官方WP | 第三届卫生健康行业网安技能大赛实景防御实操训练

第三届卫生健康行业网络安全技能大赛将于5月26日在福州正式拉开帷幕，作为支持全国医疗卫生行业国赛时间最长、陪伴医疗卫生行业从业人员成长的单位，赛前我们面向全体决赛选手提供了公开培训并准备了正版独家的题目供选手实操训练，现将赛制说明和两道训练题目官方WP公布如下。

实景防御赛制介绍

每支战队拥有独立实景防御环境，实景防御环境中存在若干容器，每个容器存在不同的漏洞或是服务异常点。选手可登录进入所在队伍的实景环境中，进行漏洞和异常服务的排查，将漏洞文件修补并制作修补包，上传修补包后在对应题目框内点击申请判定按钮，平台会将修补包上传至容器内并执行检测脚本，检测通过即可获得防御分数。选手需要在高度贴近实践的场景环境中，分析场景线索、解决实际问题、强化防御技能。

该模式可培养和选拔更多具备实战防御等综合能力的守护型人才。

xxe修补讲解

通过平台下发该题实景防御环境，通过平台提供的链接和账号密码登陆进入该题环境中。

首先查看服务器中所运行的服务中存在apache，根据经验，网站的代码路径为：/var/www/html。因此该题考核点大概率为：网站漏洞修补或网站功能修复。

ssh进入容器后，可以看到题目为apache的服务，到web的根目录/var/www/html查看代码发现发现存在 xxe.php 文件，说明考点即为XXE漏洞修复。

XXE漏洞概述：

XML 外部实体注入（也称为 XXE）是一种 WEB 安全漏洞，允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件，并与应用程序本身可以访问的任何后端或外部系统进行交互。

可以提供 sz filename 下载文件：

上传文件通过rz 命令选择，将libxml_disable_entity_loader(false);修改为libxml_disable_entity_loader(true);即可防止xxe漏洞：

update.sh编写内容为：

#!/bin/sh
mv xxe.php /app/xxe.php

difjson修补讲解

下发赛题通过平台提供的链接进入环境进行查看，同样首先使用ps -ef 命令   查看所运行的服务：

通过 sz /usr/local/tomcat/webapps/fastjson/fst.jar 下载文件，用反汇编工具打开   发现fastjson漏洞：

在根路由的post添加字符串过滤 @ ，防止fastjson漏洞利用，编译后覆盖IndexFilter：

Spark.post("/", (request, response) -> {
            String data = request.body();
            data = data.replaceAll("@","");
            JSONObject obj = JSON.parseObject(data, new Feature[]{Feature.SupportNonPublicField});
            JSONObject ret = new JSONObject();
            ret.put("success", 200);
            ret.put("data", "this is your " + obj.get("name") + ",you age  " + obj.get("age"));
            response.status(200);
            response.type("application/json");
            return ret.toJSONString();
        });

然后update.sh中内容如下：

#!/bin/sh
mv fst.jar /usr/local/tomcat/webapps/fastjson/fst.jar

平台提交修补包即可获得该题分数。

最后预祝大家在本次全国卫生健康行业网络安全技能大赛中取得优异成绩。

原文始发于微信公众号（春秋伽玛）：官方WP | 第三届卫生健康行业网安技能大赛实景防御实操训练