2024年工业信息安全技能大赛 - “鹏城赛宁”工业场景防御锦标赛

赛制说明

1.当参赛团队完成检查点任务后，可通过点击平台的检测按钮申请检查点检测(该检测功能为对所有未通过的检查点进行全量检测)，检测完成后，选手将获取通过检测的检查点的对应分值，下一次申请检测时将不再对通过的检查点进行检测。
2.综合防御赛中，每支参赛队伍提供3次重置靶标的机会，超过3次后，如果因参赛队伍自身原因导致靶标崩溃，由参赛队伍自行负责。靶标重置后，原先已检测通过的检查点无需重复修复。
3.综合防御赛申请检测的次数设置为40次，申请次数耗尽后，即使完成检查点任务也将无法获取对应分值。请各战队谨慎使用检测次数。

思路

上线先找502

锅炉汽包水位控制系统网络安全应急响应

1、运维任务-修复控制系统中的网络通讯功能： 为了避免黑客再一次入侵工控系统，重新为所有工控网络资源分配了网段和IP地址，锅炉汽包水位控制系统场景中各节点当前的IP地址为重新分配后的地址（不允许更改），请恢复SCADA系统通讯，使操作员界面可正确显示动态参数。
2、运维任务-PLC异常排查： 虽然操作员通信恢复正常界面可正确显示动态参数，但现场运维人员却发现PLC总是会莫名其妙的停止工作，需要你协助找到罪魁祸首并将威胁清除。
3、运维任务-水位控制故障排查修复： 现场运维人员发现水位无法自动调节到设定值，甚至偏差越来越大，直到达到量程上限或下限，怀疑是黑客对工程文件做了恶意修改，需要你找到问题原因并解决问题使PLC恢复正常。
4、运维任务-主机安全加固： 现场运维人员为了防止黑客的再次入侵工控内网，请及时对工控网络内关键主机工程师站进行安全加固。

说明： 为了保证比赛能够正常运行，注意事项如下：
1、请勿做限制远程登录此计算机的相关配置；
2、请勿做限制远程访问注册表、文件夹及文件的相关配置；
3、请勿限制3389端口通信；
4、请勿修改授权配置中的：从远端系统强制关机、关闭系统、取得文件或其它对象的所有权的用户组信息。

PLC控制器：http://<plc地址>:8080/login
SCADA服务器：http://(SCADA服务器IP):8080/ScadaBR/

fscan

172.31.129.30:22 open
172.31.129.103:445 open
172.31.129.37:445 open
172.31.129.24:445 open
172.31.129.103:139 open
172.31.129.37:139 open
172.31.129.24:139 open
172.31.129.103:135 open
172.31.129.37:135 open
172.31.129.161:22 open
172.31.129.24:135 open
172.31.129.30:8080 open
172.31.129.24:8080 open
172.31.129.37:7680 open
[*] alive ports len is: 14
start vulscan
[*] NetInfo
[*]172.31.129.103[->]ab6318cd-059a-4[->]172.31.129.103
[*] NetInfo
[*]172.31.129.37[->]9f39a565-c46a-4[->]172.31.129.37
[*] NetInfo
[*]172.31.129.24[->]scene[->]172.31.129.24
[+] MS17-010 172.31.129.24      (Windows 7 Professional 7601 Service Pack 1)
[+] MS17-010 172.31.129.103     (Windows 7 Professional 7601 Service Pack 1)
[*] WebTitle http://172.31.129.30:8080 code:200 len:11136  title:Apache Tomcat/9.0.52
[*] NetBios 172.31.129.24   WORKGROUP\scene                     Windows 7 Professional 7601 Service Pack 1
[*] WebTitle http://172.31.129.24:8080 code:302 len:219    title:Redirecting... 跳转url: http://172.31.129.24:8080/login
[*] WebTitle http://172.31.129.24:8080/login code:200 len:4550   title:None

操作站

探针位置找到 config.json 有4套密码

Administrator 1Keicxs14#Od3Ht
Administrator KoH^QeNdmnEo4
Administrator cVBJuyh6k6G3m!5   => 24 即openplc密码
Administrator y7KYcN@psESSi9o

wp

1 将地址修改为 openplc地址
2 未解决: PLC异常停止排查
3. 未解决: Level PV值一直在减少。有问题。
4 删除多余用户-$admin
5 高危端口-135，445
6 禁用Guest
7 密码复杂度
8 登录尝试
10 SYN攻击保护
13 关闭默认共享
14 不登陆关闭系统-Disabled