“中銀杯”遼寧省第十九屆職業(yè)院校學(xué)生技能大賽信息安全管理與評(píng)估賽項(xiàng)2

第二階段競(jìng)賽項(xiàng)目試題本文件為信息安全管理與評(píng)估項(xiàng)目競(jìng)賽-第二階段試題，第二階段內(nèi)容包括：網(wǎng)絡(luò)安全事件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用程序安全。本次比賽時(shí)間為180分鐘。介紹競(jìng)賽有固定的開始和結(jié)束時(shí)間，參賽隊(duì)伍必須決定如何有效的分配時(shí)間。請(qǐng)認(rèn)真閱讀以下指引?。?）當(dāng)競(jìng)賽結(jié)束，離開時(shí)請(qǐng)不要關(guān)機(jī)；（2）所有配置應(yīng)當(dāng)在重啟后有效；（3）除了CD-ROM/HDD/NET驅(qū)動(dòng)器，請(qǐng)不要修改實(shí)體機(jī)的配置和虛擬機(jī)本身的硬件設(shè)置。所需的設(shè)備、機(jī)械、裝置和材料所有測(cè)試項(xiàng)目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。評(píng)分方案本項(xiàng)目模塊分?jǐn)?shù)為35分。項(xiàng)目和任務(wù)描述隨著網(wǎng)絡(luò)和信息化水平的不斷發(fā)展，網(wǎng)絡(luò)安全事件也層出不窮，網(wǎng)絡(luò)惡意代碼傳播、信息竊取、信息篡改、遠(yuǎn)程控制等各種網(wǎng)絡(luò)攻擊行為已嚴(yán)重威脅到信息系統(tǒng)的機(jī)密性、完整性和可用性。因此，對(duì)抗網(wǎng)絡(luò)攻擊，組織安全事件應(yīng)急響應(yīng)，采集電子證據(jù)等技術(shù)工作是網(wǎng)絡(luò)安全防護(hù)的重要部分?，F(xiàn)在，A集團(tuán)已遭受來(lái)自不明組織的非法惡意攻擊，您的團(tuán)隊(duì)需要幫助A集團(tuán)追蹤此網(wǎng)絡(luò)攻擊來(lái)源，分析惡意攻擊攻擊行為的證據(jù)線索，找出操作系統(tǒng)和應(yīng)用程序中的漏洞或者惡意代碼，幫助其鞏固網(wǎng)絡(luò)安全防線。本模塊主要分為以下幾個(gè)部分：網(wǎng)絡(luò)安全事件響應(yīng)數(shù)字取證調(diào)查應(yīng)用程序安全本部分的所有工作任務(wù)素材或環(huán)境均已放置在指定的計(jì)算機(jī)上，參賽選手完成后，填寫在電腦桌面上“信息安全管理與評(píng)估競(jìng)賽-第二階段答題卷”中。選手的電腦中已經(jīng)安裝好Office軟件并提供必要的軟件工具（Tools工具包）。工作任務(wù)第一部分網(wǎng)絡(luò)安全事件響應(yīng)任務(wù)1：應(yīng)急響應(yīng)A集團(tuán)的Linux應(yīng)用服務(wù)器被黑客入侵，該服務(wù)器的應(yīng)用系統(tǒng)被上傳惡意軟件，系統(tǒng)文件被惡意軟件破壞，您的團(tuán)隊(duì)需要幫助該公司追蹤此網(wǎng)絡(luò)攻擊的來(lái)源，在服務(wù)器上進(jìn)行全面的檢查，包括日志信息、進(jìn)程信息、系統(tǒng)文件、惡意文件等，從而分析黑客的攻擊行為，發(fā)現(xiàn)系統(tǒng)中的漏洞。本任務(wù)素材清單：Server服務(wù)器虛擬機(jī)。受攻擊的Server服務(wù)器已整體打包成虛擬機(jī)文件保存，請(qǐng)選手自行導(dǎo)入分析。注意：Server服務(wù)器的基本配置參見附錄，若題目中未明確規(guī)定，請(qǐng)使用默認(rèn)配置。請(qǐng)根據(jù)賽題環(huán)境及任務(wù)要求提交正確答案。任務(wù)1：應(yīng)急響應(yīng)序號(hào)任務(wù)要求答案1任務(wù)要求12任務(wù)要求23任務(wù)要求34第二部分?jǐn)?shù)字取證調(diào)查任務(wù)2：操作系統(tǒng)惡意程序檢測(cè)A集團(tuán)某服務(wù)器系統(tǒng)感染惡意程序，導(dǎo)致系統(tǒng)關(guān)鍵文件被破壞，請(qǐng)分析A集團(tuán)提供的系統(tǒng)鏡像和內(nèi)存鏡像，找到系統(tǒng)鏡像中的惡意軟件，分析惡意軟件行為。本任務(wù)素材清單：操作系統(tǒng)鏡像、內(nèi)存鏡像。請(qǐng)根據(jù)賽題環(huán)境及任務(wù)要求提交正確答案。任務(wù)2：操作系統(tǒng)惡意程序檢測(cè)序號(hào)任務(wù)要求答案1任務(wù)要求12任務(wù)要求23任務(wù)要求34任務(wù)3：網(wǎng)絡(luò)數(shù)據(jù)包分析A集團(tuán)的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)發(fā)現(xiàn)惡意份子正在實(shí)施高級(jí)可持續(xù)攻擊（APT），并抓取了部分可疑流量包。請(qǐng)您根據(jù)捕捉到的流量包，搜尋出網(wǎng)絡(luò)攻擊線索，分解出隱藏的惡意程序，并分析惡意程序的行為。本任務(wù)素材清單：捕獲的網(wǎng)絡(luò)數(shù)據(jù)包文件。請(qǐng)根據(jù)賽題環(huán)境及任務(wù)要求提交正確答案。任務(wù)3：網(wǎng)絡(luò)數(shù)據(jù)包分析序號(hào)任務(wù)要求答案1任務(wù)要求12任務(wù)要求23任務(wù)要求34任務(wù)4：計(jì)算機(jī)單機(jī)取證對(duì)給定取證鏡像文件進(jìn)行分析，搜尋證據(jù)關(guān)鍵字（線索關(guān)鍵字為“evidence1”、“evidence2”、……、“evidence10”，有文本形式也有圖片形式，不區(qū)分大小寫），請(qǐng)?zhí)崛『凸潭ū荣愐蟮臉?biāo)的證據(jù)文件，并按樣例的格式要求填寫相關(guān)信息，證據(jù)文件在總文件數(shù)中所占比例不低于15%。取證的信息可能隱藏在正常的、已刪除的或受損的文件中，您可能需要運(yùn)用編碼轉(zhuǎn)換技術(shù)、加解密技術(shù)、隱寫技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)，還需要熟悉常用的文件格式（如辦公文檔、壓縮文檔、圖片等）。本任務(wù)素材清單：取證鏡像文件。請(qǐng)按要求完成該部分的工作任務(wù)。任務(wù)4：計(jì)算機(jī)單機(jī)取證證據(jù)編號(hào)在取證鏡像中的文件名鏡像中原文件Hash碼（MD5，不區(qū)分大小寫）evidence1evidence2evidence3evidence4evidence5evidence6evidence7evidence8evidence9evidence10

第三部分應(yīng)用程序安全任務(wù)5：Android惡意程序分析A集團(tuán)發(fā)現(xiàn)其發(fā)布的Android移動(dòng)應(yīng)用程序文件遭到非法篡改，您的團(tuán)隊(duì)需要協(xié)助A集團(tuán)對(duì)該惡意程序樣本進(jìn)行逆向分析、對(duì)其攻擊/破壞的行為進(jìn)行調(diào)查取證。本任務(wù)素材清單：android的apk文件。請(qǐng)根據(jù)賽題環(huán)境及任務(wù)要求提交正確答案。任務(wù)5：Android惡意程序分析序號(hào)任務(wù)要求答案1任務(wù)要求12任務(wù)要求23任務(wù)要求34任務(wù)6：惡意腳本代碼分析A集團(tuán)發(fā)現(xiàn)其網(wǎng)絡(luò)中的存在惡意腳本感染的情況，A集團(tuán)保存了包含惡意腳本的文件，您的團(tuán)隊(duì)需要協(xié)助A集團(tuán)對(duì)該文件樣本進(jìn)行代碼分析，對(duì)其攻擊/破壞的行為進(jìn)行調(diào)查取證。本任務(wù)素材清單：惡意腳本文件或感染惡意腳本的普通用戶文件。請(qǐng)根據(jù)賽題環(huán)境及任務(wù)要求提交正確答案。任務(wù)6：惡意腳本代碼分析序號(hào)任務(wù)要求答案1任務(wù)要求12任務(wù)要求23任務(wù)要求34

信息安全管理與評(píng)估第三階段奪旗挑戰(zhàn)-攻擊第三階段競(jìng)賽項(xiàng)目試題本文件為信息安全管理與評(píng)估項(xiàng)目競(jìng)賽-第三階段試題。根據(jù)信息安全管理與評(píng)估項(xiàng)目技術(shù)文件要求，第三階段為奪旗挑戰(zhàn)-攻擊。本次比賽時(shí)間為180分鐘。介紹奪旗挑戰(zhàn)賽（CTF）的目標(biāo)是作為一名網(wǎng)絡(luò)安全專業(yè)人員在一個(gè)模擬的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)網(wǎng)絡(luò)安全滲透測(cè)試工作。本模塊要求參賽者作為攻擊方，運(yùn)用所學(xué)的信息收集、漏洞發(fā)現(xiàn)、漏洞利用等滲透測(cè)試技術(shù)完成對(duì)網(wǎng)絡(luò)的滲透測(cè)試；并且能夠通過(guò)各種信息安全相關(guān)技術(shù)分析獲取存在的flag值。所需的設(shè)備、機(jī)械、裝置和材料所有測(cè)試項(xiàng)目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。評(píng)分方案本項(xiàng)目階段分?jǐn)?shù)為35分。注意事項(xiàng)通過(guò)找到正確的flag值來(lái)獲取得分，它的格式如下所示：flag{<flag值>}這種格式在某些環(huán)境中可能被隱藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出來(lái)。項(xiàng)目和任務(wù)描述在A集團(tuán)的網(wǎng)絡(luò)中存在幾臺(tái)服務(wù)器，各服務(wù)器存在著不同業(yè)務(wù)服務(wù)。在網(wǎng)絡(luò)中存在著一定網(wǎng)絡(luò)安全隱患，請(qǐng)利用你所掌握的滲透測(cè)試技術(shù)，通過(guò)信息收集、漏洞挖掘等滲透測(cè)試技術(shù)，完成指定項(xiàng)目的滲透測(cè)試，在測(cè)試中獲取flag值。網(wǎng)絡(luò)環(huán)境參考樣例請(qǐng)查看附錄A。本模塊所使用到的滲透測(cè)試技術(shù)包含但不限于如下技術(shù)領(lǐng)域：?信息收集?逆向文件分析?二進(jìn)制漏洞利用?應(yīng)用服務(wù)漏洞利用?雜項(xiàng)與密碼學(xué)分析所有設(shè)備和服務(wù)器的IP地址請(qǐng)查看現(xiàn)場(chǎng)提供的設(shè)備列表。工作任務(wù)一、Web1服務(wù)器任務(wù)編號(hào)任務(wù)描述答案分值任務(wù)一Web1系統(tǒng)存在隱藏信息，請(qǐng)找出隱藏信息，并將flag提交。flag格式flag{<flag值>}任務(wù)二Web1系統(tǒng)存在漏洞，請(qǐng)利用漏洞并找到flag，并將flag提交。flag格式flag{<flag值>}任務(wù)三Web1系統(tǒng)后臺(tái)存在漏洞，請(qǐng)利用漏洞并找到flag，并將flag提交。flag格式flag{<flag值>}二、Web2服務(wù)器任務(wù)編號(hào)任務(wù)描述答案分值任務(wù)四Web2系統(tǒng)存在漏洞，請(qǐng)利用漏洞并找到flag，并將flag提交。flag格式flag{<flag值>}任務(wù)五Web2系統(tǒng)后臺(tái)存在漏洞，請(qǐng)利用漏洞并找到flag，并將flag提交。flag格式flag{<flag值>}三、FTP服務(wù)器任務(wù)編號(hào)任務(wù)描述答案分值任務(wù)六請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)七請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)八請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)九請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的流量包進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)十請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)十一請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)十二請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)十三請(qǐng)獲取FTP服務(wù)器上對(duì)應(yīng)的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}四、應(yīng)用程序1服務(wù)器任務(wù)編號(hào)任務(wù)描述答案分值任務(wù)十四應(yīng)用程序1服務(wù)器10000端口存在漏洞，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}五、應(yīng)用程序2服務(wù)器任務(wù)編號(hào)任務(wù)描述答案分值任務(wù)十五應(yīng)用程序2服務(wù)器10001端口存在漏洞，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}分值分布表表1第三階段分值分布序號(hào)描述分值C奪旗(攻擊)C1信息收集C2逆向文件分析C3二進(jìn)制漏洞利用C4應(yīng)用服務(wù)漏洞利用C5雜項(xiàng)與密碼學(xué)分析附錄A圖1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖目 錄第一階段競(jìng)賽項(xiàng)目試題 3介紹 3所需的設(shè)備、機(jī)械、裝置和材料 3評(píng)分方案 3注意事項(xiàng) 3項(xiàng)目和任務(wù)描述 31. 網(wǎng)絡(luò)拓?fù)鋱D 32. IP地址規(guī)劃表 5任務(wù)1：網(wǎng)絡(luò)平臺(tái)搭建 6任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護(hù) 6第二階段競(jìng)賽項(xiàng)目試題 13介紹 13所需的設(shè)備、機(jī)械、裝置和材料 13評(píng)分方案 13項(xiàng)目和任務(wù)描述 13工作任務(wù) 14第一部分網(wǎng)絡(luò)安全事件響應(yīng) 14任務(wù)1：應(yīng)急響應(yīng) 14本任務(wù)素材清單：Server服務(wù)器虛擬機(jī)。 14第二部分?jǐn)?shù)字取證調(diào)查 14任務(wù)2：操作系統(tǒng)惡意程序檢測(cè) 14本任務(wù)素材清單：操作系統(tǒng)鏡像、內(nèi)存鏡像。 14任務(wù)3：網(wǎng)絡(luò)數(shù)據(jù)包分析 15本任務(wù)素材清單：捕獲的網(wǎng)絡(luò)數(shù)據(jù)包文件。 15任務(wù)4：計(jì)算機(jī)單機(jī)取證 15本任務(wù)素材清單：取證鏡像文件。 16第三部分應(yīng)用程序安全 17任務(wù)5：Android惡意程序分析 17本任務(wù)素材清單：android的apk文件。 17任務(wù)6：惡意腳本代碼分析 17本任務(wù)素材清單：惡意腳本文件或感染惡意腳本的普通用戶文件。 17第三階段競(jìng)賽項(xiàng)目試題 19介紹 19所需的設(shè)備、機(jī)械、裝置和材料 19評(píng)分方案 19注意事項(xiàng) 19項(xiàng)目和任務(wù)描述 19工作任務(wù) 20分值分布表 22附錄A 23目 錄第一階段競(jìng)賽項(xiàng)目試題 3介紹 3所需的設(shè)備、機(jī)械、裝置和材料 3評(píng)分方案 3注意事項(xiàng) 3項(xiàng)目和任務(wù)描述 31. 網(wǎng)絡(luò)拓?fù)鋱D 32. IP地址規(guī)劃表 5任務(wù)1：網(wǎng)絡(luò)平臺(tái)搭建 6任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護(hù) 6第二階段競(jìng)賽項(xiàng)目試題 13介紹 13所需的設(shè)備、機(jī)械、裝置和材料 13評(píng)分方案 13項(xiàng)目和任務(wù)描述 13工作任務(wù) 14第一部分網(wǎng)絡(luò)安全事件響應(yīng) 14任務(wù)1：應(yīng)急響應(yīng) 14本任務(wù)素材清單：Server服務(wù)器虛擬機(jī)。 14第二部分?jǐn)?shù)字取證調(diào)查 14任務(wù)2：操作系統(tǒng)惡意程序檢測(cè) 14本任務(wù)素材清單：操作系統(tǒng)鏡像、內(nèi)存鏡像。 14任務(wù)3：網(wǎng)絡(luò)數(shù)據(jù)包分析 15本任務(wù)素材清單：捕獲的網(wǎng)絡(luò)數(shù)據(jù)包文件。 15任務(wù)4：計(jì)算機(jī)單機(jī)