9 、我国现行的信息安全法律体系框架分为( )三个层面。
A 、信息安全相关的国家法律
B 、信息安全相关的行政法规和部分规章
C 、信息安全相关的地方法规/规章和行业规定
D 、信息安全相关的个人职业素养
10 、信息道德与信息安全问题一直存在的原因有( )。
A 、信息系统防护水平不高
B 、信息安全意识不强
C 、信息安全法律法规不完善
D 、网络行为道德规范尚未形成