2024中国能源网络安全大赛-②决赛 - 团队赛

输配电场景

操作员站异常访问

题目内容: 操作员站已经沦陷,频繁存在非工作人员IP地址访问3389端口,请检查风险项并进行清理,并设置用户帐户被锁定的登录尝试失败的次数为30

Done | 操作员站恶意代码

题目内容:安全人员发现当前主机怀疑存在无文件/落地了ps1文件,尝试寻找并分析存在异常内容,解密数据,提取到包含IP明文信息的数据(文件末尾20字节),将该数据的16进制数据作为flag进行提交。例如:提取到数据为b’\xff\xff21.245.253.72\x00\x00\x01\x86\xa0’ 16进制为 FFFF32312E3234352E3235332E373200000186A0,则flag为 flag{FFFF32312E3234352E3235332E373200000186A0}

解题过程:

找到 package.ps1, 解码末尾有关键信息

Done | 能源管理后门查杀

题目内容:能源管理系统Web应用框架被攻击者留下了后门,请定位分析后清理相关后门程序。

解题过程: 在 web.config 中删除 SysteManagenentAutomcat.dll 相关配置, 删除SysteManagenentAutomcat.dll文件. 重启IIS

Done | 能源管理漏洞分析

题目内容:能源管理系统存在owasp-top10安全漏洞,请分析相关攻击行为,针对漏洞进行防护及网站连接数据库账户降权。具体加固方式在满足竞赛规则条件下不做额外限制。

软件中数据库使用sa用户,新建用户,使用新用户启动软件即可,另一张图没截取

img

新能源发电场景

恶意蠕虫病毒清理

题目内容:操作系统感染了恶意蠕虫病毒并释放了挖矿程序,请针对[文件、服务、挖矿进程]分别进行清理,恢复系统正常运行状态

解题过程:

C:\Windows\System32\SecureBootThemes\spoolsv.exe

未成功清除

设备管理临时修复

题目内容:结合日志和监测攻击行为,针对WEB应用存在的漏洞进行防护加固,具体加固方式在满足竞赛规则条件下不做额外限制

Done | 设备管理Webshell

题目内容:设备管理系统WEB应用存在后门代码,请分析定位后并完成清理工作

解题过程:

删除 C:\Program Files (x86)\iView\Apache Software Foundation\Tomcat6.0\webapps\examples\jsp\cal

NSA黑客武器攻击

题目内容: 操作系统遭受了黑客利用NSA黑客武器库泄漏的工具发起的网络攻击事件,为了临时缓解风险,请采用如下方式处置 1.关闭存在漏洞的服务端口 2.清理开机持久化后门

施耐德电气协议防护

题目内容:UMAS协议是施耐德电气(SE)的专有协议,用于配置和监控施耐德电气PLC,通过UMAS协议可以执行一些高权限的操作,例如对PLC启动/停止操作。该协议存在一些高危风险,攻击者可以利用攻击脚本完成PLC未授权启动/停止操作,对工厂生产控制系统带来严重的危害,请针对这一情况请利用你所掌握的知识对PLC未授权启动/停止操作的行为进行防御。注意:如需操作PLC环境请点击右上角拓扑场景

Done | 逻辑控制安全防护

题目内容:演练活动即将开启,为了防止某时间段工业设备点位被恶意算改,请通过赛题提供的工控防火墙针对写线圈进行加固。请注意:防火墙仅限该题使用,且不能干扰上下位正常通讯(仅允许读操作)。在检测期间,请保证104#断路器处于合闸状态。

工控防火墙: https://[见当前场景拓扑中外部地址]:10443
账户: superadmin
密码: M2B*h%-3ls

题目答案:防火墙模式改为防护模式,入侵检测服务开启,防火墙双击热备开启, 三层访问控制策略开启。 解题过程:根据战队网络拓扑图,题目提供的用户名密码登录防护墙,在防火墙模 式改为防护模式,入侵检测服务开启,防火墙双击热备开启,三层访问控制策略开启。

img

img

img

智能制造场景

Done | Scada组态软件加固

题目内容:黑客拿下工程师站管理员权限,未设置权限控制的Scada的组态软件可在工艺监控画面上随意操作。请对Scada系统(非操作系统)进行加固。加固完成后应当保持scada系统运行正常,请完成如下全部配置后举手示意,此题由裁判人工判分。

1.对Scada系统的工程文件进行加密

2.创建用户,设置强登录口令,分配具备的安全区权限。

3.画面的按钮、输入框等需要操作的行为划分安全区(即限制某个用户可以操作)。

解题过程: https://www.cnblogs.com/zhao-xin/p/13131154.html

Done | 持久化威胁分析

题目内容:管理员发现操作系统每间隔10分钟就会执行一次创建账户,请清理计划任务文件、后门程序文件、及注册表

解题过程:

1.计划任务中删除 taskhost
2.C:\users\administrator\Appdata\Roaming\Miscrosoft\Windows\Themes 删除对应文件
3.注册表搜索并删除 taskhost

工业生产数据窃密

题目内容:仿真器PLC经常存在非组态软件访问的情况,请检查读点位所用hex报文和对应具体组态工程画面位置文字作为flag提交,如读取报文为0300001f02f08032010000031a000e00000401120a10020002000083005dc0,响应报文为0300001b02f08032030000031a0002000600000401ff0400100000,工程中位置为皮带传送,则flag为flag{皮带传送-0300001f02f08032010000031a000e00000401120a10020002000083005dc0}

系统关键信息隐藏

题目内容:管理员怀疑操作系统中存在后门对网络信息及进程进行了隐藏,请定位具体隐藏进程名称,如隐藏进程名称为MySQL,则flag提交格式为: flag{MySQL}

解题过程: pstree试试.

智造应用框架漏洞

题目内容:综管平台WEB应用存在框架漏洞,结合攻击行为,保证业务正常运行情况下进行加固,并完成内存马的清理工作

posted @ 2024-06-20 22:07  wgf4242  阅读(71)  评论(0编辑  收藏  举报