1. 安全防护（xxx 分）

1.1. 任务描述：

你是一名网络安全专家，被委托审计一个名为“SecureCorp”的公司的网络系统。SecureCorp 是一家技术公司，提供网络安全解决方案。他们声称他们的系统是安全的，但你的任务是证明他们错了。在审计期间，你发现了一些可疑的活动。经过进一步调查，你发现了一些潜在的后门漏洞。这些漏洞可能会导致攻击者未经授权访问系统、在系统中添加新用户，以及篡改敏感数据的风险。你的任务是利用这些漏洞，找到并获取名为“flag”的标志文件，以证明这些漏洞确实存在。

1.3任务内容

1.发现 cms 网站中间件隐藏了版本号，找到并将正确的版本号全称通过SHA256 运算提交。

2、找到 phpstudy 后门，并利用 phpstudy 后门上线，以获取 flag 并通过 SHA256 运算提交。

3.针对 Linux 的 smb 服务进行安全测试，以获取 flag 并通过 SHA256 运算提交。

4.针对 Linux 的 smb 服务进行安全加固，以获取 flag 并通过 SHA256 运算提交。

5.攻击者在 nginx 中留下了一点痕迹，以获取 flag 并通过 SHA256 运算提交。

2. 检测评估（xxx 分）

2.1. 任务描述：

假定各位选手是信息系统安全工程师，负责信息系统的安全维护，现欲对服务器安全基线进行审计，确认该系统中是否存在影子账号、是否允许管理员账号锁定、密码长度最小值、密码最长使用期限以及工具使用等；

2.3. 任务内容：

1.在处置加固 PC 上进行基线检查，检查系统是否存在影子账号，将影子账号名称作为 Flag 提交。(注：Flag 结果进行编码提交）

2.在检测评估 PC 上进行账户锁定策略检查，将允许管理员账号锁定、密码长度最小值、密码最长使用期限安全设置情况结果，作为 Flag 提交。（注：Flag 结果使用 1 个空格隔开后进行编码提交）

3.在检测评估 PC 上进行安全审核策略检查，将审核策略更改、审核登录事件、审核对象访问、审核进程追踪安全设置情况结果，作为 Flag 提交。（注：Flag 结果使用 1 个空格隔开后进行编码提交）

4.通过管理员 PC 访问检测评估 PC 服务器 Web，执行桌面 EXP 文件，

5使用蚁剑工具进行连接，通过蚁剑工具查看测试评估PC目录下readme.txt文件（路径：C:\MYOA），获取通达 OA 登录账号密码，将密码作为 Flag提交。(注：Flag 结果进行编码提交）

3. 安全监测和预警（xxx 分）

3.1. 任务一：建立目录安全监控规则

3.1.1. 任务描述
各位选手需要对服务器的 web 目录进行监控。目录内的文件新增、删除、修改都需要特定的认证才能操作，否则进行告警和恢复。

3.1.3. 任务内容

1. 自 建 inotify+rsync 文 件 防 篡 改 平 台 中 ， inotify 监 控 脚 本“ /usr/local/inotify/inotify.sh ” 第 10 行 ， 存 在 一 条 对 目 录“/var/www/html”的审计规则。请确保审计规则日期格式为年-月- 日:时:分:秒。确保审计规则在文件读写时产生记录，确保审计规则在文件产生记录时，读取时间（TIME）和事件（EVENT）信息。其余内容不做修改（注意保留规则文件中的空格格式，同时不要产生空行）。将修改后的规则文件通过 SHA256 运算（提示：可以通过 shell 命令sha256sum 运算）后返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)。

3.2. 任务二：威胁情报分析

3.2.1. 任务描述
各位选手需要对 SIEM 监控大盘页面进行情报分析，判断服务器是否有需要解决的安全风险。

3.2.3. 任务内容

1.在 wazuh 的安全事件管理页面，分析事件信息，研判当前是否存在已经失陷的主机（注意：是否失陷的判断标准为是否有不受信任的 IP 成功登陆到服务器主机上，IP 是否收信任标准为 IP 是否曾为恶意风险事件的来源 IP），根据判断结果提交字符串“yes”（存在失陷主机）或者“no”（不存在失陷主机）作为 Flag 值进行提交。

2.在 wazuh 的安全基线检测和漏洞检测页面，找到通过等保三级基线项最多，同时漏洞数量最少的主机 IP，并将这个 IP 通过 SHA256 运算（提示：可以通过 shell 命令 sha256sum 运算）后，返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)，进行提交。

3.wazuh 曾经捕获过一个文件勒索加密的完整入侵事件链，请通过平台的日志记录等页面，描绘出一条入侵链信息（入侵链数据格式为：失陷主：IP;入侵时间:年-月-日-时-分;恶意进程:进程名全称;入侵记录 ID:wauzh安全事件 ID），并将入侵链信息通过 SHA256 运算（提示：可以通过shell命令 sha256sum 运算）后，返回哈希值的十六进制结果作为Flag值(形式:十六进制字符串)，进行提交。

3.3. 任务三：网络流量分析

3.3.1. 任务描述
各位选手需要监听并分析 FTP 服务产生的流量包，统计存在风险的流量信息。

3.3.3. 任务内容

1.目标服务上，部署了 FTP 的服务端并正在提供服务，请抓取 FTP 服务通讯的数据流量包，从数据流量包内容中抓取用户名为“user9462”的ftp 登陆密码信息，将密码信息通过 SHA256 运算后，返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)。

2.FTP 的客户端中，其中一个用户在周期性的向服务端发送查看服务器用户配置文件（/etc/passwd）的高危命令，请通过抓包找到这个用户的用户名信息，并通过 SHA256 运算后，返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)，并进行提交。

3.某个来源 IP 一直在尝试破解 FTP 管理员账号 admin 的密码进行登陆，请通过抓包找到这个来源 IP，将这个 IP 通过 SHA256 运算（提示：可以通过 shell 命令 sha256sum 运算）后返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)。

3.4. 任务四：建立网络攻击检测与预警

3.4.1. 任务描述
各位选手需要在服务器上建立 nginx lua 防火墙规则，针对常见网络攻击的检测和预警。当网络攻击发生时根据预先设计的规则执行包丢弃或者发送相应的告警信息。

3.4.3. 任务内容

1.关于 nginx 的 lua 规则配置文件“/etc/nginx/conf.d/sql.config”中，第 35 行，关于 SQL 注入防护规则。确保能过滤掉 drop 删库命令、确保针对表 user 能过滤掉表更改、表字段删除操作。其余不做修改。将修改后的规则配置文件通过 SHA256 运算（提示：可以通过 shell 命令 sha256sum 运算）后返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)。

2.关于nginx的XSS防护规则配置文件“/etc/nginx/conf.d/xss.config”。请确保源 IP“127.0.0.1”不做限制。确保过滤“alert(”、“

3.某个向 nginx 发送的 GET 请求，由于参数包含“flag”关键字，而被nginx 的 lua 防火墙阻断，并记录到日志“/var/log/nginx/access.log”中。请分析这个日志文件，被拦截的 GET 请求，将参数 flag 的值通过SHA256 运算（注意，正确密码的格式为 key:value，只需要运算 value值）后返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)

4. 基础设置和安全强化（xxx 分）

4.1. 任务描述

各位选手需要先在防火墙的 CLI 界面配置管理接口，然后通过管理员 PC登录 web 端完善防火墙策略，并将处置加固服务器接入堡垒机和蜜罐。

4.3. 任务内容

1.通过 PC 登录防火墙的 web 页面，合理配置路由使得网络通畅，访问处置加固的 80 端口，将网站目录下 flag.txt 的内容通过 SHA256 运算后返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)；（分）

2.通过 PC 登录 WAF 的 web 页面，将处置加固的网站使用反向代理模式接入 waf 的站点管理，并使用 nikto 对该网站进行基础扫描触发防护，查看网页安全日志中的记录，将命中规则 ID 通过 SHA256 运算后返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)；（分）3.

3.通过 PC 登录堡垒机的 web 页面，添加一个用户 wangwu，添加安全检测服务器（10.1.0.201）到堡垒机资产中，使得 wangwu 能够通过堡垒机登录网站服务器；服务器中有个内容为的 flag123 的 txt 文件，将该文件名通过 SHA256 运算后返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)；（分）

4.通过 PC 登录堡垒机的 web 页面，将处置加固服务器上的 mysql 数据库接入堡垒机资产管理，并找到数据库的 flag 表内容，通过 SHA256 运算后返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)；（分）

5.通过 PC 登录蜜罐的 web 页面，部署 Nginx 蜜罐，并尝试访问，将其响应页面的响应头字节大小通过 SHA256 运算后返回哈希值的十六进制结果作为 Flag 值(形式:十六进制字符串)；（分）

5. 事件处置（xxx 分）

5.1. 任务描述：

选手被派遣到一个高度设防的数字要塞，任务是抵御一波接一波的网络攻击。在这场攻防战中，每一个安全漏洞都可能是城池沦陷的导火索。

5.3. 任务内容：

1.网站的会话管理存在漏洞，攻击者可以劫持会话，选手需要找到会话劫持的证据，并提交其 SHA256 加密哈希值作为 Flag。

2.攻击者通过点击劫持攻击诱导用户执行恶意操作，选手需要找到点击劫持的页面，并提交其 URL 的 SHA256 加密哈希值作为 Flag。

3.网站的邮件系统被攻击者用来发送垃圾邮件，选手需要找到被滥用的邮件内容，并提交其内容的 SHA256 加密哈希值作为 Flag。

4.攻击者通过本地文件包含漏洞读取了服务器上的敏感文件，选手需要找到这个敏感文件，并提交其文件名的 SHA256 加密哈希值作为 Flag。

5.网站的访问控制存在缺陷，攻击者可以访问未授权的页面，选手需要找到这个未授权页面的 URL，并提交其 SHA256 加密哈希值作为 Flag。

6. 分析识别（xxx 分）

6.1. 任务描述：

各位选手需要先在提供的平台上进行分析识别目标服务器整体情况，发现攻击者的蛛丝马迹，以及手段方法。

6.3. 任务内容：

1.通过远程桌面登录到 Windows Server 2019，查找并分析系统日志，识别出最近一次发生的可疑登录尝试（如异常 IP 地址、连续失败尝试等），并将该登录尝试的详细信息（包括时间戳、IP 地址、用户名等）进行 SHA256加密后作为 flag 提交。

2.在 Windows Server 2019 上，使用 PowerShell 脚本对系统中所有用户账户的密码策略进行检查，找出不符合强密码策略（如长度不足、不包含特殊字符等）的账户，并将这些账户的用户名和不符合策略的原因进行SHA256 加密后作为 flag 提交。

3.分析 Windows Server 2019 的防火墙和网络策略设置，识别出是否存在允许未授权访问的潜在风险（如开放的高危端口、不安全的网络协议等），并将这些风险的具体信息和解决方案进行 SHA256 加密后作为 flag 提交。

4.在 Windows Server 2019 上，利用系统监控工具对服务器性能进行实时监控，找出性能瓶颈或异常行为（如 CPU 占用率过高、内存泄漏等），并将这些异常行为的详细信息（包括时间戳、相关进程等）进行 SHA256 加密后作为 flag 提交。

5.查找 Windows Server 2019 上所有已安装的应用程序和服务，并分析它们的安全配置（如权限设置、更新状态等），找出存在安全隐患的应用程序或服务，并将这些应用程序或服务的名称和存在的安全问题进行SHA256 加密后作为 flag 提交。

6.利用 Windows Server 2019 的容器功能，检查正在运行的容器及其安全性设置（如容器隔离性、网络访问控制等），找出可能存在的安全风险，并将这些风险的具体信息和修复建议进行 SHA256 加密后作为 flag 提交。

7.在 Windows Server 2019 上，分析磁盘的加密设置（如 BitLocker 使用情况），找出未加密的敏感数据（如数据库文件、配置文件等），并将这些数据的位置和未加密的原因进行 SHA256 加密后作为 flag 提交。

8.利用 Windows Server 2019 的内置安全工具（如 Windows DefenderATP），对服务器进行安全扫描和威胁检测，找出存在的恶意软件、病毒或其他安全威胁，并将这些威胁的详细信息（包括名称、路径、感染时间等）进行 SHA256 加密后作为 flag 提交。

9.分析 Windows Server 2019 的用户账户权限设置，找出具有过高权限的账户（如域管理员账户、服务账户等），并将这些账户的用户名、权限级别和潜在风险进行 SHA256 加密后作为 flag 提交。

10.在 Windows Server 2019 上，利用日志分析工具对系统日志、安全日志等进行深入分析，找出潜在的攻击迹象或内部滥用行为（如未经授权的访问、敏感数据泄露等），并将这些迹象或行为的详细信息（包括时间戳、相关用户、操作内容等）进行 SHA256 加密后作为 flag 提交。

需要环境培训的可以私信博主！！！