2023 Guizhou Vocational College Skills Competition Higher Vocational Group Information Security Management and Assessment Competition Test Questions

2023 Guizhou Vocational College Skills Competition Higher Vocational Group

Information Security Management and Assessment

Competition questions

First stage competition project test questions

According to the requirements of information security management and assessment technical documents, the first stage is the construction of network platform and the configuration and protection of network security equipment. This document is the information security management and assessment project competition-first phase test questions.

introduce

competition stage	mission phase	Competition tasks
The first stage Platform construction and security equipment configuration protection	Task 1	Network platform construction
	Task 2	Network security equipment configuration and protection

Required equipment, machinery, devices and materials

All test projects can be completed by contestants using the equipment and software specified in the infrastructure list.

Marking scheme

The score for this stage of the competition is 300 points.

Precautions

For the first stage of the competition, please submit your answers according to the requirements in the "XXX-Phase 1-Answer Template" on the USB flash drive specially provided by the referee team. Contestants need to create a folder named "GWxx" in the root directory of the USB flash drive (xx is replaced by the specific station number), and the completed "XXX-Phase 1-Answer Template" is placed in the folder as a competition Results are submitted.

Project and task description

1.Network topology diagram

2. IP address planning table

Device name	interface	IP address	Peer device
firewall FW	ETH0/1-2 （AG1）	AG1.113 10.1.0.254/30 (Trust security domain)	CS ETH1/0/1 CS ETH1/0/2
		AG1.114 10.2.0.254/30 (Trust security domain)
	ETH0/3	10.3.0.254/30 (Trust security domain)	NETLOG ETH3
	ETH0/4	10.4.0.254/30 (Trust security domain)	NETLOG ETH4
	ETH0/5	10.100.18.1/27 (untrust security domain)	IDC SERVER 10.100.18.2
	ETH0/6	200.1.1.1/28 (untrust security domain)	INTERNET
	Loopback1	10.11.0.1/24 (Trust security domain)	--
	Loopback2	10.12.0.1/24 (Trust security domain)
	Loopback3	10.13.0.1/24 (Trust security domain)
	Loopback4	10.14.0.1/24 (Trust security domain)
	VLAN 40 ETH1/0/4-8	172.16.40.62/26	PC2
	VLAN 50 ETH1/0/3	172.16.50.62/26	PC3
	VLAN 51 ETH1/0/23	10.51.0.254/30	NETLOG ETH5
	VLAN 52 ETH1/0/24	10.52.0.254/24	WAF ETH3
	VLAN 113	VLAN113 OSPF 10.1.0.253/30	FW
Layer 3 switch CS	VLAN 114	VLAN114 OSPF 10.2.0.253/30	FW
	VLAN 117 ETH E1/0/17	10.3.0.253/30	NETLOG ETH1
	VLAN 118 CS ETH E1/0/18	10.4.0.253/30	NETLOG ETH2
	ETH1/0/20	VLAN 100 192.168.100.1/30 2001::192:168:100:1/112 VLAN115 OSPF 10.5.0.254/30 VLAN116 OSPF 10.6.0.254/30	WS ETH1/0/20
wireless switch WS	ETH1/0/20	VLAN 100 192.168.100.2/30 2001::192:168:100:2/112 VLAN 115 10.5.0.253/30 VLAN 116 10.6.0.253/30	CS ETH1/0/20
	VLAN 30 ETH1/0/3	172.16.30.62/26	PC1
	无线管理VLAN VLAN 101 ETH1/0/21	需配置	AP
	VLAN 10	需配置	无线1
	VLAN 20	需配置	无线2
网络日志系统NETLOG	ETH1	网桥	FW
	ETH3		CS ETH E1/0/17
	ETH2	网桥	FW
	ETH4		CS ETH E1/0/18
	ETH5	10.51.0.253/30	CS ETH E1/0/23
WEB应用防火墙 WAF	ETH3	10.52.0.253/30	CS ETH E1/0/24
	ETH4		堡垒服务器

工作任务

任务1：网络平台搭建(50分)

题号	网络需求
1	按照IP地址规划表，对防火墙的名称、各接口IP地址进行配置。
2	按照IP地址规划表，对三层交换机的名称进行配置，创建VLAN并将相应接口划入VLAN, 对各接口IP地址进行配置。
3	按照IP地址规划表，对无线交换机的名称进行配置，创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置。
4	按照IP地址规划表，对网络日志系统的名称、各接口IP地址进行配置。
5	按照IP地址规划表，对WEB应用防火墙的名称、各接口IP地址进行配置。

任务2：网络安全设备配置与防护(250分)

1. CS开启telnet登录功能，用户名skills01，密码skills01,密码呈现需加密； 
2. 总部交换机CS配置简单网络管理协议，计划启用V2C版本。Trap团体字符串为skills01，当设备有异常时，需要使用本地的VLAN100地址发送Trap消息至网管服务器10.51.0.253；当交换机CS的eth1/0/20接口发生up/down事件时需要发送Trap信息；
3. 为避免报文速率过快造成 CPU 负载过重，实时监测上 CPU 的 other-ipuc 报文，控制报文上 CPU 的速率，对除管理员PC（172.16.40.20）外的报文上 CPU 允许的最大速率值设定为40；
4. 为对MAC泛洪攻击进行防护，设置 vlan40的接口上最大可以学习 10 个动态 MAC 地址、10 个动态 ARP 地址、 10个NEIGHBOR表项，vlan40中最大允许10个动态MAC地址。
5. 尽可能加大总部核心交换机CS 与防火墙FW 之间的带宽，模式为动态模式；
6. CS配置IPv6地址，使用相关特性实现VLAN50的IPv6终端可自动从网关处获得IPv6有状态地址；

WS配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保VLAN30的IPv6终端可以获得IPv6无状态地址。

WS与CS之间进行配置ospfv3 area0， 使PC1与PC3可以通信；

业务地址规划如下，其它IP地址自行规划：

业务	IPV6地址
VLAN30	2001:30::254/64
VLAN50	2001:50::254/64

1. FW与CS建立两对IBGP邻居关系，使用AS 65500，FW上loopback1-4为模拟AS 65500中网络，为保证数据通信的可靠性和负载，完成以下配置，要求如下： 

1. CS通过BGP到达loopback1,2网路下一跳为10.3.0.254；

CS通过BGP到达loopback3,4网络下一跳为10.4.0.254；

1. 通过BGP实现到达loopback1,2,3,4的网络冗余；
2. 使用IP前缀列表匹配上述业务数据流；
3. 使用LP属性进行业务选路，只允许使用route-map来改变AS PATH属性属性、实现路由控制，AS PATH属性可配置的参数数值为：65505

1. FW、CS、WS之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义,传播访问INTERNET默认路由； 
2. 为了控制接入网络的 PC，需要对PC3所在接口开启 DOT1X 认证，配置认证服务器地址是 172.16.50.40，radius key 是skills01;
3. 为实现对防火墙的安全管理，防火墙FW对安全区域开启SSH，PING，HTTP，SNMP功能（loopback接口除外），外网接口仅开启HTTPS功能，
4. 总部VLAN业务用户通过防火墙访问Internet时，复用公网IP： 202.1.2.21/28，保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至10.51.0.253的 UDP 2000端口；
5. 防火墙 FW 与 Internet 端路由器112.30.2.2建立IPsec隧道，要求对分支结构中10.110.88.0/24与VLAN40代表的子网之间的数据流进行安全保护；安全协议采用 ESP 协议，加密算法采用 3DES，验证算法采用 SHA1，压缩算法采用 DEFLATE。预共享密钥为skills01;
6. FW 配置禁止所有人在周一至周五工作时间 9：00-18：00 访问京东www.jd.com 和淘宝 www.taobao.com;相同时间段禁止访问中含有“娱乐”、“新闻”、“购物”的 WEB 页面;
7. 在FW配置，专门针对压缩包进行病毒过滤，对gzip、rar、tar、bzip2、zip文件进行扫描，发现病毒后重置连接。
8. 在FW开启安全网关的TCP SYN包检查功能，只有检查收到的包为TCP SYN包后，才建立连接；配置所有的TCP数据包每次能够传输的最大数据分段为1460，尽力减少网络分片；配置对TCP三次握手建立的时间进行检查，如果在1分钟内未完成三次握手，则断掉该连接；
9. 为保证总部Internet出口线路，在FW上使用相关技术，通过ping监控外网网关地址200.1.1.2，监控对象名称为Track，每隔5S发送探测报文，连续10次收不到监测报文，就认为线路故障，直接关闭外网接口。FW要求内网每个IP限制会话数量为300；
10. 为满足远程用户访问内网进行办公，配置L2TP VPN，名称为LP-VPN， LNS 地址池为10.100.253.1/24-10.100.253.100/24，地址池名称为L2TP，网关为最大可用地址，认证账号skills01,密码skills01； 
11. 已知原AP管理地址为10.115.0.0/15，为了避免地址浪费请重新规划和配置IP地址段，要求如下：

1. 使用原AP所在网络进行地址划分；
2. 现无线用户VLAN 10中需要127个终端，无线用户VLAN 20需要63个终端；
3. WS上配置DHCP，管理VLAN为VLAN101,为AP下发管理地址，网段中第一个可用地址为AP管理地址，最后一个可用地址为WS管理地址，保证完成AP二层注册，hwtype 值为 59；为无线用户VLAN10,20下发IP地址，最后一个可用地址为网关；

1. 在NETWORK下配置SSID，需求如下：

1. NETWORK 1下设置SSID:skills2022，VLAN10，加密模式为wpa-personal,其口令为skills2022；
2. NETWORK 2下设置SSID:GUEST，VLAN20，不进行认证加密,做相应配置隐藏该SSID；

1. 配置Network 20：SSID:skills_ipv6,VLAN25用于IPv6无线测试，用户接入无线网络时需要采用基于WPA-personal加密方式，其口令为“skills2022”，该网络中的用户从WS 的DHCPv6获取IPv6地址，地址范围为：2001:10:115::/112；
2. 通过配置避免接入终端较多且有大量弱终端时，高速客户端被低速客户端“拖累”，低速客户端不至于长时间得不到传输；
3. 针对SSID为“GUEST”下的用户进行带宽限制。对用户上行速率没有限制，但是针对下行速率要求用户的带宽限制为2Mbps，突发值为4Mbps，超过带宽的该网段内的报文一律丢弃；
4. 在WS上配置使radio 1的射频类型为IEEE 802.11b/g,并且设置RTS的门限值为256字节，当MPDU的长度超过该值时，802.11MAC启动RTS/CTS交互机制；
5. 配置NETWORK 20最多接入20个用户；接入用户相互隔离，并限制该NETWORK每天早上0点到6点禁止用户接入；
6. 通过配置防止多AP和WS相连时过多的安全认证连接而消耗CPU资源，检测到AP与WS在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常；
7. AP 的发射功率不稳定，客户端发送信息总是出现丢包现象，通过配置使AP周期性每隔 1 小时对发射功率进行一次调整。
8. 在公司总部的NETLOG上配置，设备部署方式为透明模式。增加非admin账户skills01，密码skills01@，该账户仅用于用户查询设备的日志信息
9. 配置NETLOG，将NETLOG作为SNMP服务器，团体名为skills，配置允许VLAN100及业务VLAN允许访问该SNMP服务器；
10. NETLOG上配置报警邮箱，邮件服务器IP为172.16.10.33，端口号为25，账号为:skills01,密码: skills01，同时把报警邮件发送给[email protected]；
11. NETLOG 配置内容管理，对邮件内容包含“答案”字样的邮件，记录且邮件报警。
12. 在NETLOG上配置激活NTP，本地时区+8:00，添加域名ntp.ntsc.ac.cn。
13. 为保护内网客户端安全，请配置NETLOG入侵防御，针对客户端和恶意软件的全部漏洞类型进行防御，检测到攻击后动作为拒绝，并启用日志记录；
14. NETLOG配置监控告警，当内存使用率大于等于80%时，启动紧急告警，发送邮件告警并记录，告警级别设置为预警状态。
15. 在WAF上配置设备部署方式为透明模式。要求对服务器172.16.10.45/32的8080端口的WEB服务进行安全防护;
16. 在WAF上配置报警邮箱，邮件服务器IP为172.16.10.33，端口号为25，接收者为[email protected]，主题为“WAF告警”；
17. 在WAF上配置，仅允许上传真实文件类型为png、doc、ppt、xls的文件至WEB服务器；一经发现违反，立刻阻断并记录日志；
18. 在WAF上配置检测页面内容中含有身份证信息时，将其替换为****；严重级别为中级；设置邮件告警；
19. 在WAF上配置定期每周六1点对服务器的http://172.16.10.45/进行最大深度的漏洞扫描测试。
20. 在WAF上配置基础防御功能，建立特征规则“http防御”，开启SQL注入、XSS攻击、信息泄露等防御功能，要求针对这些攻击阻断并保存日志发送邮件告警; 
21. 在WAF配置针对服务器入侵检测防御，防护规则全选，设置严重级别为中级，要求针对这些攻击阻断并发送邮件告警； 

第二阶段竞赛项目试题

根据信息安全管理与评估技术文件要求，第二阶段为网络安全事件响应、数字取证调查和应用程序安全。本文件为信息安全管理与评估项目竞赛-第二阶段试题。

介绍

竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！

（1）当竞赛结束，离开时请不要关机；

（2）所有配置应当在重启后有效；

（3）除了CD-ROM/HDD/NET驱动器，请不要修改实体机的配置和虚拟机本身的硬件设置。

所需的设备、机械、装置和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本项目模块分数为350分。

项目和任务描述

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。

本模块主要分为以下几个部分：

• 网络安全事件响应
• 数字取证调查
• 应用程序安全

本部分的所有工作任务素材或环境均已放置在指定的计算机上，选手的电脑中已经安装好 Office 软件并提供必要的软件工具 （Tools 工具包）。

赛题第二阶段请按裁判组专门提供的U盘中的“XXX-第2阶段-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），所完成的“XXX-第2阶段-答题模板”放置在文件夹中作为比赛结果提交。

工作任务

第一部分 网络安全事件响应(140分)

任务1：应急响应

A集团的WebServer服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。

本任务素材清单：Server服务器虚拟机。

受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。

注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。

请按要求完成该部分的工作任务。 

任务1：应急响应
任务编号	任务描述
1	提交攻击者的IP地址
2	识别攻击者使用的操作系统
3	找出攻击者资产收集所使用的平台
4	提交攻击者目录扫描所使用的工具名称
5	提交攻击者首次攻击成功的时间，格式：DD /MM/YY:HH:MM:SS
6	找到攻击者写入的恶意后门文件，提交文件名（完整路径）和后门密码
7	找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）
8	识别系统中存在的恶意程序进程，提交进程名
9	找到文件系统中的恶意程序文件并提交文件名（完整路径）
10	简要描述该恶意文件的行为

第二部分 数字取证调查(120分)

任务2：计算机单机取证

对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。

本任务素材清单：取证镜像文件

请按要求完成该部分的工作任务。

任务2： 计算机单机取证
任务编号	在取证镜像中的文件名	镜像中原文件Hash码(MD5，不区分大小写)
evidence 1
evidence 2
evidence 3
evidence 4
evidence 5
evidence 6
evidence 7
evidence 8
evidence 9
evidence 10

第三部分 应用程序安全(90分)

任务3：代码审计

代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术，作为一个高级软件开发者，代码安全作为你的日常工作中非常重要的一部分，因为大部分代码从语法和语义上来说是正确的,你必须依赖你的知识和经验来完成工作。每个团队都将获得一个代码列表，查看每一段代码然后回答答题卡里的问题。

本任务素材清单：答题模板上提供的代码片段。

请按要求完成该部分的工作任务。

任务3：代码审计
任务编号	任务描述
1	存在脆弱性的代码行数
2	代码可能会受到的网络安全攻击类型
3	结合代码简述漏洞产生的原因
4	提供针对脆弱性代码的安全加固代码 注意：无需重写整个代码。只写受影响的行就足够。

第三阶段竞赛项目试题

根据信息安全管理与评估技术文件要求，第三阶段为网络安全渗透（夺旗挑战CTF）。本文件为信息安全管理与评估竞赛-第三阶段试题。

介绍

夺旗挑战CTF（网络安全渗透）的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。

本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等渗透测试技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的Flag值。

所需的设备、机械、装置和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本测试项目模块分数为350分。

项目和任务描述

在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请利用你所掌握的渗透测试技术，通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。

本模块所使用到的渗透测试技术包含但不限于如下技术领域：

• 信息收集

• 逆向文件分析

• 二进制漏洞利用

• 应用服务漏洞利用

• 操作系统漏洞利用

• 杂项与密码学分析

• 系统文件分析

所有设备和服务器的IP地址请查看现场提供的设备列表。

特别提醒

通过找到正确的flag值来获取得分，它的格式如下所示：

flag{<flag值 >}

这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。

赛题第三阶段请按裁判组专门提供的U盘中的“XXX-第3阶段-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），所完成的“XXX-第3阶段-答题模板”放置在文件夹中作为比赛结果提交。

工作任务

任务1:答题系统服务器(30分)

服务器场景:web1

任务编号	任务描述
1	答题系统存在隐藏信息，请找出隐藏信息，并将flag提交。flag格式:flag{<flag值>}

任务2:Web综合测试(80分)

服务器场景:web01

任务编号	任务描述
1	使用nmap扫描靶机系统，将靶机开放的端口号按从小到大的顺序作为flag提交。flag格式:flag{端口1,端口2…,端口n}
2	通过上述端口访问靶机系统，使用弱口令进行登录，将正确的用户名和密码作为flag提交。flag格式:flag{用户名，密码}
3	利用Kali渗透机生成反弹木马，将生成木马命令执行后提示的第四行的首个单词作为flag提交。flag格式:flag{单词}
4	对上述木马文件进行修改后上传到靶机系统中，使用MSF开启监听，将获得的当前权限的用户名作为flag提交。flag格式:flag{用户名}
5	查看系统内核版本信息，将系统内核版本号作为flag提交。flag格式:flag{版本号}
6	在Kali攻击机中查找可使用的漏洞源码，将找到的漏洞源码文件名作为flag提交。flag格式:flag{文件名}
7	利用上述漏洞源码后获得到的靶机/root下的唯一.txt文件的文件名作为flag提交。flag格式:flag{文件名}
8	利用上述漏洞源码后将获得到的靶机/root下的唯一.txt文件的文件内容作为flag提交。flag形式:flag{文件内容}

任务3:Reverse(80分)

服务器场景:reverse

任务编号	任务描述
1	登录FTP下载reverse.rar文件，用户名：ftp，密码：空解压该文件并分析程序reverse_0，请找出隐藏信息，并将flag提交。flag格式:flag{<flag值>}
2	分析程序reverse_1，请找出隐藏信息，并将flag提交。flag格式:flag{<flag值>}
3	分析程序reverse_2，请找出隐藏信息，并将flag提交。flag格式:flag{<flag值>}
4	分析程序reverse_3，请找出隐藏信息，并将flag提交。flag格式:flag{<flag值>}

任务4: FTP服务器(60分)

服务器场景:FTP

任务编号	任务描述
1	请获取FTP服务器上misc1目录下对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式:flag{<flag值>}
2	请获取FTP服务器上misc2目录下对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式:flag{<flag值>}
3	请获取FTP服务器上crypto1目录下对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式:flag{<flag值>}
4	请获取FTP服务器上re1目录下对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式:flag{<flag值>}

任务5: Web分析(100分)

服务器场景:Web02

任务编号	任务描述
1	通过浏览器访问http://Web02IP/1，对该页面进行渗透测试, 找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
2	通过浏览器访问http://Web02IP/2，对该页面进行渗透测试, 找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
3	通过浏览器访问http://Web02IP/3，对该页面进行渗透测试, 找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
4	通过浏览器访问http://Web02IP/4，对该页面进行渗透测试, 找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
5	通过浏览器访问http://Web02IP/5，对该页面进行渗透测试, 找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
6	通过浏览器访问http://Web02IP/6，对该页面进行渗透测试, 找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
7	通过浏览器访问http://Web02IP/7，对该页面进行渗透测试, 找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
8	通过浏览器访问http://Web02IP/8，对该页面进行渗透测试, 找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
9	通过浏览器访问http://Web02IP/9，对该页面进行渗透测试, 找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}