2020年江西省职业院校技能大赛高职组“信息安全管理与评估”样题

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
Web应用防火墙 3.0,每月20元额度 3个月
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
简介: 2020年江西省职业院校技能大赛高职组“信息安全管理与评估”样题

2020年江西省职业院校技能大赛高职组

“信息安全管理与评估”赛项任务书

样题

  • 赛项时间

9:00-12:00,共计3小时。


image.png

本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要提交任务“操作文档”,“操作文档”需要存放在裁判组专门提供的U盘中。第二、三阶段请根据现场具体题目要求操作。


选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹(xx用具体的工位号替代),赛题第一阶段完成任务操作的文档放置在文件夹中。


例如:08工位,则需要在U盘根目录下建立“08工位”文件夹,并在“08工位”文件夹下直接放置第一个阶段的操作文档文件。


特别说明:只允许在根目录下的“08工位”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。


赛项环境设置

赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP地址规划表、设备初始化信息。


网络拓扑图

1924afb995020713458d2b4417cceb46_ff5b0a657ded4b148c1c757d2065c677.png


IP地址规划表

image.png

image.png

设备初始化信息

image.png

第一阶段任务书(400分)

该阶段需要提交配置或截图文档,命名如下表所示:

image.png

任务1:网络平台搭建(100分)

平台搭建要求如下:

image.png

任务2:网络安全设备配置与防护(300分)

DCFW:

在总公司的DCFW根据题意配置Trust,Untruct,VPNhub区域,并配置区域之间的放行策略;

配置路由,通往internet的方向配置默认路由,使用下一跳IP为PC2,通往内部路由配置静态主类汇总路由;

配置动态NAT,对应关系如下:

VLAN20用户映射为200.1.1.20;


VLAN30用户映射为200.1.1.30;


DCFW连接Internet的区域上配置以下攻击防护:

启以下Flood防护:


ICMP洪水攻击防护,警戒值2000,动作丢弃;


UDP供水攻击防护,警戒值1500,动作丢弃;


SYN洪水攻击防护,源警戒值5000,目的警戒值基于IP 2000,动作丢弃;


开启以下DOS防护:


Ping of Death攻击防护;


Teardrop攻击防护;


IP选项,动作丢弃;


ICMP大包攻击防护,警戒值2048,动作丢弃;


总公司DCFW配置SSLVPN,建立用户dcn01,密码dcn01,要求连接Internet PC2可以拨入,服务端口为9998,SSLVPN地址池参见地址表;

DCBI:

在公司总部的DCBI上配置,设备部署方式为旁路模式,增加管理员账户dcn2020,密码dcn2020;

公司总部LAN中用户访问网页URL中带有“MP3”、“MKV” 、“RMVB”需要被DCBI记录;

添加内容规则,对于网站访问关键字包含“暴力”的,记录并邮件报警;

WAF:

配置WAF为透明模式,按题意完成接口桥接;

创建审计管理员帐户,用户名:dcn2020,密码:202010dcn

配置WAF当发现恶意扫描网站时,将HTTP重定向到http://www.dcn.com/alarm.html,警告攻击者;

配置WAF防当IP请求数超过500个线程阻止该IP继续访问;

DCRS:

配置默认路由,使内网用户可以访问Internet;

将连接DCFW的双向流量镜像至Netlog进行监控和分析;

DCRS为接入交换机,为终端产生防止MAC地址防洪攻击,请配置端口安全,Eth5的端口最多学习到5个MAC地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG日志;

接入DCRS Eth4,仅允许IP地址192.168.20.1-10为源的数据包为合法包,以其它IP地址为源地址,交换机直接丢弃;

开启防ARP扫描功能,单位时间内端口收到ARP数量超过50便认定是攻击,DOWN掉此端口;

DCWS:

DCWS配置VLAN110为管理VLAN, AP动态方式注册到AC,AC管理IP为192.168.110.254; 数据VLAN为111和222,分别下发网段192.168.111.0/24,192.168.222.0/24,网关为最后一个可用IP,DNS:8.8.8.8,需要排除网关,地址租约为2天; AP静态方式注册到AC;

配置默认路由,使无线用户可以访问Internet;

配置2.4G频段下工作,使用802.11g协议;  

第二阶段任务书(600分)

任务1:Web渗透测试(200分)

任务环境说明:


DCST:


攻击机场景:hackerpc


攻击机场景操作系统:WindowsXP


攻击机场景安装服务/工具1:sqlmap


攻击机场景安装服务/工具2:burpsuite


攻击机场景安装服务/工具3:firefox浏览器及hackbar插件


攻击机场景安装服务/工具4:中国菜刀


服务器场景:WEB2017


服务器场景操作系统:Microsoft Windows Server 2003


服务器场景安装服务:apache2.4+php5.4+mysql集成环境


任务内容:


从hackerpc访问DCST中的WEB2017服务器的web页面(访问靶机,在登录界面连按五次shift可获取靶机IP),找到注入点并进行sql注入攻击,获取藏在数据库中的flag,并对结果进行截图。

尝试找到网站的后台并进行登录,获取放在后台页面中的flag值,并对结果进行截图。

寻找后台存在漏洞的上传点,编写一句话木马并绕过上传,利用一句话木马查看上传目录下的flag文件,并对结果进行截图。

利用一句话木马进入服务器后,尝试找到藏在管理员用户开机自启文件夹中的flag文件,并对结果进行截图。

该服务器上存在一隐藏用户,尝试从注册表中找到这个隐藏用户,flag值为此用户的用户名,flag格式为flag{隐藏用户的用户名},并对结果进行截图。

任务2:Mysql数据库攻防与加固(200分)

                 


任务环境说明:


DCST:


服务器场景:MYSQLserver


服务器场景操作系统:Centos 6.5


服务器场景安装服务:mysql服务


任务内容:


访问DCST中的MYSQLserver,在/var/log目录下创建access.log文件,并修改mysql服务配置文件,使其能够记录所有的访问记录,对操作步骤进行截图。

进入mysql数据库,找到可以从任何IP地址进行访问的用户,对操作过程进行截图。

对题号2中的漏洞进行加固,删除可从任意IP地址进行登录的用户,对操作步骤进行截图。

改变默认mysql管理员的名称,将默认管理员root改为admin,并将操作过程进行截图。

禁止mysql对本地文件进行存取,对mysql的配置文件进行修改,将修改部分进行截图。

任务3:文件包含漏洞攻防(200分)

                 


任务环境说明:


DCST:


攻击机场景:fipc


攻击机场景操作系统:WindowsXP


攻击机场景安装服务/工具1:apache2.4+php5.4+mysql集成环境(phpstudy)


攻击机场景安装服务/工具2:firefox浏览器及hackbar插件


服务器场景:fiserver


服务器场景操作系统:Microsoft Windows Server 2003


服务器场景安装服务:apache2.4+php5.4+mysql集成环境


任务内容:


用fipc访问DCST中的fiserver,验证其存在本地文件包含漏洞,使页面包含C盘里面的flag.txt文件,并对页面回显内容截图。

查看页面代码,找到存在文件包含漏洞的代码,标记并截图。

在fipc上然后利用远程文件包含漏洞,向windows服务器上写入文件名为exp.php的一句话木马,将fipc上创建的文件内容及结果进行截图。

利用php输入流,执行系统命令,查看服务器开放的端口,对url及页面回显内容进行截图。

对上述题目中的漏洞进行加固,对php的配置文件进行配置,使其无法对远程文件进行包含,对修改部分进行截图。

相关文章
|
6月前
|
安全 网络协议 网络安全
2023年山东省职业院校技能大赛高职组信息安全管理与评估 理论题
2023年山东省职业院校技能大赛高职组信息安全管理与评估 理论题
|
6月前
|
监控 安全 网络协议
2023年山东省职业院校技能大赛高职组信息安全管理与评估 模块一
2023年山东省职业院校技能大赛高职组信息安全管理与评估 模块一
|
6月前
|
安全 网络协议 网络安全
2024年河北省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
2024年河北省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
2024年河北省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
|
6月前
|
安全 网络安全 数据安全/隐私保护
2022年至2023年广东省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
2022年至2023年广东省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
2022年至2023年广东省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
|
6月前
|
安全 网络安全 数据安全/隐私保护
2022 年浙江省职业院校技能大赛“高职组”“信息安全管理与评估”赛项规程
2022 年浙江省职业院校技能大赛“高职组”“信息安全管理与评估”赛项规程
|
6月前
|
安全 Linux 网络安全
2023 年河北省职业院校信息安全管理与评估“(高职组) 技能大赛赛项规程
2023 年河北省职业院校信息安全管理与评估“(高职组) 技能大赛赛项规程
|
6月前
|
安全 Linux Web App开发
2021年山东省职业院校技能大赛高职组“信息安全管理与评估”样题
2021年山东省职业院校技能大赛高职组“信息安全管理与评估”样题
2021年山东省职业院校技能大赛高职组“信息安全管理与评估”样题
|
6月前
|
安全
2017年全国职业院校技能大赛高职组“信息安全管理与评估”样题-1
2017年全国职业院校技能大赛高职组“信息安全管理与评估”样题
17126 0
2017年全国职业院校技能大赛高职组“信息安全管理与评估”样题-1
|
6月前
|
存储 安全 大数据
2024年江苏省职业院校技能大赛信息安全管理与评估 第三阶段学生组(样卷)
2024年江苏省职业院校技能大赛信息安全管理与评估 第三阶段学生组(样卷)
|
6月前
|
安全 网络协议 网络安全
2024年甘肃省职业院校技能大赛高职组“信息安全管理与评估”样题(二)-1
2024年甘肃省职业院校技能大赛高职组“信息安全管理与评估”样题(二)
2024年甘肃省职业院校技能大赛高职组“信息安全管理与评估”样题(二)-1