2021年山东省职业院校技能大赛高职组“信息安全管理与评估”样题

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介: 2021年山东省职业院校技能大赛高职组“信息安全管理与评估”样题

2021年山东省职业院校技能大赛

高职组 “信息安全管理与评估”赛项样题

  • 赛项时间

09:00-13:30,共计4个小时30分钟,含赛题发放、收卷时间。

  • 赛项信息

image.png

  • 赛项内容

本次大赛,各位选手需要完成三个阶段的任务,其中第一、二阶段任务“答题模板”需要存放在裁判组专门提供的U盘中。


比赛结束后选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹(xx用具体的工位号替代),要求把赛题第一、二阶段完成任务答题模板文档放置在新建文件夹中。


例如:08工位,则需要在U盘根目录下建立“08工位”文件夹,并在“08工位”文件夹下直接放置第一阶段答题模板的文档文件。


特别说明:只允许在根目录下的“08工位”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。


  • 赛项环境设置

赛项环境设置包含了两个竞赛阶段的基础信息:网络拓扑图、IP地址规划表、设备初始化信息。

  1. 网络拓扑图

PC环境说明:

PC-1(须使用物理机中的虚拟机):


物理机操作系统:Windows7 64位旗舰版


VMware Workstation 12 Pro


虚拟机操作系统:Kali Linux(Debian7 64Bit)


虚拟机安装服务/工具:Metasploit Framework


虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)


PC-2(须使用物理机中的虚拟机):


物理机操作系统:Windows7 64位旗舰版


VMware Workstation 12 Pro


虚拟机操作系统:Kali Linux(Debian7 64Bit)


虚拟机安装服务/工具:Metasploit Framework


虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)


PC-3(须使用物理机中的虚拟机):


物理机操作系统:Windows7 64位旗舰版


VMware Workstation 12 Pro


虚拟机操作系统:Kali Linux(Debian7 64Bit)


虚拟机安装服务/工具:Metasploit Framework


虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)

  1. IP地址规划表

image.png

image.png

  1. 设备初始化信息

image.png

  • 第一阶段任务书(300分)

该阶段需要提交配置或截图文档,命名如下表所示:

image.png

任务一:网络平台搭建

平台搭建要求如下:

image.png 任务二:网络安全设备配置与防护

DCFW:

在DCFW上配置,连接LAN接口开启PING等所有管理方式,连接Internet接口关闭所有管理方式,配置trust区域与Untrust之间的安全策略且禁止从外网访问内网的任何设备;

DCFW上配置SNAT功能,使内网用户能正常访问外网;

在DCFW做相关配置SSLVPN,服务器端口为8888,SSLVPN地址池参见地址表,并配置相应安全策略;

DCFW上配置记录所有发布在网站上的文章及帖子,并禁止任意时间内所有用户在计算机与互联网网站中发布关于“价格”的文章或帖子并记录;

DCFW上做相关配置要求限制所有用户的任意源ip到目的ip的每5秒新建会话数不超过30;

DCFW上配置禁止内网用户访问URL中带有“答案”关键字的所有网站并加以记录;

DCBI:

在DCBI上配置,设备部署方式为旁路模式,审计引擎模式为普通模式;

在DCBI上配置激活NTP,本地时区+8:00,并添加NTP服务器名称清华大学,域名为s1b.time.edu.cn;

在DCBI上配置URL黑白名单,并将www.taobao.com加入到黑名单中并在有人访问时网页报警,时间为周一到周五的上班时间9:00-18:00;

WAF:

在WAF上配置WEB攻击告警,发送间隔为10分钟,选择邮件和短信两种方式,接收邮箱填写gengtao2020@126.com,不需要摘要信息,手机号码填写15801313448;

在WAF上开启漏洞扫描功能,目标地址为192.168.111.1,每天中午12点扫描SQL注入和拒绝服务;

在WAF上配置网站隐身,并添加过滤字符为Server的过滤报头;

DCRS:

在DCRS上配置vlan10和vlan20的地址池,并将vlan10和vlan20的网关地址排除;

为了防止大量的无效报文传送上CPU从而导致负载过重,在DCRS上配置DCP,限速值为50;

在DCRS上使用端口隔离功能,使vlan10与vlan20用户无法互通,却能与上行端口互通;

DCRS通过vlan1与一个TACACS+认证服务器相连,DCRS的ip地址为10.10.10.1/24,TACACS+认证服务器的ip地址为10.10.10.2/24,认证端口为缺省端口49,交换机的telnet 登录认证方式设置为tacacs local,在DCRS上配置,当有电脑通过Telnet登录交换机时,使用TACACS+认证服务器对该用户进行认证;

DCWS:

为防止大量AP因为没有通过认证从而与AC不断地建立非常多的TCP连接,持续消耗AC的CPU资源,在DCWS上配置AP FLOOD反制功能使AP在10分钟内与AC建立连接超过5次,将其加入到AP FLOOD反制表中,并且60分钟之内不允许再次连接;

设置SSID DCN2020,VLAN30,加密模式为wpa-personal,其口令为dcn12345;

在DCWS上配置使某用户的射频类型为IEEE 802.11b/g,并且设置RTS的门限值为256字节,当MPDU的长度超过该值时,802.11MAC启动RTS/CTS交互机制;

通过配置达到检测网络中是否有未被管理的AP接入有线网络中的要求。

第二阶段任务书(450分)

特殊说明:


任务一:DCN_CMS

任务环境说明:


PC:


攻击机场景1: attack


攻击机场景操作系统:Windows7


攻击机场景工具:wireshark、firefox、IDAPRO、Burpsuite、VSCode


攻击机场景2: kali


攻击机场景操作系统:kali linux


用户名/密码:root/toor


攻击机场景工具:GCC、GDB、python2、python3


DCST:


服务器场景:2020dcncms


服务器场景操作系统:Linux


服务器场景安装服务:web服务注意:连续按下五次shift键获得服务器IP


注意:服务器ip地址在控制台banner中,获取不到多次按enter


任务内容:


1.访问8080端口,将ecshop版本号数字作为flag提交(截图保存)


2.访问网站,利用漏洞找到网站根目录的flag1,将flag1作为flag提交(截图保存)


3.访问网站,将系统根目录的flag2文件内容作为flag提交(截图保存)


任务二:DCN_WEB

任务环境说明:


PC:


攻击机场景: attack


攻击机场景操作系统:Windows7


攻击机场景工具:wireshark、firefox、IDAPRO、Burpsuite、VSCode


DCST:


服务器场景:2020dcnweb


服务器场景操作系统: Linux


服务器场景安装服务:apache+php+mysql集成环境


注意:服务器IP在控制台显示,如IP不显示,按ENTER刷新


任务内容:


1. 访问目标IP:8090,打开第一题,根据页面提示,获取根目录下的flag提交。提交格式:flag{xxx} (提交花括号里面的字段,截图保存文档提交)


2. 访问目标IP:8091,打开第二题,根据页面提示,找到/tmp/目录下flag,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


3. 访问目标IP:8092,打开第三题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


4. 访问目标IP:8093,打开第四题,根据页面提示,获取数据库中 flag,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


5. 访问目标IP:8094,打开第五题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


任务三:DCN_MISC

任务环境说明:


PC:


攻击机场景:attack


攻击机场景操作系统:Windows7


攻击机场景工具:wireshark、firefox、IDAPRO、Burpsuite、VSCode


DCST:


服务器场景:2020dcnmisc


服务器场景操作系统: Linux


服务器场景安装服务:apache+php+mysql集成环境


注意:服务器IP在控制台显示,如IP不显示,按ENTER刷新


任务内容:


1. 访问目标IP:80,点击”Cam”,下载文件并获取中flag,将获取的flag提交。提交格式:flag{xxx} (提交花括号里面的字段,截图保存文档提交)


2. 访问目标IP:80,点击”Hex”,下载文件并获取中flag,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


3. 访问目标IP:80,点击”rar”,下载文件并获取中flag,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


4. 访问目标IP:80,点击”four”,下载文件并获取中flag,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


5. 访问目标IP:80,点击”docx”,下载文件并获取中flag,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


6. 访问目标IP:80,点击” wireshark”,下载文件并获取中flag,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


7. 访问目标IP:80,点击” ping”,下载文件并获取中flag,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


8. 访问目标IP:80,点击”docx2”,下载文件并获取中flag,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


9. 访问目标IP:80,点击” TLS”,下载文件并获取中flag,将获取的flag提交。提交格式:flag{xxx}(提交花括号里面的字段,截图保存文档提交)


第三阶段 分组对抗(250分)

假定各位选手是某企业的信息安全工程师,负责服务器的维护,该服务器可能存在着各种问题和漏洞(见以下漏洞列表)。你需要尽快对服务器进行加固,十五分钟之后将会有很多白帽黑客(其它参赛队选手)对这台服务器进行渗透测试。


提示1:该题不需要保存文档;


提示2:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;


提示3:加固常规漏洞;


提示4:对其它参赛队系统进行渗透测试,取得FLAG值并提交到裁判服务器。


十五分钟之后,各位选手将真正进入分组对抗环节。


注意事项:


注意1:任何时候不能关闭服务器80端口,要求站点能够被正常访问;


注意2:不能对服务器、网络设备进行攻击,一经发现立即终止该参赛队的比赛,参赛选手清离赛场,并隔离到比赛结束。


注意3:在加固阶段(前十五分钟,具体听现场裁判指令)不得对任何服务器发起攻击。


注意4:FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅有一个。


注意5:靶机的Flag值存放在/flag文件内容当中。


注意6:每队初始分X分,每提交1次对手靶机的Flag值增加X分,每当被对手提交1次自身靶机的Flag值扣除X分,本阶段最低得分为0分,最高得分为250分。


注意7:在登录自动评分系统后,提交对手靶机的Flag值,同时需要指定对手靶机的IP地址。


注意8:如因参赛队被攻击导致的问题,现场裁判不予帮助解决。


在这个环节里,各位选手需要继续保护你的服务器免受各类黑客的攻击,你可以继续加固你的服务器,你也可以选择攻击其他组的保护服务器。


漏洞列表:


1. 靶机上的网站存在webshell,要求选手进行审计,找到的相关漏洞,利用此漏洞获取一定权限。


2. 靶机上的网站存在SQL注入、命令执行、文件上传等漏洞,要求选手找到相关漏洞,并利用漏洞获取一定权限。


3. 操作系统提供的服务存在未授权访问,要求选手利用相关漏洞,获取一定权限。


4. 操作系统存在一些后门漏洞,要求选手找到后门,并利用预留的后门直接获取flag。


选手通过以上的所有漏洞点,最后得到其他选手靶机的最高权限,并获取到其他选手靶机上的FLAG值进行提交。

相关文章
|
6月前
|
安全 网络协议 网络安全
2023年山东省职业院校技能大赛高职组信息安全管理与评估 理论题
2023年山东省职业院校技能大赛高职组信息安全管理与评估 理论题
|
6月前
|
监控 安全 网络协议
2023年山东省职业院校技能大赛高职组信息安全管理与评估 模块一
2023年山东省职业院校技能大赛高职组信息安全管理与评估 模块一
|
6月前
|
安全 网络协议 网络安全
2024年河北省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
2024年河北省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
2024年河北省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
|
6月前
|
安全 网络安全 数据安全/隐私保护
2022年至2023年广东省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
2022年至2023年广东省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
2022年至2023年广东省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
|
6月前
|
安全 网络安全 数据安全/隐私保护
2022 年浙江省职业院校技能大赛“高职组”“信息安全管理与评估”赛项规程
2022 年浙江省职业院校技能大赛“高职组”“信息安全管理与评估”赛项规程
|
6月前
|
安全 Linux 网络安全
2023 年河北省职业院校信息安全管理与评估“(高职组) 技能大赛赛项规程
2023 年河北省职业院校信息安全管理与评估“(高职组) 技能大赛赛项规程
|
6月前
|
安全 关系型数据库 MySQL
2020年江西省职业院校技能大赛高职组“信息安全管理与评估”样题
2020年江西省职业院校技能大赛高职组“信息安全管理与评估”样题
2020年江西省职业院校技能大赛高职组“信息安全管理与评估”样题
|
6月前
|
存储 安全 大数据
2024年江苏省职业院校技能大赛信息安全管理与评估 第三阶段学生组(样卷)
2024年江苏省职业院校技能大赛信息安全管理与评估 第三阶段学生组(样卷)
|
6月前
|
安全
2017年全国职业院校技能大赛高职组“信息安全管理与评估”样题-1
2017年全国职业院校技能大赛高职组“信息安全管理与评估”样题
17127 0
2017年全国职业院校技能大赛高职组“信息安全管理与评估”样题-1
|
6月前
|
安全 网络安全 网络协议
2024年甘肃省职业院校技能大赛高职组“信息安全管理与评估”样题(一)-2
2024年甘肃省职业院校技能大赛高职组“信息安全管理与评估”样题(一)
2024年甘肃省职业院校技能大赛高职组“信息安全管理与评估”样题(一)-2