2025 全国卫生健康行业网络安全攻防大赛运维赛-测试赛WP

文章作者：先知社区（和）

文章来源：https://zone.huoxian.cn/d/2988-2025-wp

【题目要求】

1、通过修改服务器登录相关的配置文件实现：密码有效期90天、连续输错三次密码，账号锁定五分钟。

2、通过修改mysql相关配置实现：开启数据库查询日志、限制任意地址登录，只允许127.0.0.1登录。

3、从 /root/analyse.pcapng 文件中分析被读取走的flag值，写到 /root/flag.txt 中。

4、对系统中存在的其他安全隐患进行排查和处置（恶意配置后门请直接删除）。

5、还有其他的一些要求，但是没在题干中

【注意事项】

1、不涉及修改密码和修改私钥的动作，如果因为修改密码或私钥导致无法得分，选手自行负责。

2、禁止使用防火墙等相关IP封锁技术对IP进行隔离，如果因为隔离IP导致无法得分，选手自行负责。

【接入信息】

1、SSH服务端口22，账号密码为root/root

2、MYSQL服务账号密码为root/mysql

步骤

登录ssh，发现处于docker容器内，其实这里很多命令是无法使用的。

先修改登录过期事件

vim /etc/login.def

PASS_MAX_DAYS 90

连续输入错误三次，锁定5分钟

vim /etc/pam.d/sshdauth required pam_tally.so deny=3 onerr=fail unlock_time=300 #最夯一行添加配置文件auth required pam_faillock.so preauth audit silent deny=3 unlock_time=300auth required pam_faillock.so authfail audit deny=3 unlock_time=300

或者修改

/etc/pam.d/common-auth

查看发现异常用户hacker

userdel -f hacker

这里需要强制删除，因为不添加参数的话会重新创建该用户。

访问控制在/etc/hosts.allow中发现存在异常的访问控制，删除该文件即可

mysql暴力破解用户名密码root/mysql

mysql -uroot -pmysqlSET GLOBAL general_log = 'ON'; //开启数据库查询日志

或者图形化界面执行修改也可以

限制登录地址为127.0.0.1

修改配置文件

vim /etc/mysql/mysql.conf.d/mysql.cnfbind-address = 127.0.0.1

这个定时任务题目有问题，没有定时任务但是需要删除root的定时任务

rm /var/spool/cron/crontabs/root

其实这里的定时任务文件是没内容的，但是check的机制就是检测文件是否存在

find / -type f -perm -4000 -exec ls -l {} ;

find /：从根目录开始查找（你也可以指定特定的目录，例如 /usr或 /bin）。-type f：只查找文件，不查找目录。-perm -4000：查找设置了 SUID 权限的文件（SUID 权限对应的数字是 4000）。-ls：显示详细信息，包括文件的权限、所有者、大小、修改时间等。

所有具有suid权限的文件都在/bin下，一般whoami权限是没有suid权限的，所以这个文件被动过，所以这里干掉这个文件就可以了。

需要开启SFTP服务，注释掉配置文件

#RSAAuthentication yes 这个配置文件是老版本openssh

另外添加ftp配置文件

Subsystem sftp internal-sftp

检索关键字，追踪tcp流分析找到一串base64编码内容

导出分组字节流解码得到flag

echo "flag{d9d2c4b2-7cf2-472f-a8e8-2aad1e466099}" > /root/flag.txt

目录扫描发现info目录，发现属于xxe的报错，构造xxe语句

system是可执行文件，url路径需要传参，fuzz无果手工测试

回显显示需要参数，简单测试构造发现存在任意文件读取

修复直接就是定位到位置点儿进行修复即可。其实这里最简单的就是直接代码审计，审计即可，因为前期导完数据包的时候环境有问题，修改配置文件无法SFTP连接获取源码，所以就黑盒进行FUZZ了。