1.基础设置和安全强化（xxx 分）

1.1.任务描述
各位选手需要先在防火墙的CLI界面配置管理接口，然后通过管理员PC登录web端完善防火墙策略，并将处置加固服务器接入堡垒机和蜜罐。

1.2.任务内容

1.1.在防火墙的CLI界面配置管理接口的ip地址，配置g0/0/0接口ip配置为192.168.1.1/24，将配置接口ip的命令（掩码使用◊◊◊. ◊◊◊. ◊◊◊. ◊◊◊形式）通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)；（分）

2.在防火墙的CLI界面配置管理服务，在g0/0/0接口开启https管理服务，将配置命令通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)；（分）

3.通过PC登录防火墙的web页面，正确配置访问策略，然后访问处置加固服务器网页目录下的flag文件，并将其内容通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)；（分）

4.通过PC登录堡垒机的web页面，添加一个用户lisi，添加处置加固服务器（10.1.0.70）到堡垒机资产中，使得lisi能够通过堡垒机登录服务器；将服务器桌面的flag.txt内容通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)；（分）

5.通过PC登录蜜罐的web页面，部署“用友OA蜜罐”，尝试访问成功；将该蜜罐的端口通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)；（分）

2.安全监测和预警（xxx 分）

2.1.任务一：建立目录安全监控规则

2.1.1.任务描述
各位选手需要对服务器的目录进行监控。当目录内的文件新增、删除时，产生记录日志。

2.1.2.任务内容
1.Fail2ban工具的规则配置文件“/etc/fail2ban/jail.local”中，第26行存在一条FTP登陆监控规则，请确保此规则在FTP在30秒内连续登陆失败5次后，封禁IP的FTP访问10分钟。其余内容不做修改（注意保留规则文件中的空格格式，同时不要产生空行）。将修改后的规则文件通过 SHA256 运算（提示：可以通过shell命令 sha256sum 运算）后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

2.2.任务二：威胁情报分析

2.2.1.任务描述
各位选手需要对服务器主机的远程登陆日志进行情报分析。判断当前服务器是否已失陷。如服务器失陷，溯源攻击来源信息。

2.2.2.任务内容
1、使用linux相关命令，对服务器的nginx服务日志文件“/var/log/nginx/nginx.log”进行分析，研判主机是否启用了SSL服务（注意：是否开启SSL的标准为nginx是启动了HTTPS服务的默认端口），根据判断结果提交字符串“yes”（确认启用了SSL）或者“no”（未启用SSL）作为Flag值进行提交。（分）

2、找到服务器日志文件“/var/log/nginx/access.log”中，SQL注入攻击次数最多IP地址，将这个IP地址通过 SHA256 运算（提示：可以通过shell命令 sha256sum 运算）后，返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)进行提交。（分）

3、网站管理员，曾经使用过GET方式向网站后台“/admin/login.php”传递过用户名admin和密码，并被记录到了web日志文件中，请分析日志文件“/var/log/nginx/access.log”找到管理员的登陆密码，并将密码通过 SHA256 运算（提示：可以通过shell命令 sha256sum 运算）后，返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)进行提交。（分）

2.3.任务三：网络流量分析

2.3.1.任务描述
各位选手需要分析数据库审计产生的旁路流量包，过滤和统计存在风险的流量信息。

2.3.2.任务内容
1、目录“/opt/tcpdump”下，存在防火墙审计流量包文件“waf_secy.pcap”，使用tcpdump工具分析流量包文件，从数据流量包内容中统计出cc攻击次数最多的Host信息（提示：防火墙对检测到的CC攻击会打上“cc_attack”标识），将Host的值通过 SHA256 运算后，返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

2、web防火墙曾经拦截过DDOS攻击流量，并记录在文件“/opt/tcpdump/waf_secy.pcap”中，使用tcpdump工具分析这个流量包文件，从数据流量包内容中找到SSDP反射类型的攻击包并统计攻击次数最多的来源IP，并将IP通过 SHA256 运算后，返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)，并进行提交。（分）

3、web防火墙曾经拦截过文件上传的恶意操作。并记录在文件“/opt/tcpdump/waf_secy.pcap”中，使用tcpdump工具分析这个流量包文件，从数据流量包内容中找到拦截次数最多的文件上传url路径信息，将这个url路径（形式：http://xxx/xxx）通过 SHA256 运算（提示：可以通过shell命令 sha256sum运算）后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

2.4.任务四：建立网络攻击检测与预警

2.4.1.任务描述
各位选手需要在服务器上建立起针对常见网络攻击的检测和预警。当网络攻击发生时根据预先设计的规则执行包丢弃或者发送相应的告警信息。

2.4.2.任务内容：

1.请确保snort的udp检测规则文件“/etc/snort/rules/udp.rules。执行动作为告警，监听的协议为“udp”（小写），来源IP为“172.16.0.5”，其余不做修改（注意保留规则文件中的空格格式，不要产生空行），将修改后的规则文件通过 SHA256 运算（提示：可以通过shell命令 sha256sum 运算）后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

2.请确保snort的tcp检测规则文件“/etc/snort/rules/tcp.rules，执行动作为丢弃，监听的协议为“tcp”（小写），来源IP“172.16.10.0/24”目的IP为“10.0.0.1/12”，目的端口为“21”，其余不做修改（注意保留规则文件中的空格格式，不要产生空行），将修改后的规则文件通过 SHA256 运算（提示：可以通过shell命令 sha256sum运算）后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

3.某管理员忘记了自己的FTP登陆密码，但是曾经执行的成功登陆操作被snort监听并记录在日志文件“/var/log/snort/snort.log”。请分析这个日志文件，找到管理员遗忘的FTP登陆密码信息（正确密码的格式为key:value），并将正确的密码通过 SHA256 运算（注意，正确密码的格式为key:value，只需要运算value值）后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

3.检测评估（xxx 分）

3.1.任务 一：nmap扫描渗透测试

3.1.1.任务描述：
假定各位选手是信息系统安全工程师，负责信息系统的安全维护，现欲对该系统中主机进行扫描渗透测试，确认该系统中都有哪些 IP 主机在线、开放端口、识别系统服务及版本号等；

3.1.2.任务内容：
1、通过渗透测试PC Kali对检测评估PC进行系统服务及版本扫描渗透测试，并将该操作显示结果中8080端口对应的服务版本信息字符串通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。

2、通过渗透测试PC Kali对检测评估PC进行系统服务及版本扫描渗透测试，并将该操作显示结果中FTP服务对应的服务端口信息通过 SHA256运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

3、通过渗透测试PC Kali对检测评估PC进行密码破解，使用MSF中模块search命令对其暴力破解，并将扫描弱口令模块的名称信息通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

4、通过渗透测试PC Kali对检测评估PC进行密码破解，在MSF模块中指定密码字典，字典路径为/root/2.txt，用户名为Administrator，通过暴力破解获取密码并将得到的密码通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

4.安全防护（xxx 分）

4.1.任务描述：
你是一名网络安全专家，被委托审计一个名为“SecureCorp”的公司的网络系统。SecureCorp 是一家技术公司，提供网络安全解决方案。他们声称他们的系统是安全的，但你的任务是证明他们错了。
在审计期间，你发现了一些可疑的活动。经过进一步调查，你发现了一些潜在的后门漏洞。这些漏洞可能会导致攻击者未经授权访问系统、在系统中添加新用户，以及篡改敏感数据的风险。
你的任务是利用这些漏洞，找到并获取名为“flag”的标志文件，以证明这些漏洞确实存在。
4.2.任务环境说明
名称 IP地址 系统版本 访问方式 用户名 口令
处置加固 10.1.0.70 Windows server 2016 VNC 默认 1qazcde3!@#

4.3.任务内容
1.找到公司网络的IP地址范围，以：192.168.1.1/24的形式通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

2.在phpstudy中寻找着门后的秘密，并对其加固，以获取flag通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

3.对Windows进行渗透测试，以获取flag通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

4.对Windows系统漏洞进行安全加固，并将最新的补丁版本号通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

5.攻击者在apache中留下了一点痕迹，找到其中的flag并通过 SHA256 运算后返回哈希值的十六进制结果作为Flag 值(形式:十六进制字符串)。（分）

5.分析识别（xxx 分）

5.1任务描述：
各位选手需要先在提供的平台上进行分析识别目标服务器整体情况，发现攻击者的蛛丝马迹，以及手段方法。

5.2任务内容：
1、通过PC登录到Windows Server 2008的管理界面，找到并列出所有管理员账户的用户名，然后将这些用户名进行SHA256加密后作为flag提交（若存在多个账户，用半角逗号隔开）。（分）

2、识别Windows Server 2008上所有已安装并正在运行的服务，找到并列出其中与Web服务相关的服务名称，将这些服务名称进行SHA256加密后作为flag提交。（分）

3、在Windows Server 2008上，检查系统事件日志，找出最近一次系统重启的原因，并将该原因的详细信息（如事件ID、描述等）进行SHA256加密后作为flag提交。（分）

4、查找Windows Server 2008上所有的共享文件夹，列出其中对所有人开放的共享文件夹名称，并将这些名称进行SHA256加密后作为flag提交。（分）

5、分析Windows Server 2008的防火墙设置，找出所有允许入站的端口号，并将这些端口号进行SHA256加密后作为flag提交（若存在多个端口，用半角逗号隔开）。（分）

6、在Windows Server 2008上，检查所有已启用的用户账户，找出最近一次密码修改日期最久远的账户，并将该账户的用户名和修改日期进行SHA256加密后作为flag提交。（分）

7、利用Windows Server 2008的任务计划程序，找出所有已设置并即将运行的任务，列出其中执行频率最高的任务的名称和描述，并将这些信息进行SHA256加密后作为flag提交。（分）

8、查找Windows Server 2008上所有已安装的更新和补丁，列出最近一次安装的补丁的编号和描述，并将这些信息进行SHA256加密后作为flag提交。（分）

9、分析Windows Server 2008的系统日志，找出最近一次系统登录失败的事件，并提取该事件中尝试登录的用户名和登录失败的次数，将这些信息进行SHA256加密后作为flag提交。（分）

10、利用Windows Server 2008的资源监视器，找出当前占用CPU或内存资源最多的进程，列出该进程的名称和PID，并将这些信息进行SHA256加密后作为flag提交。（分）

6.事件处置（xxx 分）

6.1任务描述：
在一次深入暗网的行动中，选手被选中追踪一系列复杂的网络犯罪活动。这些活动涉及数据泄露、身份盗窃和恶意软件分发。选手的任务是揭露犯罪分子的行动模式，收集关键证据，并提交关键信息以供进一步的调查。

6.2、任务环境说明：
名称 IP地址 系统版本 访问方式 用户名 口令
处置加固 10.1.0.71 Windows Server 2016 未知信息系统：
http://10.1.0.71 Administrator 1qazcde3!@#
管理员PC 192.168.1.3
192.168.10.26 Windows 7 Vnc终端 Y 1qazcde3!@#

6.3、任务内容：
1.攻击者通过SQL注入漏洞修改了管理员账户的用户名，选手需要恢复原始用户名，并提交其SHA256加密哈希值作为Flag提交。（分）

2.网站的图片库中藏有攻击者上传的恶意图片文件，选手需要识别并提交该图片文件名的SHA256加密哈希值作为Flag提交。（分）

3.攻击者上传了一个Web Shell以控制服务器，选手需要定位并提交Web Shell文件内容的SHA256加密哈希值作为Flag提交。（分）

4.网站遭受DDoS攻击，攻击者留下了挑战信息，选手需要找到并提交该信息的SHA256加密哈希值作为Flag提交。（分）

5.攻击者在网站的日志文件中留下了隐蔽的信息，选手需要找到这条日志信息，并提交其SHA256加密哈希值作为Flag提交。（分）

需要培训可以私信博主！！