第七届工业信息安全大赛-复赛-海南站

车联网场景

app(未完成)

https://www.zhihuaspace.cn:8888/static_analyzer/9da3b62bdf9be9f14884de1cccf9c6ec/

娜迦加固。

固件提取1，2

低功耗蓝⽛-5(平台未显示flag)

wifi10

设置，移动热点，直接伪造wifi。后台提示发送Ip的md5。使用SocketTool.exe发送即可

wifi11

开热点,wireshark监听.

提示说flag发到 www.a-domain-name-that-does-not-exist.com。

但是域名名称说了不存在，映射到本地

host修改为 192.168.137.1 www.a-domain-name-that-does-not-exist.com

开启http 80 服务.抓到flag

wifi12

kali直接抓包

airodump-ng wlan0 -w ./shake11

轨道交通

第一层网络

攻击点1:
攻击点2: 63790端口 redis未授权访问, 提权
攻击点3: ThingsBoard , sysadmin@thingsboard.org/sysadmin登录 反弹shell

这3个应该都是可以攻击的。

第二层网络

192.168.2.69

ms17010攻击。获得权限。

有个组态程序-交通灯控制，可以读取信息，抓包修改操作码tcp发包攻击。

火电厂景

第一层网络

actuator/heapdump
得到shirokey, 用 shiro_attack-4.7.0-SNAPSHOT-all.jar 直接 反弹shell控制服务器.得到 flag1

Web修复

Thermal-Security-0.0.1-SNAPSHOT.jar 解压后010 二进制修改 class文件. actuator改掉替换原jar文件即可.

服务器端重启动一下jar文件.

智能智造场景

发现

1.应急响应 B

12月19日，某智能制造企业数据库管理员收到SmartSQL软件更新推送的邮件后，于12月21日下载邮件中的SmartSQL软件，在执行其内置工具【MD5文本加密】后，发现有弹窗，一段时间后，发现计算机中的文件被加密，该员工将问题上报给了安全分析人员的您，请进行排查，该员工设备IP为192.168.20.12，请确认该员工计算机被哪种勒索病毒感染？
(注：资产清单在桌面。场景中使用的SmartSQL软件来自开源社区，非恶意程序。剧情中被设定为某服务提供商进行维护的项目，在最新版本发布前，该公司的编译服务器失陷，黑客将勒索病毒代码嵌入SmartSQL中，该公司对代码进行编译，将携带病毒的软件通过邮件推送给下游客户。)
设置书签
A、 Maze
B、 Lockbit3.0
C、 Wannacry
D、 Satan

2.感染范围

在应急中，您发现不只该员工设备被勒索，请排查公司内网，确认受到感染的其他资产，填写包括上报员工设备在内的所有被感染设备IP，如果有多台设备请用简体字符半角顿号(、)分割
例：192.168.0.1、192.168.0.2
设置书签未完成

3.支付赎金

在排查中，您发现公司其他员工的设备也被勒索软件勒索，这些员工设备中图纸，记录参数的文件等信息均被勒索病毒加密，因这些文件涉密，只能在公司提供的设备操作，没有备份到其它介质中。勒索者要求支付赎金的方式是通过数字货币，如果最终无法通过技术手段恢复数据，那么最终应该通过哪个钱包地址向勒索者支付赎金？（钱包地址请只提交前十位，该题可以重复提交）

排查

4.文件类型 C

作为安全人员，我们不应该向不法分子妥协。根据之前的线索，员工执行SmartSQL后发现异常，因此需要对程序进行分析，尝试能否找到一些线索。在分析前，请确认该程序是由哪种语言编译的？
（注：本题中，您可以通过自己上传逆向工具在受害机进行分析，也可以使用内置了逆向分析工具的【远程VMware逆向机】进行分析，程序在桌面的【SmartSQL压缩包】中。）
设置书签
A、 C/C++
B、 JAVA
C、 C###
D、 GO

5.取证

【多选题】在逆向分析中，您发现SmartSQL在执行过程中有文件释放，请提取释放的程序，并计算提取到程序的MD5，（ SmartSQL样本在【远程VMware逆向机】中桌面的【SmartSQL压缩包】中）。
设置书签
A、 A8F226FE4B63173F9F342A78BE98970A
B、 C0FD653B0FB4A712DF609E9A52767CAE
C、 D481CDA2625D9DD2731A00F482484D86
D、 9B905A490A98CD8EDF2E4B09AC8676AB

6.追责 D

通过分析发现，SmartSQL中释放的程序就是勒索软件，由于使用了某服务提供商提供的软件造成了重大的损失，现在需要对该公司进行追责并找到证据，邮件在【主操作机-A】中的Foxmail中，请分析是哪封邮件的附件含有恶意程序，分析工具可以自行上传。（附件名称为答案）
设置书签
A、 SmartSQL1.1
B、 SmartSQL1.2
C、 SmartSQL1.3
D、 SmartSQL1.4

7.传播方式

通过之前的信息可知，勒索病毒不仅在本机执行，还通过网络传播，请使用各种安全技能，分析勒索病毒在内网是以何种方式进行传播的？
设置书签
请在此处输入答题内容
将文件拖到此处，或 点击上传
反制

8.攻击溯源 A

某智能制造企业与服务提供商进行沟通后，发现攻击者另有其人，二者达成合作，请安全公司对该事件进行调查，您作为安全公司的员工，发现攻击者已经清理了对服务供应商的攻击痕迹，现在，您需要对受害公司的现场进行排查，请根据受害者场景环境信息，对事件进行溯源，找到攻击者的C2服务器。
设置书签
A、 88.80.147.102
B、 88.80.147.103
C、 88.80.147.104
D、 88.80.147.106

9.反制1

确定C2服务器的IP以后，请针对C2服务器进行反制，并收集密钥【keys】相关信息。
注：将获取到的【flag1】文件内容进行提交（flag可以重复提交，格式为flag{}）
设置书签

10.反制2

您发现在目前反制到的C2中，没有重要信息，但目前环境有点奇怪，请继续进行反制，将获取到的【flag2】文件内容进行提交。
注：通过提交【flag2】文件内容证明你获取到有价值的信息，如果反制失败，不影响后续答题。（flag可以重复提交，格式为flag{}）请忽略这段文字下面的【未找到服务配置信息】
设置书签
未找到服务配置信息

还原

11.密钥

反制人员在对攻击者的C2反制后，在攻击者的设备中发现了一些密钥文件及解密文件，前题中用【flag2】来表示这些文件，现在，您的身份是一名安全研究员，需要对文件进行修复，首先，请找到可以恢复文件的密钥，密钥文件保存在【远程VMware逆向机】桌面【第11题附件】的压缩包中，其中只有一个密钥能够解密被感染公司的设备，请根据前面收集到的信息，找到解密受害机所需的解密key。
设置书签
A、 key1
B、 key2 错
C、 key3 错
D、 key4

12.密钥分析

解密私钥文件非标准密钥格式，并在末尾填充了垃圾数据，因此有效长度未知，现已知公钥的N值与私钥的N值相同，私钥的N值与D值的长度也相同，因此私钥长度是2N，因此请分析SmartSQL中释放的勒索程序，找到公钥，根据公钥的N值，计算出【私钥】的有效长度（答案处填写字节数，请直接写数字）

13.数据解密还原

请对【远程VMware逆向机】桌面【第13题附件】中示例提供的解密器，解密其中flag文件。解密要求与帮助信息请下载解密要求附件。
设置书签
解密要求.zip 下载

14.解密算法分析

请分析解密器解密flag的完整流程，并整理为报告，报告采分点为两部分：1.截图解密相关的代码分析片段，并简要描述分析结果。该部分分值占比40%。2.使用高级编程语言还原解密片段代码，使用编程语言种类不限，可以使用伪码。该部分分值占比60%。注：代码分析部分必须存在，如果只有代码还原，不计分，报告只需描述清楚技术即可，书写格式不占分值。
分析报告请以附件的形式提交，附件格式请使用doc文档，附件上传后，【需在答题处填写任意内容后再点击提交裁判才能评分】。
设置书签
请在此处输入答题内容
将文件拖到此处，或 点击上传