2019 年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书

2019年山东省职业院校技能大赛高职组

“信息安全管理与评估”赛项任务书

一、赛项时间

08:30-13:30，共计5小时，含赛题发放、收卷及午餐时间。

二、赛项信息

竞赛阶段任务阶段竞赛任务竞赛时间分值

第一阶段：任务1网络平台搭建100

平台搭建与安全

任务2网络安全设备配置与防护200

设备配置防护08:30

第二阶段：任务1DCN_CTF-11:30100

系统安全攻防及任务2代码审计100

运维安全管控任务3文件包含200

备战阶段攻防对抗准备工作30分钟-

第三阶段系统加固：15分钟

60分钟300

分组对抗分组对抗：45分钟

三、赛项内容

本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段

需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、

三阶段请根据现场具体题目要求操作。

选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件

夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模

板”放置在文件夹中。

例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在

“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。

1

特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，

不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作

弊处理。

(一)赛项环境设置

赛项环境设置包含了两个竞赛阶段的基础信息：网络拓扑图、IP

地址规划表、设备初始化信息。

1.网络拓扑图

2

2.IP地址规划表

可用IP

设备名称接口IP地址互联

数量

E1/24INTERNET-

54/24-

防火墙DCFW54/24与DCRS相连

E2

54/24

54/24

E1/0/19-20-与DCRS相连-

VLAN11

-PC1-

E1/0/1-5

无线交换机

VLAN12

DCWS-PC2

E1/0/6-10

VLAN13E1/0/18-AP

VLAN9900/24管理

WEB应用防火E2-与DCRS相连-

墙WAFE3-与DCST相连-

E1/0/2-与DCFW相连-

VLAN15E1/0/354/30与DCBI相连-

三层交换机VLAN14E1/0/454/24与WAF相连-

DCRSE1/0/18-PC3

E1/0/19-20-与DCWS相连

VLAN9901/24管理-

网络日志系统

E353/30与DCRS相连-

DCBI

堡垒服务器

E700/24与WAF相连-

DCST

PC-1无/24与DCWS相连-

PC-2无/24与DCWS相连-

服务器场景-1无见系统安全攻防加固赛题部分

服务器场景-2无见系统安全攻防加固赛题部分

服务器场景-3无见系统安全攻防加固赛题部分

备注赛题IP地址和网络连接接口参见“IP地址规划表”；

3

3.设备初始化信息

默认管理接

设备名称管理地址用户名密码

口

防火墙

ETH0adminadmin

DCFW

网络日志系

54ETH0admin123456

统DCBI

WEB应用防

ETH5adminadmin123

火墙WAF

三层交换机-Console--

无线交换机

-Console--

DCWS

堡垒服务器

00Eth7参见“DCST登录用户表”

DCST

所有设备的默认管理接口、管理IP地址不允许修改;

备注如果修改对应设备的缺省管理IP及管理端口，涉及此设备的题目

按0分处理。

4

(二)第一阶段任务书（300分）

该阶段需要提交配置或截图文档，命名如下表所示：

阶段任务序号文档名称

任务11任务1

2任务2-DCFW

3任务2-DCBI

第一阶段

任务24任务2-WAF

5任务2-DCRS

6任务2-DCWS

任务1：网络平台搭建（100分）

平台搭建要求如下：

题号网络需求

1根据网络拓扑图所示，对WAF的名称进行配置。

根据网络拓扑图所示，按照IP地址规划表，对DCRS的名称、各接口

2IP地址进行配置，在DCRS交换机上创建相应的VLAN，并将相应接口划

入VLAN。

根据网络拓扑图所示，按照IP地址规划表，对DCFW的名称、各接口

3

IP地址进行配置。

根据网络拓扑图所示，按照IP地址规划表，在DCWS上创建相应的VLAN，

4

并将相应接口划入VLAN,对DCWS的管理IP地址进行配置。

根据网络拓扑图所示，按照IP地址规划表，对DCBI的名称（命名为

5

Netlog）、各接口IP地址进行配置。

5

任务2：网络安全设备配置与防护（200分）

DCFW:

1.E2口开启HTTPS管理和PING，管理员dcnamdin,开启Console

和安全远程登录方式，密码33Q8lf36;

2.E1口配置Untrust区域，E2配置为Trust区域，并配置相应安

全策略；

3.E1口开启PAT，使DCWS上所连接的有线和无线用户可以访问

INTERNET;

4.公网可以通过访问TCP端口8888可以telnet到DCRS；

5.对外网访问内网的流量进行严格的安全防护；

6.周一至周五9：00-18：00工作时间禁止访问;

DCBI:

7.在公司总部的DCBI上配置，设备部署方式为旁路模式，增加管

理员账户dcnadmin，密码33Q8lf36；

8.近期管理员发现公司内部访问外网速度缓慢，怀疑内网中有人私

自架设“P2P”服务器（UDP64512-65534），请记录并告警周一

至五工作时间9时至18时相关违规流量信息；

WAF:

9.配置WAF为透明模式，按题意完成接口桥接；

10.配置WAF防止源自INTERNET到DCST服务器上的DOS攻击，阀值

为3000；

6

11.DCST为公网映射服务器，对超过2000的CC攻击进行阻止；

DCRS:

12.交换机开启远程管理，使用SSH方式账号为DCN2020，密码为

12345678

13.尽可能加大DCRS与DCWS之间带宽；

14.当连接PC3VLAN物理端口接收到的流量大于端口缓存所能容纳

的大小时，端口将通知向其发送流量的设备减慢发送速度，以防

止丢包；BUM报文速率超过2000packets/s则关闭端口，10分

钟后恢复端口;

15.公司内网发现永恒之蓝病毒，请通过对总部核心交换机DCRS所

有VLAN下配置访问控制策略实现双向安全防护;

16.将DCRS与DCFW间往返数据流镜像到DCBI；

DCWS：

17.使用CLI配置静态AP发现AC（管理地址）进行二层注册，采用

MAC地址认证；

18.配置一个SSIDDCNXX：DCN2020，采用WPA-PSK认证方式，加密

方式为WPA个人版，配置密钥为DCN12345678，属于VLAN99;

19.配置所有Radio接口：AP在收到错误帧时，将不再发送ACK帧；

打开AP组播广播突发限制功能；

20.配置所有Radio接口：开启Radio的自动信道调整，每天上午

9:00触发信道调整功能；

7

二、系统安全攻防及运维安全管控(400分)

任务一名称：DCN_CTF（100分）

任务环境说明：

DCST:

攻击机场景：2020attack

攻击机场景操作系统：Windows7

攻击机场景工具：wireshark、firefox、IDA6.8、Burpsuite、Notapad++

服务器场景：2020dcnctf

服务器场景操作系统：Windows

服务器场景安装服务：apache+php+mysql集成环境

注意：连续按下五次shift键获得服务器IP

任务内容：

1.访问目标IP，打开第一题，根据页面提示，将获取的flag提交。

提交格式：flag{xxx}(提交花括号里面的字段)

2.访问目标IP，打开第二题,根据页面提示，将获取的flag提交。

提交格式：flag{xxx}(提交花括号里面的字段)

3.访问目标IP，打开第三题,根据页面提示，将获取的flag提交。

提交格式：flag{xxx}(提交花括号里面的字段)

4.访问目标IP，打开第四题,根据页面提示，将获取的flag提交。

提交格式：flag{xxx}(提交花括号里面的字段)

5.访问目标IP，打开第五题,根据页面提示，将获取的flag提交。

提交格式：flag{xxx}(提交花括号里面的字段)

8

任务二名称：2020代码审计（100分）

任务环境说明：

DCST:

攻击机场景：2020attack

攻击机场景操作系统：Windows7

攻击机场景工具：wireshark、firefox、IDA6.8、Burpsuite、Notapad++

服务器场景：2020dcncode

服务器场景操作系统：Windows

服务器场景安装服务：apache+php+mysql集成环境

注意：连续按下五次shift键获得服务器IP

任务内容：

1.找到源码，并提交源码目录个数(不含子目录)，提交格式：1

2.对代码进行审计，找到后门的位置，将后门文件名称转为十六进

制作为flag提交

3.利用后门查看phpinfo信息，将php的版本号转为十六进制作为

flag提交

4.利用该后门找到隐藏在系统文件中的flag，flag格式

flag{xxx}(提交花括号里面的)

5.找到隐藏在数据库中的flag，flag格式flag{xxx}(提交花括号里

面的)

9

任务三名称：文件包含（200分）

任务环境说明：

DCST:

攻击机场景：2020attack

攻击机场景操作系统：Windows7

攻击机场景工具：wireshark、firefox、IDA6.8、Burpsuite、Notapad++

服务器场景：2020fileinc

服务器场景操作系统：CentOS

服务器场景安装服务：lamp环境

注意：服务器没有显示IP时，请多按下回车键进行刷新

任务内容：

1.访问目标网站8091端口的lfi.php,找寻当前的flag。提交格式：

flag{xxx}(提交花括号里面的字符串)

2.根据上一题的提示，找出PHP_SHA256的值，并提交。提交格式：

flag{xxx}(提交花括号里面的字符串)

3.下载expflag.py补充脚本的flag1作为flag提交。提交格式：

flag{xxx}(提交花括号里面的字符串)

4.下载expflag.py补充脚本的flag2作为flag提交。提交格式：

flag{xxx}(提交花括号里面的字符串)

5.利用补充后的expflag.py找到/root/flag.txt作为flag提交。

提交格式：flag{xxx}(提交花括号里面的字符串)

10

第三阶段分组对抗（300分）

假定各位选手是某企业的信息安全工程师，负责服务器的维护，

该服务器可能存在着各种问题和漏洞（见以下漏洞列表）。你需要尽

快对服务器进行加固，十五分钟之后将会有很多白帽黑客（其它参赛

队选手）对这台服务器进行渗透测试。

提示1：该题不需要保存文档；

提示2：服务器中的漏洞可能是常规漏洞也可能是系统漏洞；

提示3：加固常规漏洞；

提示4：对其它参赛队系统进行渗透测试，取得FLAG值并提交

到裁判服务器。

十五分钟之后，各位选手将真正进入分组对抗环节。

注意事项：

注意1：任何时候不能关闭服务