网络安全实操题目_网络安全实操考试,网络安全实操题

年全国行业职业技能竞赛2020全国网络与信息安全管理职业技能大赛操作技能赛题（卷）内容B

1.项目介绍

2.选手指南

3.任务目标简介你和你的团队是A公司的网络与信息安全运维及保障技术支撑队伍，负责A公司的企业内OA以及互联网论坛的运维工作，根据信息系统重要程度及行业监管要求，定为等级保护3级系统现在A公司要求分别根据不同的任务完成网络与信息安全防护、管理及对于网络安全事件应急处置工作任务描述本项目需要运用不同的网络与信息安全技术，任务有以下部分网络与信息安全防护网络与信息安全管理网络与信息安全处置选手必须按照比赛要求对网络基础设施进行防护和管理，对一些网络与信息安全事件进行应急处理所有的设备和服务可以正常运作，但尚未采取任何安全防护措施在项目中，会给出一部分相对直接的安全防护和管理实施要求，一部分则为开放式操作要求选手需要在设备条件的限制下尽力满足所有的比赛要求并符合行业规范操作选手指南

1.在开始配置前详细阅读所有的任务每一项任务都可能和前后任务的完成有所依赖依赖于上一项或下一项的完成

2.本次比赛为在线远程访问形式，在比赛前请确认设备是否能够正常访问，在比赛中请时刻注意配置操作是否会影响系统的正常访问，如在比赛时因配置原因造成系统无法正常访问，需要选手自行解决

3.比赛以在答题平台上提交Flag形式进行，Flag必须与答题平台内对应序号答题框的预设完全匹配才能得分，所有Flag字符以小写、去除空格形式提交如解题答案为Flag样例为/etc/apache2/apache

2.conf ServersignatureOff,贝（］Flag提交:/etc/apache2/apache

2.confserversignatureoff

4.每题率先答出的前三位选手将有15%、10%和5%的额外奖励分，最后按比例折算百分制计入成绩

5.比赛可采用任何自带设备和工具，但禁止使用影响他人比赛或妨碍平台运行的工具、方法和手段，如有发现将立即取消成绩所需设备，安装和材料；选手自行准备工具完成本项目所有要求实施的内容任务项目基本信息:

1.所有设备和虚拟机的主机名称根据提供的图示已预先配置;

2.虚拟机已根据以下角色预先安装虚拟机所提供的服务Webserver Apacheweb server（OA系统8080端口、论坛80端口），Snort,Mysql,Firewalld,ntp基本信息系统0A监听端口8080;管理地址http:〃IP:8080/m=login;管理用户名admin;管理密码qwer1234;所在本地目录/var/www/oa论坛BBS监听端口80;管理地址http:〃IP/admimphp;管理用户名admin;管理密码lqaz2wsx#EDC;所在本地目录/var/www/htmlMysql管理用户名root管理密码rootSnort/snort_src第一部分网络与信息安全防护总体要求根据企业业务需求，对企业的网络、系统及应用配置主动及被动防御系统A A

1.公司系统未采用严格的过滤策略对外部访问流量进行过滤，根据公司业务架构和需求，修改firewalld的配置文件，为http服务增加一个8080端口，提交修改的命令（去除空格）；Flag样例portprotocol=tcp port=

808072.公司系统未采用严格的过滤策略对外部访问流量进行过滤，根据公司业务架构和需求，配置系统firewalld的策略，永久开放必要的网络服务，提交配置命令，每一条正确命令为一个flag（命令中应包含zone、service并去除空格，依据服务字母排序提交）；Flag{}样例command—key=value—key=value--keyfirewall-cmd—zone=public—add-service=http—permanent

3.公司系统未采用严格的过滤策略对外部访问流量进行过滤，根据公司业务架构和需求，配置系统firewalld的策略，永久开放必要的网络服务，提交配置命令，每一条正确命令为一个flag（命令中应包含zone、service并去除空格，依据服务字母排序提交）；Flag{}样例command--key=value-key=value--keyfirewall-cmd-zone=public-add-service=https—permanent

4.安装配置Snort,在community

3.rules规则文件中找到能够响应给定测试用例的对应规则，提交规则中的msg字段；测试用例http:〃IP/forum.phpeiror二

5.检查系统运行的应用服务，使用systemctl命令关闭docker开机自启，命令作为flag提交;systemctldisabledocker

6.对系统进行全盘扫描，提交扫描结果警告为BOOT-5184的文件绝对路径；/etc/rc.local

7.启用叩ache ssl模块，对所有访问论坛的请求设置https强制跳转，通过http访问该业务进行测试，查看apache日志，提交日志中的user agent字段（包含OpenSSL关键字）；

8.配置Modsecurity,启用REQUEST-930-APPLICATION-ATTACK-LFLconf规贝！J,利用所给的攻击测试用例测试，提交Modsecurity生成日志中第一条message后的warning字段（需要提交最开始的Warning.）;测试用例:http://IP/forum.phpidn/etc/passwd第二部分网络与信息安全管理总体要求根据公司业务需求，设置系统权限、数据库权限的分级管理A

1.配置口令更换周期为90天，以配置文件绝对路径和配置命令为flag提交;Flag样例/path/filename keyvalue/etc/login.defspass_max_days

902.配置口令更改最小间隔天数为6天，以配置文件绝对路径和配置命令为flag提交;Flag{}样例/path/filename keyvalue/etc/login.defspass_min_days

63.配置口令过期前警告天数为30天，以配置文件绝对路径和配置命令为flag提交；Flag{}样例/path/filename keyvalue/etc/login.defspass_warn_age

304.导入环境变量，配置当前会话超时10分钟自动退出，以配置语句作为flag提交;Flag{}样例command key=valueexporttmout=

6005.检查/var/log/目录下的文件权限，找到存在具有明显不合理权限的文件，还原该文件权限为默认状态，将该文件名和Is-I文件名|awk{print$1}作为flag提交；Flag{}样例filename key------auth.log-rw-r

6.安装配置tripwire,对/var/log/apache2目录进行监控，级别为SEC_LOG,依次执行测试语句chown www-data:www-data/var/log/apache2/access.log;tripwire—check后将Object Summary中涉及/var/log/apache2/access」og文件改变的字段依次拼接作为flag提交;Flag{}样例key7path/filename

7.检查并取消数据库非管理员用户查询所有用户命令执行信息的权限，以show grantsfor用户名语句查询结果作为flag提交；

8.mysql的命令历史文件中会包含许多历史操作记录，如登录时将密码直接跟在-P参数后，则会将明文密码记录到历史文件中为防止敏感信息泄漏，删除该文件，给以该文件的绝对路径作为flag提交；/root/.mysql_history

9.隐藏APACHE版本信息号，只返回服务器名将修改后的对应行作为flag提交（参数值简写）；Flag{}样例:key valueservertokensprod

10.通过logrotate.conf设置日志存留时间为6个月，以配置参数为flag提交；Flag{}样例key keyvaluemonthlyrotate6第三部分网络与信息安全处置总体要求在接到公司员工反映在系统中收到不明邮件后，公司立即启动应急响应，A OAA经初步分析，发现公司部分应用已被挂马，业务系统（论坛、）疑似遭受黑0A客攻击，并由可能已经发生了数据泄漏，请您协助对本次网络攻击事件进行追踪溯源，分析黑客的攻击手段,查找应用及系统存在的漏洞同时根据本次事件的调查分析结WEB果，对存在的漏洞进行修复，确认并删除黑客隐藏在系统中的后门，恢复系统的正常运行

1.提交最有可能是攻击者第一次爆破论坛后台密码的时间；Flag{}样例:ll/Sep/1999:01:01:0121/aug/2020:09:14:

292.提交攻击者留下系统后门的主进程完整启动命令；/usr/update

3.提交攻击者留下系统后门的主进程实际调用文件的绝对路径;/var/www/html/data/cache/update

4.找到并提交攻击者留下的提权文件的绝对路径；

5.提交攻击者对网站利用的CVE;

6.提交攻击者成功留下小马的时间，精确到秒；Flag样例1990-01-0120:20:202020-08-2111:34:

007.提交攻击者第一次使用后门管理工具连接小马的时间；Flag{}样例n/Sep/1999:01:01:0121/aug/2020:ll:39:

578.提交攻击者留下的攻击大马的绝对路径；/var/www/html/data/cache/cache_config.php

9.提交最有可能是攻击者操作系统的信息；

10.提交攻击者留下的黑页中的flag;Flag样例flag{xxx}flag{90b058411942bb8909ab52dec800ae5c}

11.提交可能被攻击者脱库的数据库名称按首字母排序提交；

12.发现被入侵后，开始捕获流量，这时候的攻击者IP；

13.反弹shell回连成功后执行的第一条命令；id

14.攻击者在目标服务器上留了一个ssh后门，并且实现了自启动，ssh后门自启动写入对应数据包的Arrival Time;

15.恢复攻击者上传的美女图片，提取里面违法信息，提交恶意网址;

16.恢复攻击者上传的枪支毒品视频，提取里面的隐藏信息；

17.攻击者发布的枪支贩卖信息中包含的有害链接；。