截止到目前,我参加这个赛项也半年有余,那么接下来说说信息安全管理与评估赛项赛题及规程超全解读——打破信息差与信息壁垒,本文在撰写的过程中参考了多个院校多个学生的一些描述和见解,并和老学长进行了一些深度的交流和咨询,参考了网上已经有的很多很多的文章,最后进行撰写。
如果非要说目前参加这个比赛,我遇见的最大的问题,我觉得还得是说这个比赛的信息差信息壁垒这方面,并且在这一方面吃亏是真的很吃亏,并且不知道为什么这个比赛他明明是一个教育部的比赛,但是总给人一种感觉不够透明公开,很多时候经常比赛的时候非常的难受,一般来说教育的一些考试啊,之类的,公开与透明这一块肯定是要做得比较好的,但是他这个现象觉得有点反其道而行。
那么这里呢,咱们可以举一个例子,比如说我们比较熟知的高考中考一类的考试,在考试前很多个月之前,大家基本上都了解了考试的形式考试的内容范围,并且每个时候都会进行相关的模拟考试,而这个比赛的情况是,如果学校实力比较强,可以进行模拟比赛,模拟比赛的相关环境,如果学校没那个实力,那纯废,到了比赛赛场上,看的这些东西搞不明白啥是啥,甚至连接几个线都接的费劲。
说了那么多,那么继续往下进行分析。
先来第一阶段,第一阶段是我的比较弱的一个项,但是对于他们的log,waf等服务器,我还是搞起来挺顺手,得益于以前搞金盾傲盾防火墙waf积攒的经验,还有以前玩panbit上网行为管理,啊,弄这些东西,而这个是dcn的设备和他们也都是换汤不换药。
Netlog错误例题部分列举:在前几年国赛的时候,经常出现争议的一些题,是根本没法配,或者说你配上之后也不知道到底从哪里截图合适,连答案都没有特别标准的答案。
1.在公司总部的BC上配置,在工作日(每周一到周五上班)期间针对所有无线网段访问互联网进行审计,如果发现访问互联网的无线用户断网20分钟,不限制其他用户在工作日(每周一到周五上班)期间访问互联网。
2.BC 配置应用“即时聊天”,在周一至周五8:00-20:00监控内网中所有用户的QQ账号使用记录,并保存QQ聊天记录数据包;
3.BC上配置用户识别功能,对内网所有IP地址进行身份识别;
那么这些错误的例题在正赛中已经被删除和替换了,所以大家不用担心今年也会有类似问题的出现,现在已经有专门搞这个的人进行了验证。目前都可以做出来
29.NETLOG 配置应用“即时聊天”,在周一至周五 8:00-20:00 监
控内网中所有用户的腾讯 QQ 相关应用;(6 分)
32.使用 NETLOG 对内网所有 IP 进行本地认证,认证页面为默认, 要求 HTTP 认证后的用户在每天凌晨 2 点强制下线,并且对访问 HTTP 服务器 172.16.10.45 的 80 端口进行免认证;(6 分)
再来看2023的部分,发现部分网络设备需要与BC进行联动
例题:
- 为了安全考虑,无线用户移动性较强,访问因特网时需要在 BC 上开启 web
认证,采用本地认证,密码账号都为 web4321。
- 由于总公司无线是通过分公司的无线控制器统一管理,为了防止专线故障 导致无线不能使用,总公司和分公司使用互联网作为总公司无线 ap 和 AC 相互访问的备份链路。FW 和 BC 之间通过 IPSEC 技术实现 AP 管理段与无 线 AC 之间联通,具体要求为采用预共享密码为
ABC4321,IKE 阶段 1 采用 DH 组 1、DES 和 MD5 加密方,IKE 阶段 2 采用 ESP-DES, MD5。
包括后续的题目中BC和WAF也存在以前赛题没有涉及到的全新知识点,这一点非常恶心了,如果学校里面只有老设备没有新设备的话,那么这个新的题做起来很费劲,你是老的设备,甚至有一些功能,这里都没有。
2-1.第一部分 网络安全事件响应(70 分)
任务 1:服务器应急响应(70 分)
在22年国赛的环境上,这一块给到的是Linux的打包虚拟机(具体是Centos还是Ubuntu记不清了)和今年相比,没有差太多,但是今年的第一套样题的这一部分中出现了Windows的应急响应,其余9套均为Linux(Ubuntu、Centos)当然也不排除会抽到Windows,所以咱们在备赛练习中还是不能落下Windows的应急响应。通过近三年以来的比赛,基本上好多省份的,我也都看了,没有出现过一次windows的应急响应,主要原因还是linux占市企业生产环境中使用的更多,所以他们出题也是围绕着linux,应急响应来出。是你说起来人家比赛方也不能不出windows光出linux,不定哪一次比赛给你出了windows的应急响应。
看了下赛题还是老几样,无非是:提交攻击者的IP地址,者攻击成功的时间,操作系统版本,后门路径,可以进程等,那么大致方向确定了,那么问题出现了,上哪里去搞这种应急响应的靶机?或者说像网上很多人说的,自己打自己,可是你自己打的你自己练的话,那不是手在擒来吗?根本不一样,没那一说,自己出的题,难道我自己也做不出来吗?并且一般自己打自己练的话和比赛的方向是不同,所以说,如果这一点学校的实力够强,有相关的老师可以针对这个制作一些相关的镜像的话,那确实很吃香,但如果不行的话,那是寄寄寄
是的,市场的风终究还是刮到这块儿,在这几个月,突然有那么几个团队开始专门研究应急响应的靶机,比如说前一段时间的帕鲁杯应急响应,还有他们有人推出的玄机应急响应靶场,复现了接近500多个应急响应靶场,通过这里也能稍微的解决一下这个问题。
2-2.第二部分 数字取证调查(150 分)
任务 2 :基于xxx的内存取证(40 分)
该部分在22国赛中给的是Windows的vmem镜像,通过Volatility来进行取证分析,那么今年的规程上依然是给到了Volatility,但是备注栏写了2.6及以上版本,我们也不排除会给Volatility3的版本,且在部分省赛以及CTF比赛中已经开始用到Volatility3的版本,这是最简单的题,只要命令会,一定能出答案,不存在渗透测试那样可能会存在玄学问题,所以该工具两个版本都需要熟练掌握。这个其实主要的问题也还是没有环境没法练,那是好在,只要你能把命令全部记下来,比赛的时候挨个命令是你都能试出来一个大概。
回到2023的样题,只有1 5套出现了CentOs和Linux的系统,其他均为Win10以及Windows Server的环境,大概率可能还是出windows,这一点呢,我也进行了一些探讨和研究,他现在是这个工具,在进行内存取证的时候,他对于linux是有点问题,windows内存取证它比较好取一些,如果用linux的话会更费点劲,不知道为什么,我从网上找到一个相关的linux,取证但是,做起来非常的费劲,所以他比赛我觉得也不能搞这东西。
常规题目应该都没有难点,相关命令在我上篇文章介绍Volatility的工具也有(该思路仅供参考,不保证正赛环境一致)
1.恶意进程无非是netscan和pslist来查找
2.恶意文件名称可以通过filescan来检索
3.登录密码 hashdump
4.账户名称 hashdump,也可以通过print key来查看注册表
5.都指明在桌面了可以直接filescan | Desketop来过滤查看文件
4.PID:pslist 和 pstree
5.通过上述手段找到恶意文件后进行十六进制分析,包括但不限于检查文件头文件尾等信息来判断
3.cmdscan和cmdline可以查询历史命令
1.通过hashdump确定了用户名后可以使用filescan | xxx来过滤该用户下的压缩文件,拿到后进行常规CTF Misc解题思路爆破 伪加密等手段
该题在22年是网络数据包分析,给到的是Web攻击的流量包考的是SQL注入,那么今年在样题中发现了U流量分析、通信流量分析以及应用层协议流量分析
但是本块U的题目还是出现了木马上传分析等,可能也会有Web服务的流量,也有可能是通过u盘来传马进行分析
应用层协议分析的话,不排除会有SSL DNS等协议的流量出现。相关字段中会包含信息。
该题也可以通过自己打自己来拦截流量进行练习,也可以在各大CTF平台刷MISC题
任务 4: 基于 XXX 计算机单机取证(60 分)
这东西说白了是给你一个文件,然后让你使用auto是那个狗头的那个工具,进行分析,比赛的时候它是会有接近4000个文件,然后从这些文件里面找到那个带有ev1 ev2这些编号的文件说白了是杂项一类的,比如说你取到一个图片,然后你把这个图片进行修改的长宽高,然后发现图片上面写了一个eva1,那么这个可以计算一下它的md5值填写到ev1的栏目下,这个题的本质说白了是杂项,只要你的杂项够强,是能搞出来
该题还是需要疯狂刷Misc!可以去各大CTF平台刷。
2-3.第三部分 应用程序安全(80 分)
任务 5:XXX 恶意程序分析(50 分)
该部分在去年给到的是驱动程序文件(*.sys) 的逆向,今年在样题中看到了 安卓 Windows Linux,逆向部分我只能说没有任何技巧,全是基础,需要选手,对于编程语言有极度高的理解,尤其是对于c语言二进制底层比较好的理解,不行那放弃这个没办法。
任务 6:X 语言代码审计(30 分)(50 分)
审计的话,建议交给做逆向的人来做这道题,因为逆向对于代码理解能力要比较好一些,所以做这一类题也比较轻松,如果他让你做的是php代码审计的话,交给web人来搞。
接下来我们来说一下第三阶段ctf部分,不知道为什么他这个比赛给的文档看起来特别齁人,题目上面写着什么让你对这个渗透对那个渗透,有人一看啥玩意儿,你让我直接干渗透?直接傻眼了,不是说好了ctf吗?其实他这个是ctf,我来讲一下下面这三道题怎么个回事,我说第一题那个人力资源什么玩意儿,说白了是ctf里面的web题,给你一个网站,然后让你去里面弄flag,是ctfweb题,第二个邮件系统,说白 了也是web题,下面有一大堆什么ftp服务器渗透,有人可能要会想了,ftp渗透的话是不是用什么msf xxx cve漏洞进行渗透? no no no你要是这么想,错了,说过他这个纯粹是吼人,这个题说白了,是ctf当中的杂项题和密码学的题,上面写的ftp服务器,是让你连接上他那个ftp服务器,把这个相关的附件下载下来,然后去分析你下载下来的这些文件,找到flag,它是纯粹的杂项。
队伍如何组队以及如何分工
目前先说一下分工,我认为最好的分工是一个设备特别强的人,一个代码能力特别强的,一个专门搞web安全的。然后搞设备的负责设备和其他题辅助做题,代码能力特别强的专门搞,代码审计和pwn,逆向还有密码学和杂项当中需要写脚本的题,而web安全的包揽所有的web题,并且应急响应也归web(既然你会攻击,那么你要会防御,web必须的)而应急响应属于防御,同时web还要配合逆向哥做pwn题这一类题型既涉及到逆向,又涉及到web,最终目的是通过逆向之后那个代码漏洞进行攻击某个网站。
目前的阵容,我也了解了好多学校的阵容分配这是以下几种,目前t0热门阵容如下
稳扎稳打流:两个搞设备的一个web安全,实打实的把稳做到,把设备侧拿满。这种要求web安全可以包揽除设备外,所有的题,逆向一类的题直接放弃,设备人帮忙做杂项和磁盘取证。
综合实力流:一个设备,一个web,一个杂项,这个目前非常的主流,而且我们学校现在也是这个情况,可必须做到随机应变,三个人都可以互相管其他人的内容,逆向和pwn基本放弃,看情况的话能做出来一两道,磁盘,内存取证密码学杂项,归杂项人管
冲高流:一个设备人,一个web,一个逆向 ,这种阵容的学校目前来看非常的少,很少有人这样搞,这种阵容基本属于是起码拿到700分以上的,说如果这样的那阵容的话,那个搞逆向的是代码能力特别强。可以出逆向和胖的题,只要需要写脚本的地方,他都能写出来脚本,设备人一边搞设备,一边负责杂项,web人搞除这些内容外其他的,只要是需要用到脚本的地方,全部让逆向哥来帮忙
混合混搭流 :这个阵容我看目前有很多学校人在搞,这个也是比赛目前发展的趋势,是说三个人可能都不是说非常精通某一方面,但是他们每一个方面都可以搞,随便一个人都可以把三个阶段都做一做,真正做到比赛的时候,没有人会闲置,第一阶段三个人是一块上,一块做第一阶段。第二三阶段也是这样,目前的趋势我觉得,这个比赛的出题方是想将来这样搞,因为现在第一阶段,他已经逐渐变成那种一个人根本完不成的情况了,必须要求三个人同时搞,才能做完第一阶段的那种。
番外篇:这个比赛实在实在太依赖学校资源了,只要学校敢砸钱,只要学校支持的力度够大,拿奖确实能拿到,除此以外,其他的不敢说。
截止到这里已经6000多字,我也只能写到这里了,我所知道的可以写出来的,也这样了。
