2024黑龙江省职业院校技能大赛暨国赛选拔赛
"信息安全管理与评估"样题
*第二阶段竞赛项目试题*
本文件为信息安全管理与评估项目竞赛-第二阶段试题,第二阶段内容包括:网络安全事件响应、数字取证调查和应用程序安全。
极安云科专注技能竞赛,包含网络建设与运维和信息安全管理与评估两大赛项,及各大CTF,基于两大赛项提供全面的系统性培训,拥有完整的培训体系。团队拥有国赛选手、大厂在职专家等专业人才担任讲师,培训效果显著,通过培训帮助各大院校备赛学生取得各省 国家级奖项,获各大院校一致好评。
*介绍*
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!
(1) 当竞赛结束,离开时请不要关机;
(2) 所有配置应当在重启后有效;
(3) 除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本项目模块分数为35分。
*项目和任务描述*
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此,对抗网络攻击,组织安全事件应急响应,采集电子证据等技术工作是网络安全防护的重要部分。现在,A集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助A集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。
本模块主要分为以下几个部分:
● 网络安全事件响应
● 数字取证调查 ● 应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上,参赛选手完成后,填写在电脑桌面上“信息安全管理与评估竞赛-第二阶段答题卷”中。选手的电脑中已经安装好 Office 软件并提供必要的软件工具 (Tools 工具包)。
工作任务
*第一部分网络安全事件响应*
任务1:应急响应
A集团的Windows服务器被黑客入侵,该服务器的系统目录被上传恶意软件,域用户凭证被读取,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
本任务素材清单:Server服务器虚拟机。
受攻击的Windows服务器已整体打包成虚拟机文件保存,请选手自行导入分析。
注意:Windows服务器的基本配置参见附录,若题目中未明确规定,请使用默认配置。
请根据赛题环境及任务要求提交正确答案。
| 任务1:应急响应 | ||
| 序号 | 任务要求 | 答案 |
| 1 | 任务要求1 | |
| 2 | 任务要求2 | |
| 3 | 任务要求3 | |
| 4 | … |
*第二部分数字取证调查*
任务2 :操作系统取证
A集团某Windows服务器系统感染恶意程序,导致系统被远程监听,请分析A集团提供的
系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。本任务素材清单:操作系统镜像、内存镜像。
请根据赛题环境及任务要求提交正确答案。
| 任务2:操作系统取证 | ||
| 序号 | 任务要求 | 答案 |
| 1 | 任务要求1 | |
| 2 | 任务要求2 | |
| 3 | 任务要求3 | |
| 4 | … |
任务3: 网络数据包分析
A集团的网络安全监控系统发现有恶意攻击者对集团官方网站进行攻击,并抓取了部分可
疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,并分析黑客的恶意行为。
本任务素材清单:捕获的网络数据包文件。
请根据赛题环境及任务要求提交正确答案。
| 任务3:网络数据包分析 | ||
| 序号 | 任务要求 | 答案 |
| 1 | 任务要求1 | |
| 2 | 任务要求2 | |
| 3 | 任务要求3 | |
| 4 | … |
任务4: 计算机单机取证
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为“evidence1”、“evidence 2”、……、“evidence10”,有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。
本任务素材清单:取证镜像文件。
请按要求完成该部分的工作任务。
| 任务4: 计算机单机取证 | ||
| 证据编号 | 在取证镜像中的文件名 | 镜像中原文件Hash码(MD5,不区分大小写) |
| evidence 1 | ||
| evidence 2 | ||
| evidence 3 | ||
| evidence 4 | ||
| evidence 5 |
| evidence 6 | ||
| evidence 7 | ||
| evidence 8 |
| evidence 9 | ||
| evidence 10 |
*第三部分应用程序安全*
*任务5:代码审计*
A集团发现其发布的Web应用程序遭到了恶意攻击,A集团提供了Web应用程序的主要代
码,您的团队需要协助A集团对该应用程序代码进行分析,找出存在的脆弱点。本任务素材清单:Web程序文件。
请根据赛题环境及任务要求提交正确答案。
| 任务5:代码审计 | ||
| 序号 | 任务要求 | 答案 |
| 1 | 任务要求1 |
| 2 | 任务要求2 | |
| 3 | 任务要求3 | |
| 4 | … |
任务6:Windows系统恶意程序分析
A集团发现其网络中蔓延了一种恶意程序,现在已采集到恶意程序的样本,您的团队需要
协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单:恶意程序文件。
请根据赛题环境及任务要求提交正确答案。
| 任务6:Windows系统恶意程序分析 | ||
| 序号 | 任务要求 | 答案 |
| 1 | 任务要求1 |
| 2 | 任务要求2 | |
| 3 | 任务要求3 | |
| 4 | … |
*第三阶段竞赛项目试题*
本文件为信息安全管理与评估项目竞赛-第三阶段试题。根据信息安全管理与评估项目技术文件要求,第三阶段为夺旗挑战CTF(网络安全渗透)。
*介绍*
夺旗挑战赛(CTF)的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等渗透测试技
术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本项目阶段分数为35分。
*注意事项*
通过找到正确的flag值来获取得分,它的格式如下所示: flag{<flag值 >}
这种格式在某些环境中可能被隐藏甚至混淆。所以,注意一些敏感信息并利用工具把它找
出来。
*项目和任务描述*
在A集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络中存在着一定
网络安全隐患,请利用你所掌握的渗透测试技术,通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗透测试,在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域:
• 信息收集
• 逆向文件分析
• 二进制漏洞利用
• 应用服务漏洞利用
• 杂项与密码学分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
*工作任务*
一、 Web1服务器
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务一 | Web1系统存在隐藏信息,请找出隐藏信息,并将flag提交。flag 格式 flag{<flag 值>} | ||
| 任务二 | Web1系统存在漏洞,请利用漏洞并找到flag,并将flag 提交。flag格式flag{<flag 值>} |
| 任务三 | Web1系统后台存在漏洞,请利用漏洞并找到flag,并将 flag 提 交 。 flag 格 式flag{<flag值>} |
二、 Web2服务器
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务四 | Web2系统存在漏洞,请利用漏洞并找到flag,并将flag 提交。flag格式flag{<flag 值>} |
| 任务五 | Web2系统后台存在漏洞,请利用漏洞并找到flag,并将 flag 提 交 。 flag 格 式flag{<flag值>} |
三、 FTP服务器
四、 应用程序1服务器
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十四 | 应用程序1服务器10000端口存在漏洞,找出其中隐藏的 flag,并将flag提交。flag 格式flag{<flag值>} |
五、 应用程序2服务器
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十五 | 应用程序2服务器10001端口存在漏洞,找出其中隐藏的 flag,并将flag提交。flag 格式flag{<flag值>} |
*分值分布表*
表1 第三阶段分值分布
| 序号 | 描述 | 分值 |
| C | 夺旗(攻击) | |
| C1 | 信息收集 |
| C2 | 逆向文件分析 | |
| C3 | 二进制漏洞利用 | |
| C4 | 应用服务漏洞利用 | |
| C5 | 杂项与密码学分析 |
图1 网络拓扑结构图
