新疆尔自治区第二届职业技能大赛“网络安全”解析与总结

在10月份举办的比赛，我也是参加了，现在也过了好几个月了，今天又重新总结了一遍新疆尔自治区第二届职业技能大赛“网络安全”解析与总结，这次总结，基本上把可以总结的都总结了，由于我们没有相关设备和环境，只能总结一些目前可以总结到的，还有那些没法总结到的，我也实在没办法。

比赛基本情况：很不好，有史以来比的最差的一次，可能也和这段时间的情感问题有关，然后也是带新人比赛的第一次，没啥经验，出现很多问题内因外因很多，最后导致比的非常差。

人设比赛cisco部分

1．基础设备安全功能配置

a）任何端口上的mac地址的最大数量必须不大于2。在违反本安全策略的情况下，端口应设置为restrict状态，不能被设置为错误禁用状态（shutdown）。

交换机：

Switch(config – if)#switchport port – security maximum 2 //设备端口mac最大数量为2

Switch(config – if)#switchport port – security violation restrict //设置接口违反策略时端口进入限制模式。b）关闭设备上多余未用的物理接

直接进入未使用的接口下，直接shutdown。

1. 分支机构间通信和远程工作人员远程访问策略

在FW与IAR之间构建vpn隧道，使分支机构和办公区能正常通信

Router(config)#crypto isakmp policy 10 //创建vpn

ipsec隧道的ike v1策略集加密参数使用aes

Router(config-isakmp)#encryption aes //设置加密算法为aes

ipsec隧道的摘要算法使用sha

Router(config-isakmp)#hash sha //算法使用sha

ipsec隧道的密钥交换算法使用pre-shared-key

Router(config-isakmp)#authentication pre-share //设置认证方式为共享密钥

Router(config-isakmp)#group 2

Router(config-isakmp)#exit

Router(config)#crypto isakmp key <密码>mysecretkey address <对方的ip> //设置设备共享密钥

ipsec隧道的变换集使用esp-aes和esp-sha-hmac

Router(config)#crypto ipsec transform-set wdsj esp-aes esp-sha-hmac //创建变换集

Router(config)#access-list 101 permit ip <分支机构子网> <子网掩码> <办公区子网> <子网掩码> //配置acl设置访问列表

Router(config)#crypto map wdsj 10 ipsec-isakmp //配置加密映射

Router(config-crypto-map)#set peer <IAR 的 IP 地址> Router(config-crypto-map)#set transform-set wdsj //指定变换值

Router(config-crypto-map)#match address 101 //应用访问列表

Router(config)#interface <连接到外部网络的接口> Router(config-if)#crypto map mymap //加密映射到端口

A-1：登录安全加固（Windows, Linux）

请对服务器 Windows、Linux 按要求进行相应的设置，提高服务器的安全性。

（1）密码策略（Windows, Linux）

a) 密码策略必须同时满足大小写字母、数字、特殊字符（Windows），将密

码必须符合复杂性要求的属性配置界面截图：

b) 密码策略必须同时满足大小写字母、数字、特殊字符（Linux），将

/etc/pam.d/system-auth 配置文件中对应的部分截图：

c) 最小密码长度不少于 8 个字符（Windows），将密码长度最小值的属性配

置界面截图：

d) 最小密码长度不少于 8 个字符（Linux），将/etc/login.defs 配置文件

中对应的部分截图：

（2）登录策略

e) 设置账户锁定阈值为 6 次错误锁定账户，锁定时间为 1 分钟，复位账户

锁定计数器为 1 分钟之后（Windows）,将账户锁定策略配置界面截图：

f) 一分钟内仅允许 5 次登录失败，超过 5 次，登录帐号锁定 1 分钟（Linux），

将/etc/pam.d/login 配置文件中对应的部分截图：

3.用户安全管理(Windows)

6g) 禁止发送未加密的密码到第三方 SMB 服务器，将 Microsoft 网络客户端：

将未加密的密码发送到第三方 SMB 服务器的属性配置界面截图：

h) 禁用来宾账户，禁止来宾用户访问计算机或访问域的内置账户，将账户：

来宾账户状态的属性配置界面截图：

A-2：本地安全策略设置（Windows）

（1）关闭系统时清除虚拟内存页面文件，将关机：清除虚拟内存页面文件

的属性配置界面截图：

（2）禁止系统在未登录的情况下关闭，将关机：允许系统在未登录的情况

下关闭的属性配置界面截图：

（3）禁止软盘复制并访问所有驱动器和所有文件夹，将恢复控制台：允许

软盘复制并访问所有驱动器和所有文件夹的属性配置界面截图：

（4）禁止显示上次登录的用户名，将交互式登录：不显示最后的用户名的

属性配置界面截图：

A-3：流量完整性保护（Windows, Linux）

（1）创建 www.chinaskills.com 站点，在 C:\web 文件夹内中创建名称为

chinaskills.html 的主页，主页显示内容“热烈庆祝 2022 年浙江省职业院校技

能大赛开幕”，同时只允许使用 SSL 且只能采用域名（域名为 www.test.com）

方式进行访问，将网站绑定的配置界面截图：

（2）为了防止密码在登录或者传输信息中被窃取，仅使用证书登录 SSH

（Linux），将/etc/ssh/sshd_config 配置文件中对应的部分截图：

A-4：事件监控（Windows）

（1）应用程序日志文件最大大小达到 65M 时将其存档，不覆盖事件，将日

7志属性-应用程序（类型：管理的）配置界面截图：

A-5：服务加固 SSH\VSFTPD\IIS（Windows, Linux）

（1）SSH 服务加固（Linux）

a) SSH 禁止 root 用户远程登录，将/etc/ssh/sshd_config 配置文件中对应

的部分截图：

b) 设置 root 用户的计划任务。每天早上 7:50 自动开启 SSH 服务，22:50

关闭；每周六的 7:30 重新启动 SSH 服务，使用命令 crontab -l，将回

显结果截图；

c) 修改 SSH 服务端口为 2222，使用命令 netstat -anltp | grep sshd 查

看 SSH 服务端口信息，将回显结果截图；

（2）VSFTPD 服务加固（Linux）

a) 设置数据连接的超时时间为 2 分钟，将/etc/vsftpd/vsftpd.conf 配置

文件中对应的部分截图：

b) 设置站点本地用户访问的最大传输速率为 1M，将

/etc/vsftpd/vsftpd.conf 配置文件中对应的部分截图：

（3）IIS 加固（Windows）

a) 防止文件枚举漏洞枚举网络服务器根目录文件，禁止 IIS 短文件名泄露，

将配置命令截图：

b) 关闭 IIS 的 WebDAV 功能增强网站的安全性，将警报提示信息截图：

人社省赛比赛总结

这次比赛可以说是目前有史以来比的最差的一回比赛中出现了很多很多问题，并且以前从来没有遇见过。这对此进行总结与回顾。

首先是第一阶段，第一阶段上回比赛的时候当时我和候分配好的，上回比赛，123阶段同时进行，所以第一阶段让他负责二三阶段我负责这也导致我并不知道现场上第一阶段住的时候会出现什么问题。，这回我还是打算让苏多做点，我没上心第一阶段是最开始我们分配的是苏，做完前面的设备题，立马从下往上做，第一阶段我原本觉得基本上没有什么问题，但是比赛的时候还出现了一些问题，首先是比赛提前前几天的时候我们每天都在练，但是练的题是练错了，因为最开始来到他们学校进行实训训练的时候，我在他们那个靶场上看见他们已经把第一阶段题放到靶场上了，我以为他们这是全部都改了，改成这个靶场上的题了，然后我，把它全部截图下来进行训练，然后临近比赛，前几天，我们每天练的都是从靶场上截图下来的题，结果到了比赛当天发现他的题并没有什么变动，还是按照原来的赛程上的题，但是问题也不大。

刚开始分配好了题，我只做分配到我这里的题，前面的题都没有什么问题，直到我做到iis新建网站然后设置流量完整性保护的这道题的时候，我不知道为什么他那个环境和我原来练习的环境一点都不一样，怎么做都做不出来，是有一小块块他。改成加密是灰色的，不开成加密没事，但是题目要求要加密，我往下看了一下下面的题，我觉得问题应该不大，到时候苏做完上边的题直接做下面的题，时间还是非常的充足的，我想着说，那慢慢磨一下这个题，看能不能弄出来，结果怎么着都不行，中途我还尝试过进行靶机重启还是不行，浪费很多时间，后面苏卡到防火墙哪里了，iptables，这些命令我都记着呢，然后用我kali给他演示了一遍，告诉他怎么弄，我演示的时候是正确的，我还专门讲了一下dns为什么要用forword转发模块，那时候觉得时间还充足，问题不大，给他演示了一遍让他去做去了，也费了一些时间，结果他做的时候，做错，了，不是我教的那个命令，我也不知道为什么，后面比完赛我问他，他说他是写的我那个命令，但是不知道为什么后面写错了，截图，截错了属于是，然后这是我以为他下面的题已经全部做完了，所以才在这研究这个防火墙，一切都在掌握之中，然后我又去研究了一下那个nginx距离比赛结束还有十几分钟，20几分钟，我寻思检查一遍吧，然后发现他下面分配的题他没有做，中间还有很多空的题，这下我开始着急了，赶紧一个一个的往那做，然后导致后面好多题。基本属于是做错，做了一会儿，发现后面好多好多题都没有做啊，还有一些简单的日志保存的也都没做，这会我开始慌了，然后做错的更多了，到最后临近提交的时候还有那么几道题，我印象中应该也没做。

这些问题

第二阶段：

之前我都是看着赛题，这没有环境的情况下练命令，也没办法在真实比赛上应对真实可能发生的各种问题，那些命令我是都会的，但是确实没环境导致到了真实比赛的时候，出现很多问题，而且我还都解决不掉。

第一个问题

这一道题当时我们连接进去之后，在这个文件夹下面是看不见这两个txt文件，上图是我现刚刚从网上找到这个的解析看了一下，刚找到原因，我不了解他们这个设备是怎么一回事儿，这个属于是他们盘云设备的一个问题，是有概率，有的机子是tmp里面会自动清空，所以我们连接上去根本找不到这个文件，同时我也找到了解决方法，解决方法是重启一遍，如果还不行继续重启，直到触及到它有这个文件为止，当时我们在赛场上，我也尝试过了一遍重启用reboot命令,但是后来也没有找到这个文件。

他们这个比赛形式，二阶段是一环扣一环，一道题，做不出来，下面几道题都没法做。或者说这一整道题没法做了，比如这道题让爆破，题目上虽然说了用户没有给，但是实际上他这个题的本质还是让你爆破他那个hacker用户当时我也想到了，是爆破的这个，hydra -l指定用户名，密码本我指定的是他那个tools里面的密码本，结果由于上一题我。那个。Tmp文件里面passwd 这txt文件没下载下来，这两道题是相关联的，是说这一道题需要你上一道题下载下来的那个文件当做密码本，上一道题我根本没找到密码本也没有下载下来。导致这一题，我用tools里面的密码本是爆破不出来

然后下面这道题，当时我专门看了一下里面的用户列表，我知道这个为用户肯定是hacker用户，但是由于上有一道题，我没有下载下来，那个密码本，导致没有爆破成功，同时导致我下面也登陆不了这个用户。，最后导致我没法看这个历史命令。

他这个同一道大题里面，每一个小题之间都是相互相连的，其中上一个小题做不出来，下面的题都没法做。

包括下面这道题也是

这道题也是让用刚才第一道题，从上面下载下来那个密码，本来包括这个用户名，才能进行上面截图上的这几步，最后这一整道题拿了两道小题的分，一道是扫描能出来的分，另一道是我根据经验硬猜出来的一个结果值。

总体来说，这一整道题是因为它第二道小题。和后面几道题都有关联性，而且是非常强的关联性，第二道题，我是没有想到他这个盘云的这个问题，随机消失tmp里面的文件（准确的说，这是linux上的问题。）如果我当时多次重启，或者说要求裁判进行重启，可能后面也会显示出来这个文件。

永恒之蓝windows那道题。

这道题我觉得并不是很难，当时我让苏直接做行，本来我想的是让他到时候去新建一个用户，然后我们连接上去，这样后面很多题都比较好做。，前一天晚上我还专门试了一下，这么高可以行net user 111 111 /add 结果今天比赛的时候发现我们msf连上之后用户也新建好了，是不能够远程连接连接，根本连接不上。，然后我直接用msf里面的shell指令去做题，他全部都是乱码，之前我们自己搭建环境练习的时候，没有怎么出现过这样的乱码。哪怕有的时候会出现，但是也是一小部分乱吧，总体还是能看见的。我一直认为他这个是是一直有的问题，没有去考虑过这个。

然后今天这道题它是完全是乱的，什么招都不行，导致什么也看不见。最后有那么三道题没做出来。后面孙跟我讲了之后，我才明白

下面这道题

这个题存在的问题是，我们如果扫描的时候使用的参数是sv参数，那么这台机器上带的那个后门，会把所有端口关闭。只能重启才行，我不知道这一点。上来是用的这个扫描方式。后面发现什么都没有扫描出来的是第一道题，我猜的这个服务是vsfftp，猜对第一道，后面是做第一思路，是说,扫描出来那个mysql的端口，然后直接进行爆破，然后通过mysql写入一句话木马，然后进行

同时导致后面好几道题都没有做出来。

还有印象当中的这道题

这道题我的思路和他这个网上的解析一样，我也是想着说直接nc连，我想的是连上之后，然后直接新建一个用户，创建一个密码，然后我们再ssh连接。因为它这个nc连接只能用一次，但是我没想到，只要是sv参数扫描过，他这个没法用nc连接了，只能通过重启来恢复，当时我和苏一块试了下，nc是不行，是有问题，怎么搞都不行，我一直以为会不会是这道题有改动，改过了，所以这样

还有这道题,孙老师说这个是指定1.txt为用户名字典，passwd那个文本为字典，当时我记得他这种题都是user，root，等来试，而且那个一点txt里面并不是用户名字典，然后当时我把常见的用户名都试了一遍是没测试ubuntu这个用户名，因为这个导致这一道题，后面那些小题也都没法做。

来到最后两个题电子取证内存取证这一些，这个题做的还是比较好一点的，这一类的题目原来在相关平台上一直在练，不像上面那些题，没有环境去练习，遇见问题我都可以直接解决掉。

内存取证，我记得一个那个账号，密码那个没弄出来。那个我只能整出来。数据包取证那道题，是那个文件名，那个题没做出来，原来我练习的时候，只要是说让某某某文件名，我都是带后缀的，并且以前我还从网上专门查过这些相关的题，都是要带后缀。刚刚我又查了一下按理说，是要带后缀才是文件名字

我也潜意识的，一直是带后缀住上填，后面一直显示不对，我以为这个题我把答案找错了，不用好好，又重新找了两三遍。还是不对，是没有反应过来。把后缀去掉试一下。

到下午的比赛，真的没见过这种模式的比赛，他也不像awd，也不像是ctf，并且我们以前从来没有这么练习过，哪怕是去各种各样的平台打ctf也都是和这个类型不一样的，他上来给了两个b段ip范围，我以为和他们企业里面渗透那种一样，直接bc段的全渗透。然后一点点扫描，从这个b段扫到那个c段，想着说把输入的ip都给他扫一遍看看，本来我尝试过192.168.x.250，只变那个带x的数字，但是nmap不支持这个功能，最后也没有这么扫，当时有一个ip发现永恒之蓝找到flag，我也没有反应过来，他这个是有25台都有这个漏洞，我以为他这个是每一台的漏洞都不一样，找到一个漏洞不会再出现这个漏洞，后面经过提醒才发现他是有25台这个漏洞，还有25台另一个漏洞。

然后vftp那个漏洞，被别人用脚本批量的修复了，刚刚我还从网上查了一下，他这个确实是可以批量修复，需要一两条命令可以修复掉这个漏洞，然后比赛的人里面有那么一个队伍，他们好像挂了定时任务，不停的对着这个进行执行的一个命令，裁判刚重置，没过几秒，立马全部被改，导致我们只拿到两个flag

最后总结一下本次出现的最大的问题，一阶段是我疏忽了，本来以为简单题，问题不大，想着让苏做，我还想着，教教他这些题怎么做怎么做，言传身教，在那个防火墙那块我还搞了半个小时，结果苏不会，没跟我说他后面的题没做出来我以为他已经把后面的题做完了，结果到快结束的时候，我才发现又非常超忙，非常急的去补这些题丢了不少分。

二三阶段主要是以前真的是一点都没接触过这样的模式，我一直练的是各种ctf平台，这个和那些不一样，而且由于第二阶段那些题，我之间练的时候也没有环境，都是自己悄悄命令。结果导致到比赛的时候，他出现的各种各样的问题，我根本不会解决，以前没有环境，我也没见过这样的问题，第三阶段如果没有提醒的话我都不知道这是在比什么，根本没了解过这个。