第一部分：

略

第二部分：网络安全事件响应、数字取证调查、应用程序安全任务书

任务 1：应急响应（可以培训有答案）

A 集团的应用服务器被黑客入侵，该服务器的 Web 应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。

本任务素材：CentOS 服务器虚拟机。
攻击的 Server 服务器已整体打包成虚拟机文件保存，请自行导入分析
用户名：root
密码：nanyidian…
请按要求完成该部分的工作任务

序号	任务描述	答案
1	请提交攻击者的 IP 地址
2	请提交攻击者使用的操作系统。
3	请提交攻击者进入网站后台的密码。
4	请提交攻击者首次攻击成功的时间：格式：DD/MM/YY:hh:mm:ss
5	请提交攻击者上传的恶意文件名（含路径）

任务 2：通信数据分析取证（40 分）

A 集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。

本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。

序号	任务描述	答案
1	提交攻击者通过什么协议发起的攻击
2	请提交攻击者第一次攻击成功的时间
3	请提交攻击者在目标主机上上传的文件名
4	请解密出上传的文件内容

任务 3：基于Windows 计算机单机取证（120 分）

对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 6”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于 15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。

任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。

证据编号	在取证镜像中的文件名	镜像中原文件 Hash 码（MD5，不区分大小写）
evidence 1
evidence 2
evidence 3
evidence 4
evidence 5

第三部分 应用程序安全

任务 4：HP 代码审计（40 分）

A集团发现其发布的web 应用程序中被黑客种植了 webshell，文件遭到非法篡改，您的团队需要协助 A 集团对该恶意脚本程序样本进行分析、对其攻击/破坏的行为进行调查取证。

本任务素材清单：PHP 文件。
请按要求完成该部分的工作任务。

序号	任务描述	答案
1	请指出存在安全漏洞的代码行
2	请指出安全漏洞的名称
3	请修改该代码行使其变得安全

第三部分：网络安全渗透、理论技能与职业素养

任务一 ：人力资源管理系统（60 分） 可以培训

任务描述	答案
1.请对人力资源管理系统进行黑盒测试，利用漏洞找到 flag1，并将 flag1 提交。flag1格式 flag1{<flag 值>}
2 请对人力资源管理系统进行黑盒测试，利用漏洞找到 flag2，并将 flag2 提交。flag2格式 flag2{<flag 值>}

任务二：办公系统（60 分）

任务描述	答案
3.请对办公系统进行黑盒测试，利用漏洞找到 flag1，并将 flag1 提交。flag1格式 flag1{<flag 值>}>}
4.请对办公系统进行黑盒测试，利用漏洞找到 flag2，并将 flag2 提交。flag2格式 flag2{<flag 值>}>}

任务三：FTP 服务器（120 分）

任务描述	答案
5.请获取 FTP 服务器上 task5 目录下的文件进行分析，找出其中隐藏的flag，并将 flag 提交。flag 格式flag{<flag 值>}
6.请获取 FTP 服务器上 task6 目录下的文件进行分析，找出其中隐藏的flag，并将 flag 提交。flag 格式flag{<flag 值>}
7.请获取 FTP 服务器上 task7 目录下的文件进行分析，找出其中隐藏的flag，并将 flag 提交。flag 格式flag{<flag 值>}
8.请获取 FTP 服务器上 task8 目录下的文件进行分析，找出其中隐藏的flag，并将 flag 提交。flag 格式flag{<flag 值>}

任务四.：认证服务器（30 分）

任务描述	答案
9.应用系统服务器 10000 端口存在漏洞，获取 FTP 服务器上 task9 目录下的文件进行分析，请利用漏洞找到flag，并将 flag 提交。flag 格式flag{<flag 值>

任务五： 运维服务器（30 分）

任务描述	答案
10.运维服务器 10001 端口存在漏洞，获取 FTP 服务器上 task10 目录下的文件进行分析，请利用漏洞找到 flag，并将 flag 提交。flag 格式 flag{<flag值>}

职业素养：

1、外部数据包过滤路由器只能阻止一种类型的 IP 欺骗，即（ ），而不能
阻止 DNS 欺骗?
A、 内部主机伪装成外部主机的 IP
B、 内部主机伪装成内部主机的 IP
C、 外部主机伪装成外部主机的 IP
D、 外部主机伪装成内部主机的 IP

2、目前，使用最广泛的序列密码是？（ ）
A、 RC4
B、 A5
C、 SEAL
D、 PKZIP

3、适合文件加密，而且有少量错误时不会造成同步失败，是软件加密的最好选择，这种分组密码的操作模式是指？（ ）
A、 电子密码本模式
B、 密码分组链接模式
C、 密码反馈模式
D、 输出反馈模式

4、以下不属入侵检测中要收集的信息的是（ ） 。
A、 系统和网络日志文件
B、 目录和文件的内容
C、 程序执行中不期望的行为
D、 物理形式的入侵信息

5、SYN 攻击属于 DOS 攻击的一种，它利用（ ）协议缺陷，通过发送大量的半连接请求，耗费 CPU 和内存资源。
A、 UDP
B、 ICMP
C、 TCP
D、 OSPF

6、按目前的计算能力，RC4 算法的密钥长度至少应为（ ）才能保证安全强度。
A、 任意位
B、 64 位
C、 128 位
D、 256 位

7、能修改系统引导扇区，在计算机系统启动时首先取得控制权的病毒属于（ ）。
A、 文件病毒
B、 引导型病毒
C、 混合型病毒
D、 恶意代码

8、下面不是 Oracle 数据库支持的备份形式的是（ ）。
A、 冷备份
B、 温备份
C、 热备份
D、 逻辑备份

9、哪个关键词可以在 python 中进行处理错误操作？（ ）
A、 try
B、 catch
C、 finderror
D、 error

10、维吉利亚(Vigenere)密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是（ ） 。
A、 置换密码
B、 单表代换密码
C、 多表代换密码
D、 序列密码

11、在数据库系统中，死锁属于（ ）。
A、 系统故障
B、 事务故障
C、 介质保障
D、 程序故障

12、扫描器之王 NMAP 中，全面扫描的命令是什么？（ ）
A、 -o
B、 -SV
C、 -sP
D、 -a

13、下列不属于网络安全 CIA 需求属性的是哪一项？（ ）
A、 机密性
B、 可抵赖性
C、 完整性
D、 可用性

14、入侵检测的目的是（ ）。
A、 实现内外网隔离与访问控制
B、 提供实时的检测及采取相应的防护手段，阻止黑客的入侵
C、 记录用户使用计算机网络系统进行所有活动的过程
D、 预防、检测和消除病毒

15、下面哪一项不是 hash 函数的主要应用？（ ）
A、 文件校验
B、 数字签名
C、 数据加密
D、 鉴权协议

16、《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过，现予公布，自（ ）起施行。
A、 2020 年 9 月 1 日
B、 2021 年 9 月 1 日
C、 2020 年 1 月 1 日
D、 2021 年 1 月 1 日

17、POP3 服务器使用的监听端口是？（ ）
A、 TCP 的 25 端口
B、 TCP 的 110 端口
C、 UDP 的 25 端口
D、 UDP 的 110 端口

18、下面不是 Oracle 数据库提供的审计形式的是（ ）。
A、 备份审计
B、 语句审计
C、 特权审计
D、 模式对象设计

19、端口扫描的原理是向目标主机的（ ）端口发送探测数据包，并记录目标主机的响应。
A、 FTP
B、 UDP
C、 TCP/IP
D、 WWW

20、下列哪个工具可以进行 web 程序指纹识别？（ ）
A、 nmap
B、 openVAs
C、 御剑
D、 whatweb

21、一个基于网络的 IDS 应用程序利用什么来检测攻击？（ ）
A、 正确配置的 DNS
B、 特征库
C、 攻击描述
D、 信息包嗅探器

22、根据工信部明确的公共互联网网络安全突发事件应急预案文件，公共互联网网络突发事件等级最高可标示的颜色是什么？（ ）
A、 红色
B、 黄色
C、 蓝色
D、 橙色

23、设在 RSA 的公钥密码体制中，公钥为(e，n)=(13，35)，则私钥 d=？（ ）
A、 11
B、 13
C、 15
D、 17

24、以下关于 VI 的说法正确的是？（ ）
A、 VI 和 VIM 没有任何关系
B、 使用 VI 打开一个文件后可以立即编辑文件内容
C、 VI 编辑器一次只能编辑一个文件
D、 以上说法全是错误的

25、以下哪一项描述不正确？（ ）
A、 ARP 是地址解析协议
B、 TCP/IP 传输层协议有 TCP 和 UDP
C、 UDP 协议提供的是可靠传输
D、 IP 协议位于 TCP/IP 网际层

26、应急事件响应和恢复措施的目标是（ ）。
A、 保证信息安全
B、 最小化事件的影响
C、 找出事件的责任人
D、 加强组织内部的监管

27、( )的目的是发现目标系统中存在的安全隐患，分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。
A、 漏洞分析
B、 入侵检测
C、 安全评估
D、 端口扫描

28、下面不是计算机网络面临的主要威胁的是？（ ）
A、 恶意程序威胁
B、 计算机软件面临威胁
C、 计算机网络实体面临威胁
D、 计算机网络系统面临威胁

29、将用户 user123 修改为管理员权限命令是 （ ） 。
A、 net user localgroup administrators user123 /add
B、 net use localgroup administrators user123 /add
C、 net localgroup administrators user123 /add
D、 net localgroup administrator user123 /add

30、（ ）是一种架构在公用通信基础设施上的专用数据通信网络，利用IPSec 等网络层安全协议和建立在 PKI 上的加密与签名技术来获得私有性。
A、 SET
B、 DDN
C、 VPN
D、 PKIX

31、什么是数据库安全的第一道保障？（ ）
A、 操作系统的安全
B、 数据库管理系统层次
C、 网络系统的安全
D、 数据库管理员

32、安全评估的方法不包括（ ）。
A、 风险评估
B、 威胁建模
C、 减少漏洞
D、 渗透测试

33、在常见的安全扫描工具中，以下（ ）主要用来分析 Web 站点的漏洞，可以针对数千种常见的网页漏洞或安全风险进行检测。
A、 SuperScan
B、 Fluxay(流光)
C、 Wikto
D、 MBSA

34、部署大中型 IPSEC VPN 时，从安全性和维护成本考虑，建议采取什么样的技术手段提供设备间的身份验证？（ ）
A、 预共享密钥
B、 数字证书
C、 路由协议验证
D、 802.1x

35、以下不属于入侵监测系统的是（ ） 。
A、 AAFID 系统
B、 SNORT 系统
C、 IETF 系统
D、 NETEYE 系统

二、 多选题 （每题 3 分，共 10 题，共 30 分）
1、移动用户常用的 VPN 接入方式是（ ）。
A、 L2TP
B、 IPSECHIKE 野蛮模式
C、 GRE+IPSEC
D、 L2TP+IPSEC

2、在动态易失数据提取及固定过程中，为了提高数据准确性，以下（ ）技术不对数据传输造成影响。
A、 数据库触发器
B、 数据加密技术
C、 数据压缩校验
D、 网络延迟

3、安全业务指安全防护措施，包括（ ） 。
A、 保密业务
B、 认证业务
C、 完整性业务
D、 不可否认业务

4、数据库的完整性分为以下种类（ ） 。
A、 实体完整性
B、 域完整性
C、 参照完整性
D、 用户定义完整性

5、在应急响应流程中，以下（ ）方法适合收集信息。
A、 监控系统
B、 系统日志分析
C、 询问用户
D、 随机抽样调查

6、以下关于 TCP 和 UDP 协议的说法错误的是？（ ）
A、 没有区别，两者都是在网络上传输数据
B、 TCP 是一个定向的可靠的传输层协议，而 UDP 是一个不可靠的传输层协议
C、 UDP 是一个局域网协议，不能用于 Interner 传输，TCP 则相反
D、 TCP 协议占用带宽较 UDP 协议多

7、Apache 服务器外围加固措施包括？（ ）
A、 部署 WAF
B、 部署 IPS
C、 部署 IDS
D、 部署蜜罐系统

8、以下 Linux 命令中，跟网络管理相关的命令有哪些？（ ）
A、 ifconfig
B、 df
C、 lsmod
D、 netstat

9、数据库系统可能的潜在安全风险包括（ ）。
A、 操作系统安全风险，包括软件的缺陷、未进行软件安全漏洞修补工作、脆弱的服务和选择不安全的默认配置
B、 数据库系统中可用的但并未正确使用的安全选项、危险的默认设置、给用户不适当的权限、对系统配置的未经授权的改动等
C、 不及时更改登录密码或密码太过简单，存在对重要数据的非法访问以及窃取数据库内容或恶意破坏等
D、 数据库系统的内部风险，如内部用户的恶意操作等

10、隐藏 Apache 服务器信息的方法包括？（ ）
A、 隐藏 HTTP 头部信息
B、 禁止显示错误信息
C、 自定义错误页面，消除服务器的相关信息
D、 修改服务 IP 地址

需要全部环境的可以私信博主，可以培训！！