第 52 屆全國技能競賽—網路安全

前言

當初不知道哪看到這比賽，想說報名費才 400，知道的人很少又中區幾乎都是高職生報名，而且光是區賽前三名就有獎金可以拿，投報率很高

大概講一下規則，初賽分成北中南三區，各區前五名晉級全國賽，各區前三名有獎金、獎牌，獎金每人分別是 12K、6K、4K，但今年南區只有一隊就併入中區，所以決賽只有十隊 全國賽前三名晉級兩年一次的國手選拔賽，全國前三名也有獎金、獎牌，獎金每人分別是 120K、60K、40K

不過這比賽毛很多就是了
它的報名是以學校推薦的方式，報名要找學校蓋關防，只好找系辦助教解釋並請求幫忙送簽呈用印
比賽現場標示只有競賽場地，休息室沒有標示，就在沒冷氣沒風扇的外面等，後來全國賽問了才知道有
比賽前一天要報到，比賽開始前有奇怪的抽座位環節，不說以為是大風吹
獎金存摺影本要用傳真的，都 2202 年了還傳真，是在哈囉？？
全國賽沒有交通補助又辦在偏僻工業區內的勞動力發展署中彰投分署，我們只好每天燒獎金搭計程車通勤

除了有特別說明外，不然比賽網路環境都是只有內網，只能使用主辦提供的工具和虛擬機解題
因為一定要兩人組隊參賽的關係，就找了個沒啥資安實務經驗的好朋友，想說我一人當兩人打也沒關係，結果還真的混到區賽第三名，但後來的全國賽就打的非常累，除非你能多工處理而且 context-switch 的 overhead 很低，不然還是找個 carry 的隊友比較好，或是當抱大腿的那個

以下心得都是憑印象，可能跟當初情況有出入

Day 0

確認環境

很水的測試題而已

登入頁面是裸 SQL Injection ，進去就拿到第一個 flag
切到修改帳戶資料頁面看到有密碼欄位，開發者工具拿到 base64 的 flag
提交資料時有個隱藏參數 group，修改成 admin 提交可以看到第三個 flag
水到隊友上完廁所回來就沒了

Day 1

數位鑑識

1. 環境

   • 已被加密勒索的 Windows 虛擬機
   • PCAP 檔
   • 一堆工具

2. 題目

   • 開始加密的時間
   • 攻擊手法與路徑
   • 還原被加密的檔案
   • Dropper 名稱
   • Dropper SHA-1
   • 惡意程式 payload 名稱
   • 惡意程式 payload SHA-1

3. 想法

   安碁出的勒索事件調查

   只有一、三題需要用到虛擬機，其他的用 Wireshark 配 CyberChef 解決

   原本想寫 PowerShell 找加密時間點，後來直接猜加密策略是依照檔名順序 DFS，就看 MSOCache 裡面的 desktop.ini 的修改時間，不確定是不是對的

   第三題沒還原檔案，賽後才知道有 VSS 備份，大意了沒有閃

   PCAP 可以看到 POP 信件夾帶 XSLM 檔案，那是 dropper
   後面還能看到 HTTP 下載 MSI 更新檔，那是惡意程式 payload

安全強化

1. 環境

   三台虛擬機，ELK 有 winlogbeat 的 log，下面兩台在原本是在同個 AD 網域裡

   • Ubuntu Desktop, ELK
   • Win Server, Web Server (WebIIS-Boston)
   • Win Server, Domain Controller (KDC)

2. 題目

   • 分析出攻擊手法與路徑
   • 提出修補建議
   • 稽核使用者帳號，找出不適當的設定
   • （剩下忘了）

3. 想法

   奧義出的入侵事件調查

   以前只用過 Grafana，對 ELK 完全不熟，又沒有網路可以找教學，花了半小時才大概知道基本語法怎麼下
   用 process.command_line 跟 powershell.???_script_block(忘了) 可以看到大部分行為，再看 file creation event 搭配時間就能知道檔案關聯

   攻擊路徑是 curl_exec gopher 偽協議 RCE 下載 redis_update.exe
   該檔案是 backdoor，用於下載 PowerView、Rubeus 和疑似提權行為
   接著用 PowerView 偵查 AD 環境，Rubeus 做 AS-REP roasting 爆出 Lark.Laine 帳號的密碼
   該帳號又是 Remote Desktop User 身份組，可以 RDP 到 DC
   再用 Print Nightmare 提權建立新 admin 帳號 0xaedb ，佈署 exec.exe 遠端下載 payload 並執行後續動作

Day 2

CTF I

1. 環境

   一台 Kali 虛擬機，放在 10.0.0.0/8 網段

2. 題目

   一個 WordPress URL

3. 想法

   DEVCORE 出的紅隊 CTF，有五個 flag，但我只拿到一個

   班級活動頁面顯示 IP not allowed，還有很明顯的提示要用 X-forwarded-For 給出白名單 IP，白名單 IP 在某篇文章的網路測速圖片有
   進去跳轉到一個班服尺寸清單，URL 有個 base64 參數叫 query，裡面放 JSON，JSON 的 size 字串欄位可以 SQL injection，開 sqlmap 加上 --base64 query 就撈出其中一個 table 有放 flag

   在 blog 一篇看到 mii 這個人有個放貼圖的網頁在 10.154.154.xx
   nmap 掃一下在 10.154.154.200，有 broken access control 可以繞過 /auth.php 看見 /index.php，發現網站用 /get_image.php?img=http://mii-img.internal/zoo.png 獲取圖片，看起來就是裸 SSRF，也通靈到 /flag.php，但就是沒辦法用 file 偽協議讀到，但別隊有成功，超怪

CTF II

1. 環境

2. 題目

   • Web 1
   • Web 2
   • Reverse 1
   • Reverse 2

3. 想法

   中華出的 jeopardy CTF，這環節拿零分，可以下去洗洗睡了

   Web 沒碰，聽說很吃通靈力
   Reverse 1 是個自訂格式的打包檔叫 kuma，可以新增刪除資料夾與檔案，一開始有給一個含有 flag.txt 的 kuma
   Reverse 2 是連網版踩地雷 早上消耗太多精神，中間睡了一小時，Reverse 1 逆到地址開始 dump 記憶體資料時間就到了

Day 3

Cisco Cyber Range

1. 環境

   比賽中唯一可連外網的環節，有現場即時發動攻擊的情況，也有已經打完的攻擊給你 PCAP

   • Cisco Cyber Range
     • Analyzer, Splunk
     • SIEM, StealthWatch Management Console(SMC)
     • IPS, Firepower

2. 題目

   一堆資安事件，叫你回答事件詳情

3. 想法

   搭配 PCAP 瘋狂翻 SMC 跟 Firepower，即時發動攻擊要側錄封包會告知選手讓我很問號就是了

   Cyber Range 這套系統在賽前有舉辦選手教育訓練，但不知道為啥逢甲兩隊四人都沒有收到訓練通知，雖然還是解出大部分的題目就是了

題目解說

邀請 Day 1 和 Day 2 出題單位快速講解一下出題的想法跟預期解題步驟 每個單位只有 10 分鐘有夠趕，很多細節只好跳過

Day 4

頒獎典禮

入場要換上提供的口罩，貼上職類的貼紙，還有莫名其妙的充氣式加油棒，不說還以為是演唱會
第一次看到所有參賽者都做定位了，台上才在預演走位，這種事情應該是現場工作人員要引導的，怎麼會是讓所有參賽者學呢？
原本以為就是頒獎而已，結果中間還穿插幾場表演，表演就算了音響還開超大聲，音量大到想吐的那種，明年應該不會再參加頒獎典禮了

後記

Day 3 下午題解結束看到 Shaolin 在外面等 Mico，突然就變成現場 AMA (??)，才知道今年出題是有經驗的國手與單位一起參與，才會有那麼好玩的題目
雖然過程中一直嘴比賽，但這次比賽體驗還蠻不錯的，尤其是藍隊的題目平常很少玩到，能有這樣的機會真的要感謝各方的努力，從主辦、出題到 infra 都很努力讓這場比賽能完美落幕