第十五届（2022年）山东省职业院校技能大赛高职组信息安全管理与评估竞赛试题

17/18第一阶段竞赛项目试题根据信息安全管理与评估技术文件要求，第一阶段为网络平台搭建与网络安全设备配置与防护。本文件为信息安全管理与评估项目竞赛-第一阶段试题。介绍竞赛阶段任务阶段竞赛任务第一阶段平台搭建与安全设备配置防护任务1网络平台搭建任务2网络安全设备配置与防护所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本阶段竞赛项目分数为300分。注意事项赛题第一阶段请按裁判组专门提供的U盘中的“XXX-第1阶段-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），所完成的“XXX-第1阶段-答题模板”放置在文件夹中作为比赛结果提交。

项目和任务描述1.网络拓扑图

2.IP地址规划表设备名称接口IP地址对端设备防火墙FWETH0/1-2（AG1）AG1.11354/30（Trust安全域）CSETH1/0/1CSETH1/0/2AG1.11454/30（Trust安全域）ETH0/354/30（Trust安全域）NETLOGETH3ETH0/454/30（Trust安全域）NETLOGETH4ETH0/5/27（untrust安全域）IDCSERVERETH0/6/28（untrust安全域）INTERNETLoopback/24（Trust安全域）--Loopback/24（Trust安全域）Loopback3/24（Trust安全域）Loopback4/24（Trust安全域）VLAN40ETH1/0/4-82/26PC2VLAN50ETH1/0/32/26PC3VLAN51ETH1/0/2354/30NETLOGETH5VLAN52ETH1/0/2454/24WAFETH3VLAN113VLAN113OSPF53/30FW三层交换机CSVLAN114VLAN114OSPF53/30FWVLAN117ETHE1/0/1753/30NETLOGETH1VLAN118CSETHE1/0/1853/30NETLOGETH2ETH1/0/20VLAN100/302001::192:168:100:1/112VLAN115OSPF54/30VLAN116OSPF54/30WSETH1/0/20无线交换机WSETH1/0/20VLAN100/302001::192:168:100:2/112VLAN11553/30VLAN11653/30CSETH1/0/20VLAN30ETH1/0/32/26PC1无线管理VLANVLAN101ETH1/0/21需配置APVLAN10需配置无线1VLAN20需配置无线2网络日志系统NETLOGETH1网桥FWETH3CSETHE1/0/17ETH2网桥FWETH4CSETHE1/0/18ETH553/30CSETHE1/0/23WEB应用防火墙WAFETH353/30CSETHE1/0/24ETH4堡垒服务器

工作任务任务1：网络平台搭建(50分)题号网络需求1按照IP地址规划表，对防火墙的名称、各接口IP地址进行配置。2按照IP地址规划表，对三层交换机的名称进行配置，创建VLAN并将相应接口划入VLAN,对各接口IP地址进行配置。3按照IP地址规划表，对无线交换机的名称进行配置，创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置。4按照IP地址规划表，对网络日志系统的名称、各接口IP地址进行配置。5按照IP地址规划表，对WEB应用防火墙的名称、各接口IP地址进行配置。任务2：网络安全设备配置与防护(250分)CS开启telnet登录功能，用户名skills01，密码skills01,密码呈现需加密；总部交换机CS配置简单网络管理协议，计划启用V2C版本。Trap团体字符串为skills01，当设备有异常时，需要使用本地的VLAN100地址发送Trap消息至网管服务器53；当交换机CS的eth1/0/20接口发生up/down事件时需要发送Trap信息；为避免报文速率过快造成CPU负载过重，实时监测上CPU的other-ipuc报文，控制报文上CPU的速率，对除管理员PC（0）外的报文上CPU允许的最大速率值设定为40；为对MAC泛洪攻击进行防护，设置vlan40的接口上最大可以学习10个动态MAC地址、10个动态ARP地址、10个NEIGHBOR表项；尽可能加大总部核心交换机CS与防火墙FW之间的带宽，模式为动态模式；CS配置IPv6地址，使用相关特性实现VLAN50的IPv6终端可自动从网关处获得IPv6有状态地址；WS配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保VLAN30的IPv6终端可以获得IPv6无状态地址；WS与CS之间进行配置ospfv3area0，使PC1与PC3可以通信；业务地址规划如下，其它IP地址自行规划：业务IPV6地址VLAN302001:30::254/64VLAN502001:50::254/64FW与CS建立两对IBGP邻居关系，使用AS65500，FW上loopback1-4为模拟AS65500中网络，为保证数据通信的可靠性和负载，完成以下配置，要求如下：CS通过BGP到达loopback1,2网路下一跳为54；CS通过BGP到达loopback3,4网络下一跳为54；通过BGP实现到达loopback1,2,3,4的网络冗余；使用IP前缀列表匹配上述业务数据流；使用LP属性进行业务选路，只允许使用route-map来改变ASPATH属性属性、实现路由控制，ASPATH属性可配置的参数数值为：65505；FW、CS、WS之间配置OSPFarea0开启基于链路的MD5认证，密钥自定义,传播访问INTERNET默认路由；为了控制接入网络的PC，需要对PC3所在接口开启DOT1X认证，配置认证服务器地址是0，radiuskey是skills01；为实现对防火墙的安全管理，防火墙FW对安全区域开启SSH，PING，HTTP，SNMP功能（loopback接口除外），外网接口仅开启HTTPS功能；总部VLAN业务用户通过防火墙访问Internet时，复用公网IP：1/28，保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至53的UDP2000端口；防火墙FW与Internet端路由器建立IPsec隧道，要求对分支结构中/24与VLAN40代表的子网之间的数据流进行安全保护；安全协议采用ESP协议，加密算法采用3DES，验证算法采用SHA1，压缩算法采用DEFLATE。预共享密钥为skills01；FW配置禁止所有人在周一至周五工作时间9：00-18：00访问京东和淘宝；相同时间段禁止访问中含有“娱乐”、“新闻”、“购物”的WEB页面；在FW配置，专门针对压缩包进行病毒过滤，对gzip、rar、tar、bzip2、zip文件进行扫描，发现病毒后重置连接；在FW开启安全网关的TCPSYN包检查功能，只有检查收到的包为TCPSYN包后，才建立连接；配置所有的TCP数据包每次能够传输的最大数据分段为1460，尽力减少网络分片；配置对TCP三次握手建立的时间进行检查，如果在1分钟内未完成三次握手，则断掉该连接；为保证总部Internet出口线路，在FW上使用相关技术，通过ping监控外网网关地址，监控对象名称为Track，每隔5S发送探测报文，连续10次收不到监测报文，就认为线路故障，直接关闭外网接口。FW要求内网每个IP限制会话数量为300；为满足远程用户访问内网进行办公，配置L2TPVPN，名称为LP-VPN，LNS地址池为/24-00/24，地址池名称为L2TP，网关为最大可用地址，认证账号skills01,密码skills01；已知原AP管理地址为/15，为了避免地址浪费请重新规划和配置IP地址段，要求如下：使用原AP所在网络进行地址划分；现无线用户VLAN10中需要127个终端，无线用户VLAN20需要63个终端；WS上配置DHCP，管理VLAN为VLAN101,为AP下发管理地址，网段中第一个可用地址为AP管理地址，最后一个可用地址为WS管理地址，保证完成AP二层注册，hwtype值为59；为无线用户VLAN10,20下发IP地址，最后一个可用地址为网关；在NETWORK下配置SSID，需求如下：NETWORK1下设置SSID:skills2022，VLAN10，加密模式为wpa-personal,其口令为skills2022；NETWORK2下设置SSID:GUEST，VLAN20，不进行认证加密,做相应配置隐藏该SSID；配置Network20：SSID:skills_ipv6,VLAN25用于IPv6无线测试，用户接入无线网络时需要采用基于WPA-personal加密方式，其口令为“skills2022”，该网络中的用户从WS的DHCPv6获取IPv6地址，地址范围为：2001:10:115::/112；通过配置避免接入终端较多且有大量弱终端时，高速客户端被低速客户端“拖累”，低速客户端不至于长时间得不到传输；针对SSID为“GUEST”下的用户进行带宽限制。对用户上行速率没有限制，但是针对下行速率要求用户的带宽限制为2Mbps，突发值为4Mbps，超过带宽的该网段内的报文一律丢弃；在WS上配置使radio1的射频类型为IEEE802.11b/g,并且设置RTS的门限值为256字节，当MPDU的长度超过该值时，802.11MAC启动RTS/CTS交互机制；配置NETWORK20最多接入20个用户；接入用户相互隔离，并限制该NETWORK每天早上0点到6点禁止用户接入；通过配置防止多AP和WS相连时过多的安全认证连接而消耗CPU资源，检测到AP与WS在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常；AP的发射功率不稳定，客户端发送信息总是出现丢包现象，通过配置使AP周期性每隔1小时对发射功率进行一次调整；在公司总部的NETLOG上配置，设备部署方式为透明模式。增加非admin账户skills01，密码skills01，该账户仅用于用户查询设备的日志信息；配置NETLOG，将NETLOG作为SNMP服务器，团体名为skills，配置允许VLAN100及业务VLAN允许访问该SNMP服务器；NETLOG上配置报警邮箱，邮件服务器IP为3，端口号为25，账号为:skills01,密码:skills01，同时把报警邮件发送给manager@；NETLOG配置内容管理，对邮件内容包含“答案”字样的邮件，记录且邮件报警；在NETLOG上配置激活NTP，本地时区+8:00，添加域名；为保护内网客户端安全，请配置NETLOG入侵防御，针对客户端和恶意软件的全部漏洞类型进行防御，检测到攻击后动作为拒绝，并启用日志记录；NETLOG配置监控告警，当内存使用率大于等于80%时，启动紧急告警，发送邮件告警并记录，告警级别设置为预警状态；在WAF上配置设备部署方式为透明模式。要求对服务器5/32的8080端口的WEB服务进行安全防护；在WAF上配置报警邮箱，邮件服务器IP为3，端口号为25，接收者为manager@，主题为“WAF告警”；在WAF上配置，仅允许上传真实文件类型为png、doc、ppt、xls的文件至WEB服务器；一经发现违反，立刻阻断并记录日志；在WAF上配置检测页面内容中含有身份证信息时，将其替换为****；严重级别为中级；设置邮件告警；在WAF上配置定期每周六1点对服务器的5/进行最大深度的漏洞扫描测试；在WAF上配置基础防御功能，建立特征规则“http防御”，开启SQL注入、XSS攻击、信息泄露等防御功能，要求针对这些攻击阻断并保存日志发送邮件告警；在WAF配置针对服务器入侵检测防御，防护规则全选，设置严重级别为中级，要求针对这些攻击阻断并发送邮件告警；第二阶段竞赛项目试题根据信息安全管理与评估技术文件要求，第二阶段为网络安全事件响应、数字取证调查和应用程序安全。本文件为信息安全管理与评估项目竞赛-第二阶段试题。介绍竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！（1）当竞赛结束，离开时请不要关机；（2）所有配置应当在重启后有效；（3）除了CD-ROM/HDD/NET驱动器，请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本项目模块分数为350分。项目和任务描述随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。本模块主要分为以下几个部分：网络安全事件响应数字取证调查应用程序安全本部分的所有工作任务素材或环境均已放置在指定的计算机上，选手的电脑中已经安装好Office软件并提供必要的软件工具（Tools工具包）。赛题第二阶段请按裁判组专门提供的U盘中的“XXX-第2阶段-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），所完成的“XXX-第2阶段-答题模板”放置在文件夹中作为比赛结果提交。工作任务第一部分网络安全事件响应(140分)任务1：应急响应A集团的WebServer服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。本任务素材清单：Server服务器虚拟机。受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。请按要求完成该部分的工作任务。任务1：应急响应任务编号任务描述1提交攻击者的IP地址2识别攻击者使用的操作系统3找出攻击者资产收集所使用的平台4提交攻击者目录扫描所使用的工具名称5提交攻击者首次攻击成功的时间，格式：DD/MM/YY:HH:MM:SS6找到攻击者写入的恶意后门文件，提交文件名（完整路径）和后门密码7找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）8识别系统中存在的恶意程序进程，提交进程名9找到文件系统中的恶意程序文件并提交文件名（完整路径）10简要描述该恶意文件的行为第二部分数字取证调查(120分)任务2：网络数据包分析A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。本任务素材清单：捕获的网络数据包文件。请按要求完成该部分的工作任务。任务2：网络数据包分析任务编号任务描述1分析并提交攻击者使用FTP连接目标服务器时使用的密码2分析并提交攻击者登入目标服务器web系统时使用的密码3分析并提交攻击者传入目标系统的文件名4分析并提交被攻击的服务器的计算机名称第三部分应用程序安全(90分)任务3：代码审计代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术，作为一个高级软件开发者，代码安全作为你的日常工作中非常重要的一部分，因为大部分代码从语法和语义上来说是正确的,你必须依赖你的知识和经验来完成工作。每个团队都将获得一个代码列表，查看每一段代码然后回答答题卡里的问题。本任务素材清单：答题模板上提供的代码片段。请按要求完成该部分的工作任务。任务3：代码审计任务编号任务描述1存在脆弱性的代码行数2代码可能会受到的网络安全攻击类型3结合代码简述漏洞产生的原因第三阶段竞赛项目试题根据信息安全管理与评估技术文件要求，第三阶段为网络安全渗透（夺旗挑战CTF）。本文件为信息安全管理与评估竞赛-第三阶段试题。介绍夺旗挑战CTF（网络安全渗透）的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等渗透测试技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的Flag值。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本测试项目模块分数为350分。项目和任务描述在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请利用你所掌握的渗透测试技术，通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。本模块所使用到的渗透测试技术包含但不限于如下技术领域：•信息收集•逆向文件分析•二进制漏洞利用•应用服务漏洞利用•操作系统漏洞利用•杂项与密码学分析•系统文件分析所有设备和服务器的IP地址请查看现场提供的设备列表。特别提醒通过找到正确的flag值来获取得分，它的格式如下所示：flag{<flag值>}这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。赛题第三阶段请按裁判组专门提供的U盘中的“XXX-第3阶段-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），所完成的“XXX-第3阶段-答题模板”放置在文件夹中作为比赛结果提交。工作任务任务1:答题系统服务器(30分)服务器场景:web2IP地址：任务编号任务描述1答题系统存在隐藏信息，请找出隐藏信息，并将flag提交。flag格式:flag{<flag值>}任务2:Web综合测试(80分)服务器场景:web01IP地址：自动获取任务编号任务描述1使用nmap扫描靶机系统，将靶机开放的端口号按从小到大的顺序作为flag提交。flag格式:flag{端口1,端口2…,端口n}2通过上述端口访问靶机系统，使用弱口令进行登录，将正确的用户名和密码作为flag提交。flag格式:flag{用户名，密码}3利用Kali渗透机生成反弹木马，将生成木马命令执行后提示的第四行的首个单词作为flag提交。flag格式:flag{单词}4对上述木马文件进行修改后上传到靶机系统中，使用MSF开启监听，将获得的当前权限的用户名作为flag提交。flag格式:flag{用户名}5查看系统内核版本信息，将系统内核版本号作为flag提交。flag格式:flag{版本号}6在Kali攻击机中查找可使用的漏洞源码，将找到的漏洞源码文件名作为flag提交。flag格式:flag{文件名}7利用上述漏洞源码后获得到的靶机/root下的唯一.txt文件的文件名作为flag提交。flag格式:flag{文件名}8利用上述漏洞源码后将获得到的靶机/root下的唯一.txt文件的文件内容作为flag提交。flag形式:flag{文件内容}任务3:Reverse(80分)服务器场景:reverseIP地址：自动获取任务编号任务描述1登录FTP下载reverse.rar文件，用户名：ftp，密码：空解压该文件并分析程序reverse_0，请找出隐藏信息，并将flag提交。flag格式:flag{<flag值>}2分析程序reverse_1，请找出隐藏信息，并将flag提交。flag格式:flag{<flag值>}3分析程序reverse_2，请找出隐藏信息，并将flag提交。flag格式:flag{<flag值>}4分析程序reverse_3，请找出隐藏信息，并将flag提交。flag格式:flag{<flag值>}任务4:数据分析(100分)服务器场景:ftp01IP地址：自动获取任务编号任务描述1从靶机服务器的FTP上下载capture.pcapng数据包，账号名：ftp，密码：空，使用Wireshark分析数据包找出telnet服务器（路由器）的用户名和密码，并将密码作为Flag值提交。flag格式:flag{密码}2使用Wireshark分析capture.pcapng数据流量包，telnet服务器是一台路由器，找出此台路由器的特权密码，并将密码作为Flag值提交。flag格式:flag{密码}3使用Wireshark分析capture.pcapng数据流量包，telnet服务器是一台路由器，正在被41这台主机进行密码爆破，将此主机进行密码爆破的次数作为Flag值提交。flag格式:flag{爆破次数}4使用Wireshark分析capture.pcapng数据流量包，ftp服务器已经传输文件结束，将登陆服务器后的第一条指令作为Flag值提交。flag格式:flag{第一条指令}5使用Wireshark分析capture.pcapng数据流量包，ftp服务器已经传输文件结束，将建立FTP服务器的数据连接的次数作为Flag值提交。flag格式:flag{连接次数}6使用Wireshark分析capture.pcapng数据流量包，ftp服务器已经传输文件结束，将登陆服务器后第一次使用数据连接的端口号作为Flag值提交。flag格式:flag{第一次连接端口}7使用Wireshark分析capture.pcapng数据流量包，web服务器地址是50，其使用的脚本语言为php，将服务器使用php的版本号作为Flag值提