网络安全项目深圳市选拔赛竞赛样题模块B终

1、yvO r Id sl(f Ifs第46届世界技能大赛深圳市选拔赛网络安全模块B -网络安全事件响应、数字调查取证和应用程序安全深圳信息职业技术学院附录配置清单Web_Server服务器（虚拟机形式提供）计算机名Web Server系统用户名：root密码：W0rldskill2019IP地址：192. 168. 1. 11/24Competitor_01计算机名：CompetitorOl系统用户名：Administrator密码：123456IP地址：192. 168. 1. 252/24Competitor_02organization:Competitor计算机名：Competitor_

2、02系统用户名：Administrator密码：123456IP地址：192. 168. 1. 253/24TD54_ModuleA_PreVersion:1 .08/16world China目录 TOC o 1-5 h z HYPERLINK l bookmark8 o Current Document 目录1 HYPERLINK l bookmark10 o Current Document 模块B竞赛工程样题2 HYPERLINK l bookmark12 o Current Document 介绍2 HYPERLINK l bookmark14 o Current Document

3、所需的设备、机械、装置和材料2 HYPERLINK l bookmark16 o Current Document 评分方案2 HYPERLINK l bookmark18 o Current Document 工程和任务的描述2工作任务3第一局部应急响应3任务设备清单（Web_Server服务器）3工作任务一应急响应（Web Server服务器）3 HYPERLINK l bookmark23 o Current Document 第二局部漏洞检测和修复3任务设备清单（Webserver服务器）3 HYPERLINK l bookmark25 o Current Document 工作任务一

4、 web应用程序的漏洞修复3 HYPERLINK l bookmark27 o Current Document 工作任务二操作系统的漏洞修复与加固3 HYPERLINK l bookmark29 o Current Document 第三局部数字调查取证4任务设备清单（win. img, mem. dump Network, pacp和取证镜像文件）4工作任务一 内存取证 （win. img 和 mem. dump） 4工作任务二 网络数据包分析（network, pcap） 4 HYPERLINK l bookmark31 o Current Document 工作任务三文件分析（取证镜像

5、文件）4 HYPERLINK l bookmark33 o Current Document 第四局部代码审计6 HYPERLINK l bookmark35 o Current Document 详细说明6 HYPERLINK l bookmark37 o Current Document 识别出造成安全威胁的代码行6附录8配置清单8 HYPERLINK l bookmark0 o Current Document Web_Server服务器（虚拟机形式提供）8 HYPERLINK l bookmark4 o Current Document Competitor_01 8 HYPERLIN

6、K l bookmark6 o Current Document Competitor_ 028TD54 ModuleA PreTD54 ModuleA PreTD54 ModuleA PreVersion:1.01/16模块B竞赛工程样题TD54 ModuleA PreVersion:1.01/16本竞赛工程建议书由以下文件组成：第46届世界技能大赛网络安全工程深圳市选拔赛竞赛样题-模块B介绍竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以 下指引！(1)当竞赛结束，离开时请不要关机。(2)所有配置应当在重启后有效。(3)除了 CD-ROM/H加/NET驱动器，请

7、不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试工程都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案根据目前技术描述中的技能大赛标准规范，这个测试工程模块分数为120分。工程和任务的描述你和你的团队是网络安全技术支持团队。A集团的服务器被黑客入侵，您的团队需要启 动应急响应，帮助该公司追踪此网络攻击的来源，分析黑客的攻击方法，发现系统中的漏洞； 对攻击事件进行调查取证，分析恶意软件的行为；修复系统中的漏洞，删除系统中黑客隐藏 的后门，恢复系统的正常运行，任务分为以下几个局部：应急响应漏洞检测和修复数字调查取证代码审计本局部的工作任务由参赛选手完成

8、后，填写在“第46届世界技能大赛网络安全工程安徽 省选拔赛竞赛-模块B答题卷”中。选手的电脑中已经安装好Office软件并提供必要的软件 工具 (Tools工具包)。2/16Version:1.0TD54_ModuleA_Pre工作任务2/16Version:1.0第一局部应急响应A集团的Web_Server服务器被黑客入侵，该服务器的web应用系统被上传恶意软件，系 统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，分析黑客的攻击 方法，发现系统中的漏洞，并对发现的漏洞进行修复。任务设备清单（Web_Server服务器）在Web_Server上已安装设定好基本的CentOS操

9、作系统，默认安装部署了 Web应用系统。注意：Webserver服务器的基本配置参见附录，假设题目中未明确规定，请使用默认配置。工作任务一应急响应（Web_Server服务器）找到黑客写入恶意代码的Web应用系统文件，提交文件名找到黑客留下的webshell后门程序，提交文件名和shell密码分析黑客针对web系统的攻击行为找到系统存在的恶意进程找到恶意进程的（ELF）文件分析黑客留下的后门程序（ELF文件）描述该恶意程序行为第二局部漏洞检测和修复任务设备清单（Web_Server服务器）在Web_Server上已安装设定好基本的CentOS操作系统，默认安装部署了 Web应用系统。注意：We

10、b_Server服务器的基本配置参见附录，假设题目中未明确规定，请使用默认配置。工作任务一 web应用程序的漏洞修复分析web系统中存在漏洞的php文件加固web系统相关的配置项工作任务二操作系统的漏洞修复与加找到被后门程序（ELF文件）感染的系统文件恢复被恶意程序修改的系统配置TD54 ModuleA PreTD54 ModuleA PreTD54 ModuleA PreVersion:1 .03/16第三局部数字调查取证TD54 ModuleA PreVersion:1 .03/16任务设备清单（win. img, mem. dump Network, pacp和取证镜像文件）工作任务一

11、内存取证（win. img和mem. dump）分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，并分析恶意软件 行为；识别恶意程序进程定位隐藏的恶意程序通过分析PE文件来描述恶意程序的行为找到恶意程序留在内存中key恢复被恶意软件破坏的文件工作任务二网络数据包分析（network, pcap）分析A集团提供的网络包文件，找到恶意软件，并描述其行为：识别网络数据包里的恶意程序文件分析恶意程序文件，描述恶意程序行为找到黑客在网络通信中的敏感信息工作任务三文件分析（取证镜像文件）对给定取证镜像（eOl、dd、img等）进行分析，在大量文件中准确搜索、提取和固定比 赛要求的标的文件，且表

12、达在取证报告中，并在报告中详细说明文件位置和正确呈现文件完 整内容的恢复后文件。要求：文件头损坏的图片文件（JPG、PNG）进行取证和恢复，提交证据文件本体、文件基本信息 （文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；文件头损坏的复合文档（doc、PPT、xls）且标的关键字为文本，进行取证和文件恢复， 提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；文件头损坏的复合文档（doc、PPT、xls）且标的关键字为图片，进行取证和文件恢复， 提交证据文件本体、文件基本信息（文

13、件名、路径、大小、创立时间、修改时间）、文TD54 ModuleA PreVersion:1.04/16件HashTD54 ModuleA PreVersion:1.04/16压缩文件（RAR、ZIP）,压缩包内为文件头损坏的复合文档（doc、PPT、xls）且标的关键 字为文本，进行取证和文件恢复，提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；压缩文件（RAR、ZIP）,压缩包内为文件头损坏的复合文档（doc、PPT、xls）且标的关键 字为图片，进行取证和文件恢复，提交证据文件本体、文件基本信息（文件名、路径、大

14、小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；文件头损坏的压缩文件（RAR、ZIP）,压缩包内为文件头损坏的复合文档（doc、PPT、xls）且标的关键字为图片或文本，进行取证和文件恢复，提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；修改后缀名后的图片文件（JPG、PNG）取证，提交证据文件本体、文件基本信息（文件名、 路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；修改后缀名后的文本文件（txt）取证，提交证据文件本体、文件基本信息（文件名、路径、大

15、 小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；修改后缀名，标的关键字为文本的复合文档文件取证，提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；被修改后缀名，标的关键字为图片的复合文档文件取证，提交证据文件本体、文件基本信息 （文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；文件头损坏的压缩包文件（后缀名被修改），压缩包中包含文件的后缀名被修改、且文件 头损坏，标的关键字为图片或文本的复合文档文件的取证和恢复，提交证据文件本体、文件基本信息（文件

16、名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈 现文件完整内容的恢复后文件；插入式隐藏文件取证，标的关键字为文本，提交证据文件本体、文件基本信息（文件名、 路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；插入式隐藏文件取证，标的关键字为图片，提交证据文件本体、文件基本信息（文件名、TD54 ModuleA PreTD54 ModuleA PreTD54 ModuleA PreVersion:1 .05/16TD54 ModuleA PreVersion:1 .05/16路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复

17、后文件;含标的关键字的图片文件（JPG、PNG）,提交证据文件本体、文件基本信息（文件名、路径、大小、路径、大小、创立时间、修改时间）、文件Hash路径、大小、创立路径、大小、创立时间、修改时间）、文件Hash码;提交证据文件本体、文件基本信息 文件Hash码。含标的关键字的复合文件（docx、pptx xlsx）, （文件名、路径、大小、创立时间、修改时间）、第四局部代码审计提交证据文件本体、文件基本信息 文件Hash码。查看答题卡中的代码列表并回答相应的问题。详细说明代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的 技术，作为一个高级软件开发者，代码安全作为你的

18、日常工作的一局部非常重要的，因为大 局部代码从语法和语义上来说是正确的,你必须依赖你的知识和经验来完成工作。网络安全工 程师至少要会对php java和C三种语言编写的代码进行审计。每个团队都将获得一个代码 列表，查看每一段代码然后回答附录1里的问题。识别出造成安全威胁的代码行识别存在脆弱性的代码行分析该脆弱性代码可能会受到的网络安全攻击类型解释怎么才能使代码变得安全提供针对脆弱性代码的安全加固范例：代码片段1ttinclude ftinclude void echo()printf(s，“Enter a word to be echoed: nz/); char buf128;TD54 ModuleA PreTD54 ModuleA PreTD54 ModuleA PreVersion:1.06/16gets (buf);TD54 ModuleA PreVersion:1.06/16printf (sn，buf);)int main ()(echo();)范例：问题回答：存在脆弱性的代码行第 8