二、做事器环境解释
Windows 用户名:administrator,密码:123456
Linux 用户名:root,密码:123456
三、详细任务(每个任务得分以电子答题卡为准)
#A-1任务一 登录安全加固(Windows, Linux)请对做事器Windows、Linux按哀求进行相应的设置,提高做事器的安全性。
1.密码策略(Windows, Linux)
a.最小密码长度不少于16个字符。
Windows:管理工具-本地安全策略-账户策略-密码策略,设置密码长度即可
Linux:
修正/etc/login.defs 文件 PASS_MIN_LEN 字段参数
2.登录策略(Windows, Linux)
a.在用户登录系统时,该当有“For authorized users only”提示信息;
Linux:修正/etc/issue 文件添加本地登录欢迎语
修正/etc/ssh/sshd_config文件添加 Banner /etc/ssh/banner,在ssh目录下新建一个文件Banner,内容写欢迎语。
Windows:本地安全策略-本地策略-安全选项,“交流式登录:试图登录的用户的标题 属性” 修正欢迎语。
b.远程用户非活动会话连接超时应小于即是5分钟。
Linux:修正/etc/ssh/sshd_config文件,设置ClientAliveInterval和ClientAliveCountMax 参数
Windows:管理工具-远程桌面做事-远程桌面会话主机设置,RDP-Tcp属性,在会话中修正。
3.用户安全管理(Windows)
a.设置user1用户只能在上班韶光(周一至周五的9:00~18:00)可以登录,将user1的登录韶光配置界面截图;
单机:net user "user1" /time:M-F,9:00-18:00
域用户:双击用户帐户,在涌现的用户属性对话框中,点击“帐户”标签,点击“登录韶光”,可以指定用户能够登录到域的韶光段,最小单位为小时。
b.在组策略中只许可管理员账号从网络访问本机。
打算机配置-Windows设置-安全设置-本地策略-用户权限分配-从网络访问此打算机
#A-2任务二 数据库加固(Linux)4.以普通帐户mysql安全运行mysql做事,禁止mysql以管理员帐号权限运行;
修正MySql配置文件/etc/my.cnf,设置user参数为普通用户。
5.删除默认数据库(test);
drop databases test;
6.改变默认mysql管理员用户为:SuperRoot;
update user set user='SuerRoot' where user='root';
7.利用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!);
Update user set password=md5(password) where user="user1";
8.授予user1用户对数据库所有表只有select,insert,delete,update权限。
grant select,insert,delete,update on testdb. to user1@‘localhost’;
#A-3任务三 流量完全性保护(Windows)9.对Web网站进行HTTP重定向HTTPS设置,仅利用HTTPS协议访问网站(Windows)(注:证书颁发给test.com 并通过https://www.test.com访问Web网站)。
在IIS设置中配置URL重写
IIS重写HTTP重定向到HTTPS操作方法(转)_hzfw2008的博客-CSDN博客 https://blog.csdn.net/hzfw2008/article/details/103191496
#A-4任务四 事宜监控(Windows)10.将Web做事器开启审核策略
登录事宜 成功/失落败;
特权利用 成功;
策略变动 成功/失落败;
进程跟踪 成功/失落败;
组策略里面改就行。
#A-5任务五 做事加固SSH\VSFTPD\IIS(Windows, Linux)
11.SSH做事加固(Linux)
a.修正ssh做事端口为2222;
修正 /etc/ssh/sshd_config, #Port 22 //将注释符#去掉,然后改成2222,重启ssh做事
b.ssh禁止root用户远程登录。
修正/etc/ssh/sshd_config,修正个中的#PermitRootLogin yes为PermitRootLogin no,重启ssh做事。
12.VSFTPD做事加固(Linux)
a.vsftpd禁止匿名用户上传;
修正/etc/vsftpd/vsftpd.conf配置,配置anonymous_enable=NO
b.设置无任何操作的超时时间为5分钟。
修正/etc/vsftpd/vsftpd.conf配置,超时配置就这些:看着来
# 主动模式连接超时时长,单位为秒
connect_timeout=600
# 被动模式连接超时时长,单位为秒
accept_timeout=600
# 数据连接无数据超时时长,单位为秒
data_connection_timeout=300
# 无命令操作超时时长,单位为秒
idle_session_timeout=600
13.IIS加固(Windows)
a.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、韶光、客户端IP地址、用户名、方法);
IIS中-网站-日志设置,选择日志记录字段
b.为了减轻网站负载,设置网站最大并发连接数为1000。
IIS–网站–高等设置–最大并发连接数里修正
【——全网最全的网络安全学习资料包分享给爱学习的你,关注我,私信回答“资料领取”获取——】1.网络安全多个方向学习路线2.全网最全的CTF入门学习资料3.一线大佬实战履历分享条记4.网安大厂口试题合集5.红蓝对抗实战技能秘籍6.网络安全根本入门、Linux、web安全、渗透测试方面视频
#A-6任务六 防火墙策略(Windows, Linux)
所有做事器开启防火墙,为防止打单病毒攻击对防火墙进行加固策略:
14.Windows系统禁用445端口;
防火墙里面配置就行
15.Windows系统禁用23端口;
防火墙里面配置就行
16.Linux系统禁用23端口;
iptables -A INPUT -p tcp --dport 23 -j DROP
17.Linux系统禁止别人ping通;
A.临时方法:
echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all
B.永久PING配置方法。
/etc/sysctl.conf中增加一行
net.ipv4.icmp_echo_ignore_all=1
C.不该默认配置情形下,利用防火墙禁止
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
18.为确保安全Linux系统禁止所有人通过ssh连接除了172.16.1.1这个ip。
iptables -A INPUT -s 172.16.1.1 -p tcp --dport 22 -j ACCEPT
#模块B 网络安全事宜相应、数字取证调查和运用安全一、项目和任务描述:
假定你是某网络安全技能支持团队成员,某企业的做事器系统被黑客攻击,你的团队前来帮助企业进行调查并追踪本次网络攻击的源头,剖析黑客的攻击办法,创造系统漏洞,提交网络安全事宜相应报告,修复系统漏洞,删除黑客在系统中创建的后门,并帮助系统规复正常运行。
二、做事器环境参考(以实际赛题为准)
操作系统:Windows/Linux
三、PC机环境参考(以实际赛题为准)
物理机:Windows7或Windows10;
虚拟机1:Ubuntu Linux(用户名:root;密码:123456),安装工具集:Backtrack5,安装开拓环境:Python3;
虚拟机2:Kali1.0(用户名:root;密码:123456);
虚拟机3:Kali2.0(用户名:root;密码:123456);
虚拟机4:WindowsXP(用户名:administrator;密码:123456)。
四、详细任务
任务解释:Flag格式:Flag{Xxxx123},括号中的内容作为Flag值,提交Xxxx123即可
#B-1任务一:内存取证任务解释:仅能获取Server1的IP地址
1.从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password}形式提交(密码为6位);
利用hashdump 提取内存中用户的hash,然后破解即可
2.获取当前系统ip地址及主机名,以Flag{ip:主机名}形式提交;
3.获取当前系统浏览器搜索过的关键词,作为Flag提交;
4.当前系统中存在挖矿进程,请获取指向的矿池地址,以Flag{ip:端口}形式提交;
netstat看进程连接端口
5.恶意进程在系统中注册了做事,请将做事名以Flag{做事名}形式提交。
#B-2任务二:流量剖析任务解释:仅能获取Server2的IP地址
1.利用Wireshark查看并剖析Server2桌面下的capture.pcapng数据包文件,找出黑客获取到的可成功登录目标做事器FTP做事的账号密码,并将黑客获取到的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;
Wireshark中打开数据包,过滤ftp协议找。
2.连续剖析capture.pcapng数据包文件,找出黑客利用获取到的账号密码登录FTP做事的韶光,并将黑客登录FTP的韶光作为Flag值(例如:14:22:08)提交;
Wireshark中打开数据包,过滤ftp协议找。
3.连续剖析capture.pcapng数据包文件,找出黑客成功登录FTP做事后实行的第一条命令,并将实行的命令作为Flag值提交;
过滤ftp.request.command
4.连续剖析capture.pcapng数据包文件,找出黑客成功登录FTP做事后下载的关键文件,并将下载的文件名称作为Flag值提交;
5.连续剖析capture.pcapng数据包文件,找出黑客成功登录FTP做事后下载的关键文件,并将下载的文件内容作为Flag值提交。
#B-3任务三:渗透测试任务解释:仅能获取Server3的IP地址
1.通过本地PC中渗透测试平台Kali对靶机场景Server3进行系统做事及版本扫描渗透测试,以xml格式向指定文件输出信息(利用工具Nmap),将以xml格式向指定文件输出信息必须要利用的参数作为Flag值提交;
-oX 参数输出xml
2.在本地PC的渗透测试平台Kali中,利用命令初始化MSF数据库并将此命令作为Flag值提交;
msfdb init
3.在本地PC的渗透测试平台Kali中,打开MSF,利用db_import将扫描结果导入到数据库中,并查看导入的数据,将查看该数据要利用的命令作为Flag值提交;
hosts可以查看导入数据的主机信息
4.在MSF工具中用search命令搜索CVE-2019-0708漏洞利用模块,将回显结果中的漏洞公开韶光作为Flag值(如:2017-10-16)
提交;
search cve-2019-0708
5.在MSF工具中调用CVE-2019-0708漏洞攻击模块,并检测靶机是否存在漏洞,将回显结果中末了一个单词作为Flag值提交。
调用模块检测即可
