第二阶段任务书
本文件为上海市信息安全管理与评估项目竞赛-第二阶段试题,第二阶段内容包 括:网络安全事件响应、数字取证调查和应用程序安全。
介绍
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。 本部分的所有工作任务素材或环境均已放置在指定的计算机上。素材解压密码 (********),所有答案提交至竞赛平台。
评分方案
本项目模块分数为 250 分。
项目和任务描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码 传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统 的机密性、完整性和可用性。因此,对抗网络攻击,组织安全事件应急响应,采集 电子证据等技术工作是网络安全防护的重要部分。现在,A 集团已遭受来自不明组 织的非法恶意攻击,您的团队需要帮助 A 集团追踪此网络攻击来源,分析恶意攻 击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其 巩固网络安全防。
工作任务
任务 1 :操作系统取证
A 集团某 Windows 服务器系统感染恶意程序,导致系统被远程监听,请分析 A 集团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。
本任务素材清单:操作系统镜像、内存镜像。
请根据赛题环境及任务要求提交正确答案。
序号 |
任务要求 |
1 |
请找出内存当中的可疑进程,将可疑进程名称作为FLAG进行提交。格式:flag{xxxx} |
2 |
请找出可疑进程的父进程ID值作为FLAG进行提交。格式: flag{xxx} |
3 |
请将创建此进程的初始恶意执行文件名称作为FLAG进行提交格式:flag{xxx} |
4 |
请将用于删除文件的恶意进程名称作为FLAG进行提交。格式 flag{xxx} |
5 |
请将恶意文件首次执行的路径作为FLAG进行提交。格式: flag{xxx} |
6 |
请将包含用于加密私钥的勒索软件公钥的文件的文件名作为 FLAG进行提交。格式:flag{xxx} |
7 |
请将攻击者用于提权操作的函数作为FLAG进行提交。格式: flag{xxx} |
任务 2: 网络数据包分析
A 集团的网络安全监控系统发现有恶意攻击者对集团官方网站进行攻击,并抓 取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,并分析黑 客的恶意行为。
本任务素材清单:捕获的网络数据包文件。
请根据赛题环境及任务要求提交正确答案。
序号 |
任务要求 |
1 |
数据包中中查找受害者的主机名,将主机名作为flag提交; |
2 |
在数据包中中查找受害者的Windows用户帐户名。将其作为 flag提交; |
3 |
找到恶意软件 将恶意软件的文件名作为flag提交; |
4 |
分析该恶意软件,将恶意软件感染的协议作为flag提交; |
5 |
继续分析该恶意软件,将恶意软件扩散至域控服务器后的文件名作为flag提交; |
任务 3:代码审计
A 集团发现其发布的 Web 应用程序遭到了恶意攻击,A 集团提供了 Web 应用 程序的主要代码,您的团队需要协助 A 集团对该应用程序代码进行分析,找出存 在的脆弱点。
本任务素材清单:程序文件。
请根据赛题环境及任务要求提交正确答案。
序号 |
任务要求 |
|
1 |
找到以上代码存在问题,在此基础上封装安全的函数:将F1通过MD5 运算后返回哈希值的十六进制结果作为Flag 值提交(形式:十六进制字符串); |
|
2 |
将F2通过MD5 运算后返回哈希值的十六进制结果作为Flag 提交(形式:十六进制字符串); |
值 |
3 |
将F3通过MD5 运算后返回哈希值的十六进制结果作为Flag 提交(形式:十六进制字符串); |
值 |
4 |
将F4通过MD5 运算后返回哈希值的十六进制结果作为Flag 提交(形式:十六进制字符串); |
值 |
5 |
将F5通过MD5 运算后返回哈希值的十六进制结果作为Flag 提交(形式:十六进制字符串); |
值 |
任务 4:系统恶意程序分析
A 集团发现其网络中蔓延了一种恶意程序,现在已采集到恶意程序的样本,您 的团队需要协助 A 集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进 行调查取证。
本任务素材清单:恶意程序文件。
请根据赛题环境及任务要求提交正确答案。
序号 |
任务要求 |
1 |
找到逆向用户名密码相关的第一个flag (形式: abcdbbcc-abcdbbcc-abcdbbcc-abcdbbcc) |
2 |
找到逆向SO中加密函数的密钥 ,将密钥作为flag提交 |
3 |
找到逆向SO相关的第二个flag (形式: abcdbbcc-abcdbbcc-abcdbbcc-abcdbbcc) |
第三阶段任务书
本文件为上海市信息安全管理与评估项目竞赛-第三阶段试题。根据信息安全 管理与评估项目技术文件要求,第三阶段为夺旗挑战 CTF(网络安全渗透)。
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。
介绍
夺旗挑战赛(CTF)的目标是作为一名网络安全专业人员在一个模拟的网络环 境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用 等渗透测试技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分 析获取存在的 flag 值。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。 所有答案提交至竞赛平台。
评分方案
本项目阶段分数为 300 分。
项目和任务描述
在 A 集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络 中存在着一定网络安全隐患,请利用你所掌握的渗透测试技术,通过信息收集、 漏洞挖掘等渗透测试技术, 完成指定项目的渗透测试,在测试中获取 flag 值。
本模块所使用到的渗透测试技术包含但不限于如下技术领域:
- 信息收集
- 逆向文件分析
- 二进制漏洞利用
- 应用服务漏洞利用 l 杂项与密码学分析
所有设备和服务器的 IP 地址请查看竞赛平台提供的设备列表。
工作任务
任务 1 :Web 服务器
任务环境说明:
靶机:
服务器场景 1:linux(WEB 服务器)
任务内容:
1. 将服务器开放端口从大到小排序作为 flag 值提交。形式:flag{xx/x}
2. 通过漏洞获取服务器用户 daniel 的密码作为 flag 值提交 形式: flag{daniel:pass}
3. 服务器中存在定时任务将每次任务间隔的时间作为 flag 提交。形式: flag{900s}
4. 通过服务器中的提权到 root 所需的工具的绝对路径作为 flag 提交。 形 式:flag{}
5. 找到 root 用户下所留下的 flag 值并提交。 形式:flag{}
任务 2:协议服务器
任务环境说明:
靶机:
服务器场景 1:linux(协议服务器)
1. 寻找页面中的隐藏信息将解密后的信息作为提交
2. 寻找页面的隐藏 Flag 将 flag 里的内容提交
3. 寻找解开关键的协议端口, 将端口号作为 flag 提交
4. 寻找隐藏的文件,将被隐藏的文件名作为 flag 提交
5. 获取/root/flag.txt 的信息,将文本里的内容作为 flag 提交
任务 3 :FTP 服务器
任务环境说明:
靶机:
服务器场景 1:linux(FTP 服务器)
ftp 账号:ftpuser ftp 密码:ftpuser
任务内容:
1. 请获取 FTP 服务器上对应的 F1文件进行分析,找出其中隐藏的 flag,并 将 flag 提交。形式:flag{XXXXXX}
2. 请获取 FTP 服务器上对应的 F2文件进行分析,找出其中隐藏的 flag,并 将 flag 提交。形式:flag{XXXXXX}
3. 请获取 FTP 服务器上对应的 F3文件进行分析,找出其中隐藏的 flag,并 将 flag 提交。形式:flag{XXXXXX}
4. 请获取 FTP 服务器上对应的 F4文件进行分析,找出其中隐藏的 flag,并 将 flag 提交。形式:flag{XXXXXX}
5. 请获取 FTP 服务器上对应的 F5文件进行分析,找出其中隐藏的 flag,并 将 flag 提交。形式:flag{XXXXXX}
任务 4 :加密服务器
任务环境说明:
靶机:
服务器场景 1:LINUX(版本不详)
1. 通过本地 PC 中渗透测试平台对服务器场景进行渗透测试,在/root 目录下 执行 java Crackme 将显示的第一行字符串通过 MD5 运算后返回哈希值的 十六进制结果作为 Flag 值提交(形式:十六进制字符串);
2. 设法获得 Crackme.class 进行逆向分析,将程序 crc32校验码通过 MD5 运 算后返回哈希值的十六进制结果作为 Flag 值提交(形式:十六进制字符 串);
3. 继续分析 Crackme.class,将找到的密文通过 MD5 运算后返回哈希值的十 六进制结果作为 Flag 值提交(形式:十六进制字符串);
4. 继续分析 Crackme.class,将找到的密钥通过 MD5 运算后返回哈希值的十 六进制结果作为 Flag 值提交(形式:十六进制字符串);
5. 继续分析 Crackme.class,将密文解密后的明文通过 MD5 运算后返回哈希 值的十六进制结果作为 Flag 值提交(形式:十六进制字符串);