河北省职业院校技能大赛高职组信息安全管理与评估赛项赛题.docx

河北省职业院校技能大赛高职组信息安全管理与评估赛项赛题.docx

《河北省职业院校技能大赛高职组信息安全管理与评估赛项赛题.docx》由会员分享，可在线阅读，更多相关《河北省职业院校技能大赛高职组信息安全管理与评估赛项赛题.docx（14页珍藏版）》请在冰点文库上搜索。

河北省职业院校技能大赛高职组信息安全管理与评估赛项赛题

2021年河北省职业院校技能大赛高职组“信息安全管理与评估”赛项赛题

一、赛项时间

08:

00-12:

30，共计4个小时30分钟，含赛题发放、收卷时间。

二、赛项信息

竞赛阶段

任务阶段

竞赛任务

竞赛时间

分值

第一阶段

平台搭建与安全设备配置防护

任务1

网络平台搭建

08:

00-11:

00

100

任务2

网络安全设备配置与防护

200

第二阶段

系统安全攻防及运维安全管控

任务1

DCN_CMS

75

任务2

DCN_WEB

100

任务3

DCN_MISC

225

中场收卷

11:

00-11:

30

第三阶段

分组对抗

系统加固

11:

30-11:

45

300

系统攻防

11:

45-12:

30

三、赛项内容

本次大赛，各位选手需要完成三个阶段的任务，其中第一、二阶段任务“答题模板”需要存放在裁判组专门提供的U盘中。

比赛结束后选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹（xx用具体的工位号替代），要求把赛题第一、二阶段完成任务答题模板文档放置在新建文件夹中。

例如：

08工位，则需要在U盘根目录下建立“08工位”文件夹，并在“08工位”文件夹下直接放置第一阶段答题模板的文档文件。

特别说明：

只允许在根目录下的“08工位”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。

（一）赛项环境设置

赛项环境设置包含了两个竞赛阶段的基础信息：

网络拓扑图、IP地址规划表、设备初始化信息。

1.网络拓扑图

2.IP地址规划表

设备名称

接口

IP地址

互联

可用IP数量

防火墙DCFW

Eth1

202.102.1.1/24

与PC-2相连

-

地址池

10.10.10.254

L2TPVPN地址池

10,网关为254

Eth2

192.168.200.2/24

与DCRS相连

-

无线交换机DCWS

Eth24

192.168.200.253/24

与DCRS相连

-

Eth23

-

AP（自动获取ip）

-

Vlan50

192.168.50.254/24

无线用户1

Vlan60

192.168.60.254/24

无线用户2

WEB应用防火墙WAF

Eth2

-

与DCRS相连

-

Eth3

192.16.1.101/24

与DCST相连

-

V三层交换机DCRS

Vlan1Eth8

192.168.1.254/24

与DCBI相连

-

Vlan200Eth2

192.168.200.254/24

与DCFW相连

-

Vlan1Eth3

192.168.1.254/24

与WAF相连

-

Vlan10

192.168.10.254/24

Vlan20Eth4

192.168.20.254/24

与PC-1所在用户区相连

-

Vlan30Eth5

192.168.30.254/24

与PC-3所在用户区相连

-

Vlan40

192.168.40.254/24

与DCBI相连

Vlan200Eth6

192.168.200.254/24

DCWS

-

网络日志系统DCBI

Eth1

192.168.40.253/24

与DCRS相连7/8口

-

堡垒服务器DCST

Eth1

192.168.1.100/24

与WAF相连

-

AP

PC-1

无

192.168.20.1/24

与DCRS相连

-

PC-2

无

202.102.1.2/24

与DCFW相连

-

PC-3

无

192.168.30.1/24

与DCFW相连

-

备注

1.赛题可用IP地址范围见“赛场IP参数表”；

2.具体网络连接接口见“赛场互联接口参数表”；

3.设备互联网段内可用地址数量见“赛场IP参数表”；

3.设备初始化信息

设备名称

管理地址

默认管理接口

波特率

用户名

密码

防火墙DCFW

http:

//192.168.1.1

ETH0

9600

admin

admin

网络日志系统DCBI

https:

//192.168.5.254

ETH0

-

admin

123456

WEB应用防火墙WAF

https:

//192.168.45.1

ETH5

-

admin

admin123

三层交换机DCRS

-

Console

115200

-

-

无线交换机DCWS

-

Console

9600

-

-

堡垒服务器DCST

http:

//192.168.1.100

Eth7

-

参见“DCST登录用户表”

备注

1.所有设备的默认管理接口、管理IP地址不允许修改;

2.如果修改对应设备的缺省管理IP及管理端口，涉及此设备的题目按0分处理。

（二）第一阶段任务书（300分）

该阶段需要提交配置或截图文档，命名如下表所示：

阶段

任务

序号

文档名称

第一阶段

任务1

1

任务1

任务2

2

任务2-DCFW

3

任务2-DCBI

4

任务2-WAF

5

任务2-DCRS

6

任务2-DCWS

任务一：

网络平台搭建（100分）

平台搭建要求如下：

题号

网络需求

1

根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。

9分

2

根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进行配置。

24分

3

根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。

13分

4

根据网络拓扑图所示，按照IP地址参数表，在DCWS上创建相应的VLAN，并将相应接口划入VLAN,对DCWS的管理IP地址进行配置。

12分

5

根据网络拓扑图所示，按照IP地址参数表，对DCBI的名称、各接口IP地址进行配置。

8分

6

根据网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN。

11分

7

外网出口采用静态路由的方式，无线AC,核心交换机和防火墙之间ospf动态路由实现全网络互连。

23分

任务二：

网络安全设备配置与防护（200分）

DCFW:

（43分）

1.在总公司的DCFW根据题意配置Trust,Untrust,VPNhub区域，并配置区域之间的放行策略，策略采用严格控制。

（10分）

2.防火墙做基本配置，实现内网对外网因特网的访问；无线用户上网转换为202.102.1.10，有线用户转换为202.102.1.11。

（6分）

3.配置出于安全考虑，无线用户访问因特网需要采用认证，在防火墙上配置web认证，采用本地认证，用户名为test，test1，test2，密码为123456。

（7分）

4.配置回环接口ip为10.0.0.1/32，作为OSPF协议router-id。

（2分）

5.防火墙和三层交换机之间运行OSPF路由协议，为了路由协议安全两个设备之间ospf之间要进行加密认证,key为12345，采用MD5认证。

（10分）

6.为了合理利用网络出口带宽，需要对内网用户访问Internet进行流量控制，园区总出口带宽为200M，对除无线用户以外的用户限制带宽，每天上午9:

00到下午6:

00每个IP最大下载速率为2Mbps，上传速率为1Mbps。

（6分）

7.内网192.168.40.0/24到外网网站Web外发信息控制，禁止外发关键字“大赛试题”并记录相关日志。

（2分）

DCBI:

（38分）

8.在公司总部的DCBI上配置，设备部署方式为旁路模式，增加管理员账户dcn2020，密码dcn2020。

（15分）

9.公司总部LAN中用户访问网页中带有“mp3”、“youku”需要被DCBI记录并邮件告警；邮件内容中带有“银行账号”记录并发送邮件告警。

（9分）

10.Netlog和交换机上做必要的配置，能够实现对内网vlan40用户访问因特网所有流量进行记录。

（7分）

11.DCBI监控周一至周五工作时间VLAN20用户使用“迅雷”的记录，每天工作时间为9:

00-18:

00。

（7分）

WAF:

（38分）

12.配置WAF为透明模式，按题意完成接口桥接。

（8分）

13.创建审计管理员帐户，用户名：

dcn2020,密码：

202010dcn。

（6分）

14.在公司总部的WAF上配置，编辑防护策略，要求客户机访问网站时，禁止访问*.exe的文件。

（6分）

15.配置WAF当发现恶意扫描网站时，将HTTP重定向到

16.对服务器地址为172.16.100.100的服务进行防护，服务器端口号为8080。

（6分）

17.在公司总部的WAF上配置，禁止HTTP请求和应答中包含敏感字段“赛题”和“答案”的报文经过WAF设备。

（6分）

DCRS:

（41分）

18.DCRS为接入交换机，为终端产生防止MAC地址防洪攻击，请配置端口安全，Eth5的端口最多学习到5个MAC地址，发生违规阻止后续违规流量通过，不影响已有流量并产生LOG日志。

（9分）

19.为减少内部ARP广播询问VLAN网关地址，在全局下配置DCRS每隔300S发送免费ARP。

（6分）

20.在端口ethernet1/0/7上，将属于网段192.168.40.0内的报文带宽限制为10M比特/秒，突发4M字节，超过带宽的该网段内的报文一律丢弃。

（6分）

21.为了便于对网路流量进行分析，需要对交换连接防火墙接口数据进行采样分析，采样速率进出都为100000，采样时间间隔为30秒，分析服务器为192.168.40.100，代理源地址为10.0.0.2。

（6分）

22.交换上配置dhcpserver服务为AP分配IP地址，地址池范围为：

192.168.200.100-192.168.200.150，AP通过Option43方式获取AC地址。

（12分）

23.交换机上启用回环接口IP地址为10.0.0.2/32。

（2分）

DCWS：

（40分）

24.开启无线功能，指定AC管理地址为192。

168.200.253。

（8分）

25.AP注册到AC采用序列号认证。

（6分）

26.开启dhcp服务，为无线用户分配IP地址，前10个ip为保留地址，地址租约时间为10小时，DNS-SERVER为61.147.37.1。

（7分）

27.设置SSIDDCN2020，VLAN50，加密模式为wpa-personal,其口令为GSdcn2020的；设置SSIDdcntest，VLAN60不进行认证加密,做相应配置隐藏该ssid。

（9分）

28.通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常。

（6分）

29.AC开启SNMP管理，SNMP服务器地址为172.16.100.100，团体字符串为public。

（4分）

（三）第二阶段任务书（400分）

特殊说明：

1.本阶段所有任务中所需要使用到的攻击机都已存放在学生PC终端上，通过虚拟机软件方式打开使用。

2.本阶段所涉及的攻击机与靶机之间连通需要参赛选手自己做好网络方面相关配置。

3.本阶段所有涉及的攻击机的IP地址范围为:

172.16.1.1-10/24。

DCST设备相关接口信息：

设备名称

接口属性

接口号

堡垒服务器DCST

管理接口

Eth7

业务接口

Eth6

任务一：

DCN_CMS（75分）

任务环境说明：

PC:

攻击机场景1：

attack

攻击机场景操作系统：

Windows7

攻击机场景工具：

wireshark、firefox、IDAPRO、Burpsuite、VSCode

攻击机场景2：

kali

攻击机场景操作系统：

kalilinux

用户名/密码：

root/toor

攻击机场景工具：

GCC、GDB、python2、python3

DCST:

服务器场景：

2020dcncms

服务器场景操作系统：

Linux

服务器场景安装服务：

web服务注意：

连续按下五次shift键获得服务器IP

注意：

服务器ip地址在控制台banner中，获取不到多次按enter

任务内容：

1.访问8080端口，将ecshop版本号数字作为flag提交（截图保存）（25分）

2.访问网站，利用漏洞找到网站根目录的flag1，将flag1作为flag提交（截图保存）（25分）

3.访问网站，将系统根目录的flag2文件内容作为flag提交（截图保存）（25分）

任务二：

DCN_WEB（100分）

任务环境说明：

PC:

攻击机场景：

attack

攻击机场景操作系统：

Windows7

攻击机场景工具：

wireshark、firefox、IDAPRO、Burpsuite、VSCode

DCST:

服务器场景：

2020dcnweb

服务器场景操作系统：

Linux

服务器场景安装服务：

apache+php+mysql集成环境

注意：

服务器IP在控制台显示，如IP不显示，按ENTER刷新

任务内容：

1.访问目标IP:

8090，打开第一题，根据页面提示，获取根目录下的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（20分）

2.访问目标IP:

8091，打开第二题,根据页面提示，找到/tmp/目录下flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（20分）

3.访问目标IP:

8092，打开第三题,根据页面提示，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（20分）

4.访问目标IP:

8093，打开第四题,根据页面提示，获取数据库中flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（20分）

5.访问目标IP:

8094，打开第五题,根据页面提示，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（20分）

任务三：

DCN_MISC（225分）

任务环境说明：

PC:

攻击机场景：

attack

攻击机场景操作系统：

Windows7

攻击机场景工具：

wireshark、firefox、IDAPRO、Burpsuite、VSCode

DCST：

服务器场景：

2020dcnmisc

服务器场景操作系统：

Linux

服务器场景安装服务：

apache+php+mysql集成环境

注意：

服务器IP在控制台显示，如IP不显示，按ENTER刷新

任务内容：

1.访问目标IP:

80，点击”Cam”，下载文件并获取中flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（25分）

2.访问目标IP:

80，点击”Hex”，下载文件并获取中flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（25分）

3.访问目标IP:

80，点击”rar”，下载文件并获取中flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（25分）

4.访问目标IP:

80，点击”four”，下载文件并获取中flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（25分）

5.访问目标IP:

80，点击”docx”，下载文件并获取中flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（25分）

6.访问目标IP:

80，点击”wireshark”，下载文件并获取中flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（25分）

7.访问目标IP:

80，点击”ping”，下载文件并获取中flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（25分）

8.访问目标IP:

80，点击”docx2”，下载文件并获取中flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（25分）

9.访问目标IP:

80，点击”TLS”，下载文件并获取中flag，将获取的flag提交。

提交格式：

flag{xxx}（提交花括号里面的字段，截图保存文档提交）（25分）

（四）第三阶段分组对抗（300分）

假定各位选手是某企业的信息安全工程师，负责服务器的维护，该服务器可能存在着各种问题和漏洞（见以下漏洞列表）。

你需要尽快对服务器进行加固，十五分钟之后将会有很多白帽黑客（其它参赛队选手）对这台服务器进行渗透测试。

提示1：

该题不需要保存文档；

提示2：

服务器中的漏洞可能是常规漏洞也可能是系统漏洞；

提示3：

加固常规漏洞；

提示4：

对其它参赛队系统进行渗透测试，取得FLAG值并提交到裁判服务器。

十五分钟之后，各位选手将真正进入分组对抗环节。

注意事项：

注意1：

任何时候不能关闭服务器80端口，要求站点能够被正常访问；

注意2：

不能对服务器、网络设备进行攻击，一经发现立即终止该参赛队的比赛，参赛选手清离赛场，并隔离到比赛结束。

注意3：

在加固阶段（前十五分钟，具体听现场裁判指令）不得对任何服务器发起攻击。

注意4：

FLAG值为每台受保护服务器的唯一性标识，每台受保护服务器仅有一个。

注意5：

靶机的Flag值存放在/flag文件内容当中。

注意6：

每队初始分111分，每提交1次对手靶机的Flag值增加7分，每当被对手提交1次自身靶机的Flag值扣除7分，本阶段最低得分为0分，最高得分为300分。

注意7：

在登录自动评分系统后，提交对手靶机的Flag值，同时需要指定对手靶机的IP地址。

注意8：

如因参赛队被攻击导致的问题，现场裁判不予帮助解决。

在这个环节里，各位选手需要继续保护你的服务器免受各类黑客的攻击，你可以继续加固你的服务器，你也可以选择攻击其他组的保护服务器。

漏洞列表：

1.靶机上的网站存在webshell，要求选手进行审计，找到的相关漏洞，利用此漏洞获取一定权限。

2.靶机上的网站存在SQL注入、命令执行、文件上传等漏洞，要求选手找到相关漏洞，并利用漏洞获取一定权限。

3.操作系统提供的服务存在未授权访问，要求选手利用相关漏洞，获取一定权限。

4.操作系统存在一些后门漏洞，要求选手找到后门，并利用预留的后门直接获取flag。

选手通过以上的所有漏洞点，最后得到其他选手靶机的最高权限，并获取到其他选手靶机上的FLAG值进行提交。