2022年中职组网络安全国赛A模块题目解析
2022****年全国职业院校技能大赛(中职组)
网络安全竞赛试题
(1)
(总分100分)
赛题说明
一、竞赛项目简介
该竞赛主要包含四个具体模块:网络基础设施建设与安全防护、网络安全事件应急响应、数字证据采集与分析以及应用层安全防护;其中,攻防演练部分分为攻防-攻击模式和攻防-防御策略两种类型;根据实际比赛需求,赛题参数、表述和比赛环境可能会进行适当调整;具体安排如表1所示。
表1 竞赛时间安排与分值权重
| 模块编号 | 模块名称 | 竞赛时间(小时) | 权值 |
|---|---|---|---|
| A | 基础设施设置与安全加固 | 3 | 20% |
| B | 网络安全事件响应、数字取证调查和应用安全 | 40% | |
| C | CTF夺旗-攻击 | 3 | 20% |
| D | CTF夺旗-防御 | 20% | |
| 总计 | 6 | 100% |
二、竞赛注意事项
1.比赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
请依据大赛提供的比赛环境,核对所列的硬件设备、软件清单、材料清单是否完整,计算机设备是否正常运行。
在执行任何操作之前,请仔细阅读每个部分的任务说明。各任务之间可能存在一定的关联。
在操作流程中,应定期按照答题要求保存相关数据。比赛结束后,所有设备应处于正常运行状态,评判以最终提交的成果作为评判标准。
请所有参赛者在比赛结束时,将所有设备、软件和赛题放置在座位上,确保所有物品得到妥善保管,禁止将任何物品带走赛场。
6.禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为0分。
竞赛内容
模块A 基础设施设置与安全加固
(本模块20分)
一、项目和任务描述:
作为某企业的网络安全工程师,面对企业的服务器系统,需根据任务要求保障各服务正常运行。为提升服务器系统的网络安全防御能力,需综合运用多种安全策略,包括但不限于登录安全增强措施、数据库安全防护策略、流量完整性防护策略、事件监控防护策略、防火墙配置策略以及IP协议安全配置策略。本模块要求基于竞赛现场提供的A模块答题模板,对具体任务的操作进行截图记录,并在Word文档中添加相应文字说明,最终以PDF格式保存,文件命名为'赛位号+模块A',其中的PDF文件为本模块的唯一评分依据。
二、服务器环境说明
Windows 用户名:administrator,密码:123456
Linux 用户名:root,密码:123456
三、具体任务(每个任务得分以电子答题卡为准)
A-1任务一 登录安全加固
1.密码策略(Windows,Linux)
a.设置最短密码长度为15;
b.一分钟内仅允许4次登录失败,超过4次,登录帐号锁定1分钟。
2.用户安全管理
配置user1用户的登录时间为工作时间段内,用户仅限于周一至周五的9:00至18:00可以登录,并将user1的登录时间配置界面截图。
b.在组策略中只允许管理员账号从网络访问本机;
配置系统中重要目录(包括system32、hosts、Program Files、Perflogs)的最佳权限设置,仅限管理员进行读取和运行操作。
A-2任务二 数据库安全策略
在普通用户下运行MySQL服务,不建议使用管理员权限运行MySQL服务;
4.删除默认数据库(test);
5.改变默认mysql管理员用户为:SuperRoot;
6.使用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)。
A-3任务三 流量完整性
为Web网站配置HTTP重定向HTTPS设置,仅通过HTTPS协议访问网站(Windows)。注:该证书颁发给test.com,并通过https://www.test.com访问Web网站。
A-4任务四 事件监控
8.将Web服务器开启审核策略
登录事件 成功/失败;
特权使用 成功;
策略更改 成功/失败;
进程跟踪 成功/失败。
A-5任务五 防火墙策略
9.Windows系统禁用445端口;
10.Windows系统禁用23端口;
11.Linux系统使用iptables禁用23端口;
12.Linux系统使用iptables禁止别人ping通。
A-6任务六 IP协议安全配置
13.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5;
启动并运行 Regedit,然后在注册表路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 中,指定路径为 TcpMaxPortsExhausted,推荐值设定为5。
14.指定处于SYN_RCVD状态的TCP连接数的阈值为500;
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中,名称为TcpMaxHalfOpen的值推荐设置为$500。
15.指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400。
模块B 网络安全事件响应、数字取证调查和应用安全
(本模块40分,每个子任务4分)
B-1任务一:主机发现与信息收集
*任务说明:仅能获取Server1的IP地址
借助渗透机Kali2.0对靶机场景实施TCP同步扫描,通过Nmap工具完成该操作,并将其配置参数作为Flag参数包含在命令中进行提交。
请利用渗透机Kali2.0对靶机场景进行TCP同步扫描,并通过Nmap工具获取该操作显示结果的第4行服务器信息作为Flag值提交给系统。
利用Kali2.0渗透仪对靶机场景中的未连接主机执行扫描任务,通过Nmap工具完成扫描操作,并将该操作作为命令参数中的必填项指定为Flag标志提交。
通过Kali2.0渗透工具对目标机进行扫描操作,该扫描过程基于Nmap工具执行。将该操作显示结果中从下往上数第10行的数字作为Flag值提交。
利用Kali2.0渗透测试工具对目标系统进行UDP扫描渗透测试,仅扫描53和111端口,并借助Nmap工具获取该操作显示结果中111端口的状态信息作为Flag值提交;
利用Kali2.0渗透机对目标机环境进行滑动窗口扫描渗透测试,借助Nmap工具执行该操作,并提取该操作所需的必要参数作为Flag值进行提交。
请利用Kali2.0渗透仪对目标机环境进行RPC协议渗透扫描测试,并在执行命令时,确保使用必要的参数作为Flag值,最后完成提交操作。
利用Kali2.0对靶机场景进行RPC渗透测试,扫描完成后,将第7个显示的行的服务信息作为参数发送给Nmap工具进行后续分析。
B-2任务二:数据分析数字取证
*任务说明:仅能获取Server2的IP地址
通过Wireshark进行查看和分析Server2桌面环境下的attack.pcapng数据包文件,识别出该数据包中包含的恶意用户IP地址,并将其作为Flag值(格式为:[IP地址])提交。
请继续检查数据包文件attack.pacapng,识别恶意用户扫描的端口列表,并将所有端口号按升序排列作为Flag值(形式:[端口名1,端口名2,端口名3…,端口名n])提交。
请继续查看数据包文件attack.pacapng,识别出恶意用户最终获取的用户名,并将该用户名作为Flag值(格式:[用户名])提交。
进一步查看数据包文件attack.pacapng,识别出恶意用户最终获取的密码是什么,并将其作为Flag值(形式:[密码])提交;
对数据包文件attack.pacapng进行扫描分析,识别恶意连接的木马程序密码信息,并将其作为安全标记值(如:[密码值])提交。
进一步查看数据包文件attack.pacapng,识别出恶意用户下载的文件信息,并以文件名和后缀组合的形式作为Flag值(形式:[文件名.后缀名])提交;
进一步深入查看数据包文件attack.pacapng,将恶意用户下载的文件内容作为Flag值(形式:[文件内容])进行提交。
B-3任务三:SSH弱口令渗透测试
*任务说明:仅能获取Server3的IP地址
在Kali2.0渗透机上运行Zenmap工具扫描靶机场景所在网段(例如:172.16.101.0/24)存在的主机IP地址和指定开放的21、22、23端口。并提交该操作所使用的命令中必须添加的字符串作为Flag值(忽略ip地址)。
利用渗透机Kali2.0对靶机场景执行系统服务和版本扫描的渗透测试,并将该操作显示结果中SSH服务对应的服务端口信息作为关键参数提交。
在Kali2.0环境下,部署MSF模块进行渗透测试,通过search命令执行,并将扫描到的弱口令模块名称作为Flag值提交;
基于上一题的解决方案,通过执行命令来调用该模块。在获取模块运行结果后,通过show options命令,获取所需配置信息。将回显结果中的以下字段作为Flag值提交:目标地址、密码使用的猜解字典、线程、账户配置参数等,具体字段之间以英文逗号分隔,例如hello,test,..,..。
在MSF模块中设置目标靶机的IP地址,并将配置命令中的前两个关键词作为标志值提交。
在MSF模块中配置密码字典,密码字典的位置为root/2.txt,用户名为test账户,进行密码字典的爆破,获取密码并将其作为Flag值提交;
在上一题的基础上,通过第6题获取的密码,通过SSH方式连接至目标机。随后,将test用户的文件夹中唯一一个以.bmp为扩展名的文件名设置为Flag值,并提交请求。
B-4任务四:Web安全应用
*任务说明:仅能获取Server4的IP地址
通过渗透工具访问目标机器的HTTP服务,执行任务入口地址的扫描任务(参考字典 directories.txt)并将其URL地址作为旗帜值(格式为:http://172.16.1.1/页面路径)提交。
利用渗透工具对目标机进行HTTP层通信,并通过任务控制台的登录入口进行交互;解析网页内容以提取用户密码,并将提取的密码作为攻击目标向后门提交。
利用渗透工具访问目标服务器的HTTP端口,解码获取任务二中所得的密码信息,从而能够访问新的任务控制台入口。对网页内容进行分析,最终提取出新的密码信息,并将提取的密码作为任务完成的Flag标志提交。
利用渗透机连接到靶机的HTTP服务,解码获取的密码,并将解密后的密码作为提交数据,作为Flag值提交。
通过火狐浏览器模拟渗透工具访问目标机器,访问地址为靶机IP/aredil/taherice.php,对页面内容进行分析,提取并获取密码信息,将提取的密码作为Flag值进行提交。
请利用FFBrowser登录目标地址,分析该页面内容,获取密码,并将该密码作为Flag值提交。
B-5任务五:文件MD5校验
*任务说明:仅能获取Server5的IP地址
在虚拟机操作系统中,定位到...目录下test.txt文件,并通过md5sum工具计算该文件的md5值,将计算该文件md5值的命令字符串作为Flag值提交。
在Server5虚拟机环境中,通过[root目录]定位目标文件test.txt,并运行md5sum校验工具来计算该文件的完整哈希值。随后,将计算出的md5值字符串的前6位提取出来,作为Flag值进行输出。
配置虚拟机操作系统环境:在Server5系统中的root目录下,将test.txt文件的名称更改为txt.txt,随后使用md5sum工具计算该文件的MD5值。接着,计算该文件MD5值字符串的前5位数字与之前test.txt文件MD5值字符串的前5位数字之差,作为Flag值并提交。
在虚拟机操作系统环境中运行Server版本5,通过md5sum工具计算出/etc/passwd文件的MD5值,并将这些MD5值导入到passwd.md5文件中。同时,将该命令的字符串作为Flag值提交给相关服务器。
在虚拟机上登录操作系统:Server5,注册新用户,用户名设为user6,密码设置为123456。重新计算/etc/passwd文件的MD5值,并将其与passwd.md5文件中的MD5值进行比较。并计算添加用户后/etc/passwd文件MD5值字符串的前三位数字与之前MD5值字符串前三位数字的差值作为Flag值提交。
B-6任务六:Windows系统安全
*任务说明:仅能获取Server6的IP地址
利用本地PC上的Kali渗透测试平台对Server6进行系统服务及版本扫描渗透测试,并将该操作显示的结果中21端口对应的服务状态信息字符串作为参数发送。
2.将首选DNS服务器地址作为Flag值提交;
3.找到Flag1作为Flag值提交;
4.找到Flag2作为Flag值提交;
5.将系统最高权限管理员账户的密码作为Flag值提交。
B-7任务七:渗透测试
*任务说明:仅能获取Server7的IP地址
利用本地PC上的渗透测试平台Kali,对靶机场景Server7实施系统服务及版本扫描渗透扫描测试。通过工具Nmap,将输出信息以XML格式写入指定文件,并将输出的必要参数作为Flag值提交。
在本地PC的渗透测试平台Kali中,通过执行特定命令来初始化MSF数据库,并将此命令作为Flag值提交。
通过Kali平台的本地PC系统性地进行渗透测试,启动MSF工具,调用db_import函数将扫描结果导入数据库,并获取导入数据内容,将该数据处理命令作为Flag参数提交;
在MSF工具内,通过search命令进行查询MS17010漏洞利用模块的回显结果。将回显结果中的漏洞公开时间字段作为flag字段使用,并将该字段值(例如:2017-10-16)作为参数返回给系统。
通过MSF工具执行MS17010漏洞攻击模块的运行,并进行靶机漏洞状态的检查,将回显结果的最后一个单词作为Flag值进行设置。
B-8任务八:JS文件上传绕过
*任务说明:仅能获取Server8的IP地址
访问目标靶机网站的HTTP地址,将文件上传页面的完整URL地址作为Flag参数值提交;
在网站上进行链接查找,尤其是关注源代码相关的链接。可以使用高级别漏洞探测工具等专业工具对系统进行漏洞扫描分析。
2.分析文件上传页面,将验证文件格式的函数名称作为Flag值提交;
在网页中可能存在,如果不存在可以使用burp进行抓包查看
从靶机FTP服务中获取PHP文件,并将该文件重新上传至指定位置,以修改后的Content-Type信息作为提交标志。
这个顺着题目来,Content-Type可以抓包查看。
对上传的数据包进行解析,用于获取文件上传后的路径,并将其作为Flag值(形式:http://127.0.0.1/文件路径)提交;
这个就是上传的时候http上传文件的时候开启抓包,里边会有
5.将靶机网站服务所使用的ServerAPI值作为Flag值提交;
6.将靶机网站服务所使用的版本号作为Flag值提交。
B-9任务九:内存取证
*任务说明:仅能获取Server9的IP地址
1.从内存文件中找到异常程序的进程,将进程的名称作为Flag值提交;
通过在内存文件中解析获取,该进程编号被提取出来,并作为标志位提交。
通过内存文件分析,提取出目标网站的恶意链接,并将其作为Flag值提交;
在内存文件中识别异常程序植入的开机自启痕迹,借助Volatility工具解析出恶意进程在注册表中植入的开机自启动项的虚拟地址,并将该虚拟地址作为标志位提交;
从内存文件中提取异常程序的开机自启动行为,通过获取启动项的最后更新时间字段来确定该值(仅提交年月日字段,例如:20210314)
B-10任务十:Linux系统安全
*任务说明:仅能获取Server10的IP地址
利用本地PC上的Kali渗透测试平台对Server10进行了系统服务及版本扫描渗透测试,并将测试结果中22端口对应的服务版本信息字符串作为Flag值提交。通过多维度的扫描分析,确保对关键系统服务的全面覆盖,为后续的漏洞修复和优化策略制定提供可靠依据。
2.找到/var/www目录中的图片文件,将文件名称作为Flag值提交;
3.找到Flag1作为Flag值提交;
4.找到Flag2作为Flag值提交;
5.找到Flag3作为Flag值提交。
模块C CTF夺旗-攻击
(本模块20分)
一、项目和任务描述:
假设您是某企业网络安全渗透测试工程师,主要负责该企业部分服务器的安全防护工作。为了更全面地排查企业网络中可能存在的各种问题和漏洞,您将尝试进行各种攻击手段的模拟攻击,针对特定目标设备进行测试攻击,以了解当前最新的攻击手段和技术趋势。通过分析网络黑客的攻击心态,以此分析网络黑客的攻击心态,从而优化您的防御策略。
请根据《赛场参数表》提供的信息,在客户端使用谷歌浏览器登录攻击机。
二、操作系统环境说明:
客户机操作系统:Windows 10
攻击机操作系统:Kali Linux
靶机服务器操作系统:Linux/Windows
三、漏洞情况说明:
1.服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
靶向服务器上的网站可能存在命令注入攻击漏洞,该漏洞点被利用后可获取相应权限。
在靶机服务器上的网站中,可能存在文件上传的漏洞。需要完成对文件上传漏洞的定位与分析,并通过该漏洞获取相应权限。
在靶机服务器运行的网站中,可能存在文件包含漏洞,选手需完成对文件包含漏洞的识别,并将其与其他漏洞进行结合,从而获取相应的权限并进行提升。
5.操作系统提供的服务可能包含远程代码执行的漏洞,需要用户找到执行远程代码的服务,并利用该漏洞获取系统权限。
操作系统提供的服务可能包含缓冲区溢出漏洞,用户需要找到这些服务并利用该漏洞获取系统权限。
在操作系统中,可能存在一些隐藏的系统后门。选手可以发现这些后门,并通过这些后门直接获取到系统权限。
四、注意事项:
必须避免对裁判服务器进行攻击。在遭受一次警告后,若仍进行攻击,该参赛队将被驱逐出场。
2.Flag值为每台靶机服务器的唯一性标识,每台靶机服务器仅有1个;
在攻入靶机后,必须避免进行以下操作:关闭端口、修改密码、重启、关闭靶机、删除或修改Flag、建立不必要的文件。
在完成自动评分系统登录后,需要提交靶机服务器的标志值,并同时指定靶机服务器的IP地址,以确保后续操作能够顺利进行。
赛场根据不同难度等级设置了不同基准分值的靶机,每个靶机服务器前三个获得Flag值的队伍将在基础分上加分,在本阶段中,每个队伍的总分都会被计入阶段得分,具体加分规则将参考赛场的评分标准。
6.本环节不予补时。
模块D CTF夺旗-防御
(本模块20分)
一、项目和任务描述:
假定各位选手是某安全企业的网络安全工程师,承担若干服务器的渗透测试与安全防护任务,这些服务器可能存在问题和漏洞。各参赛队均拥有独立配置的堡垒机服务器,其他队无法访问。参赛选手将利用系统扫描和渗透测试等手段,识别自己堡垒服务器中的安全缺陷,并采取针对性防御措施,从而增强系统的安全防御性能。
每位选手需通过识别关键防御点、执行加固措施并评估加固效果等环节完成系统防御任务。完成防护任务后,每队选手需按照既定步骤撰写文字说明,并通过关键过程或关键操作结果的截图形式辅助说明,自行编制系统防御实施报告。该报告应以Word文档形式编写,并以PDF格式存档,文件名需标注"赛位号+模块D",且该PDF文件为本模块的唯一评分依据。
请参考《赛场参数表》列出的信息,通过客户端端点登录需进行 fortify 的服务器。
二、操作系统环境说明:
客户机操作系统:Windows 10
攻击机操作系统:Kali Linux
堡垒服务器操作系统:Linux/Windows
三、漏洞情况说明:
1.堡垒服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
堡垒服务器上的网站可能存在命令注入漏洞,需完成相关检测任务,通过该漏洞获取相应权限。
在堡垒服务器上的网站上,可能存在文件上传漏洞。要求选手识别文件上传的相关漏洞,并利用这些漏洞获取一定的权限。
堡垒服务器上的网站可能存在文件包含漏洞,需完成相关漏洞的检测与分析,并结合其他漏洞获取相应的权限后进行提权。
- 操作系统提供的服务可能包含远程代码执行的漏洞,需要用户找到执行远程代码的服务,并利用该漏洞获取系统权限。
操作系统提供的服务可能包含缓冲区溢出漏洞,用户需要找到这些服务并利用该漏洞获取系统权限。
在操作系统中,可能存在一些系统后门,选手可能需要找到这些后门,并通过这些后门直接获取到系统权限。
四、注意事项:
1.系统加固时需要保证堡垒服务器对外提供服务的可用性;
禁止任何参赛队对裁判服务器进行入侵或干扰。若再次发生此类行为,将导致该队被立即驱逐出场。
3.本环节不予补时。