2024年江苏省职业院校技能大赛信息安全管理与评估 第二阶段学生组（样卷）

2024年江苏省职业院校技能大赛信息安全管理与评估 第二阶段学生组（样卷）

竞赛项目赛题

本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。

本次比赛时间为180分钟。

介绍

GeekSec专注技能竞赛，包含网络建设与运维和信息安全管理与评估两大赛项，及各大CTF，基于两大赛项提供全面的系统性培X，拥有完整的培X体系。团队拥有国赛选手、大厂在职专家等专业人才担任讲师，培X效果显著，通过培X帮助各大院校备赛学生取得各省 国家级奖项，获各大院校一致好评。

竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！

（1）当竞赛结束，离开时请不要关机；

（2）所有配置应当在重启后有效；

（3）请不要修改实体机的配置和虚拟机本身的硬件设置。

所需的设备、机械、装置和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本阶段总分数为300分。

项目和任务描述

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。

本模块主要分为以下几个部分：

● 网络安全事件响应

● 数字取证调查

● 应用程序安全

本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。

工作任务

第一部分 网络安全事件响应

任务 1：应急响应（Windows）（50 分）

A集团的Windows服务器被黑客入侵，该服务器的系统目录被上传恶意软件，域用户凭证被读取，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。

注意：服务器IP在答题平台显示，如IP不显示，请尝试刷新页面。

请根据赛题环境及任务要求提交正确答案。

分析桌面上的恶意程序，将黑客编译木马为可执行程序所使用的工具作为flag值提交，提交格式：flag{工具名}；

1.分析桌面上的恶意程序，找到程序生成的恶意jar文件，将jar文件大小作为flag值提交，提交格式：flag{字节}；

2.分析桌面上的恶意程序，分析程序判断系统类型所使用的常量，将常量名作为flag值提交，提交格式：flag{常量名}；

3.分析桌面上的恶意程序，将程序写入恶意代码所调用的方法名作为flag值提交，提交格式：flag{方法名}；

4.分析桌面上的恶意程序，将恶意程序运行时载入的配置文件名称作为flag值提交，提交格式：flag{******}；

5.分析桌面上的恶意程序，对攻击者进行溯源，将攻击者的ip地址作为flag值提交，提交格式：flag{******}。

任务 2：Unix 服务器应急响应（70 分）

A集团的Debian服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。 本任务素材清单：Unix服务器虚拟机

注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。

请按要求完成该部分的工作任务。

1.请提交攻击者的IP地址，提交格式：flag{******}；

2.请提交攻击者使用的操作系统，提交格式：flag{******}；

3.请提交攻击者进入网站后台的密码，提交格式：flag{******}；

4.请提交攻击者首次攻击成功的时间，提交格式flag{DD/MM/YY:hh:mm:ss}；

5.请提交攻击者上传的恶意文件名（含路径）；

6.请提交攻击者写入的恶意后门文件的连接密码。

第二部分 数字取证调查

任务 3：通信数据分析取证（30 分）

注：题目所需文件在攻击机家目录需补全脚本目录下。

A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。

请按要求完成该部分的工作任务。

请根据赛题环境及任务要求提交正确答案。

1.获取第一个需要提交的函数名作为答案提交,提交格式：flag{******}；

2.获取第二个需要提交的函数名作为答案提交,提交格式：flag{******}；

3.获取flag作为答案提交,提交格式：flag{******}。

任务 4：基于 MacOS 的内存取证（50 分）

A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。

请按要求完成该部分的工作任务。

1.请提交用户目录下压缩包的解压密码，提交格式：flag{******}；

2.请提交root账户的登录密码，提交格式：flag{******}；

3.请指出攻击者通过什么命令实现提权操作，提交格式：flag{******}；

4.请指出内存中恶意进程的PID，提交格式：flag{******}；

5.请指出恶意进程加密文件的文件类型，提交格式：flag{******}。

第三部分 应用程序安全

任务 5：Linux 恶意程序分析（40 分）

A集团发现其发布的应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。

本任务素材清单：Linux恶意程序 请按要求完成该部分的工作任务。

1．请提交恶意程序回传数据的url地址，提交格式：flag{******}；

2. 请 指 出 恶 意 程 序 会 加 密 哪 些 类 型 的 文 件 , 提 交 格 式 ：flag{******}；

3.请指出恶意程序加密文件的算法,提交格式：flag{******}；

4.请指出恶意程序创建的子进程名称,提交格式：flag{******}。

任务 6：Python 语言代码审计（60 分）

代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。

注意：服务器IP在答题平台显示，如IP不显示，请尝试刷新页面

请根据赛题环境及任务要求提交正确答案。

1．分析任务脚本文件完善F1位置代码，将F1作为flag进行提交；

2．分析任务脚本文件完善F2位置代码，将F2作为flag进行提交；

3．分析任务脚本文件完善F3位置代码，将F3作为flag进行提交；

4．分析任务脚本文件完善F4位置代码，将F4作为flag进行提交；

5．分析任务脚本文件完善F5位置代码，将F5作为flag进行提交；

6．分析任务脚本文件完善F6位置代码，将F6作为flag进行提交。