2025 一带一路暨金砖国家技能发展与技术创新大赛 【网络安全防护治理实战技能赛项】样题

需要培训可以私信博主，有去年真题（付费即可）

比赛结构/；

模块一：网络安全设备（500 分）

【任务描述】你是一名网络安全专家，被委托名为”SecureCorp”的公司进行网络安全设备调试，请登录到网络安全设备上，按照要求提交网络安全设备中配置的参数和命令。

【任务环境说明】

【任务内容】

1.防火墙 NAT 地址转换配置

作为网络安全管理员，你需要在操作机上通过 IE 浏览器访问防火墙 WEB 管理界面（https://ip:8443）或使用 SSH 登录 CLI，进入防火墙的 NAT 地址转换管理模块。请在该模块中找到隐藏的 flag 信息，并将该 flag 值提交。

2.防火墙 SSH 审计配置

在防火墙中，除默认的 admin 账户外，还额外配置了一个具备 SSH 远程访问权限的审计用户。请查找该备用用户，并将该用户名转为全小写后，用 MD5 算法加密，最后将加密后所得的小写密文作为 flag 提交，提交格式为 flag{MD5 小写}。例如：若用户名为 wangwu，则提交格式应为flag{9f001e4166cf26bfbdd3b4f67d9ef617}。

3.防火墙抗 SYN FLOOD 防护配置

防火墙中启用了抗 SYN FLOOD 攻击防护功能，该功能用于抵御基于 SYN 泛洪的
拒绝服务攻击。请定位该功能模块，并将其设定的 SYN FLOOD 阈值进行 MD5 加密，
转换成全小写的密文后作为 flag 信息提交，提交格式为 flag{MD5 小写}。例如：若阈值
为 50，则提交格式应为 flag{c0c7c76d30bd3dcaefc96f40275bdc0a}。

4.防火墙 Syslog 日志服务器配置

防火墙设置了 Syslog 日志转发功能，将系统日志上传至指定的日志服务器。请查找该配置中目标 Syslog 服务器的 IP 地址，并将该 IP 地址进行 MD5 加密后转换为全小写密文，作为 flag 信息提交，提交格式为 flag{MD5 小写}。例如：若 IP 地址为 101.32.215.1，则提交格式应为 flag{e31ee6b9986884a5a1ecdcd41dc915b4}。

5.防火墙 VPN 隧道配置

防火墙中配置了 VPN 隧道用于安全远程访问管理网络。作为安全管理员，请进入防火墙的 VPN 管理模块，在配置页面内查找用于 VPN 连接验证的证书指纹或隐藏信息flag，并将该 flag 直接提交。提交格式为 flag{flag 信息}。

模块二：资产梳理（500 分）

【任务描述】
假定各位选手是某企业内信息系统安全管理员，现需要你对企业内部的主机节点进行梳理，统计内网中存活的主机以及主机开放的端口等信息。

【任务环境说明】

【任务内容】
1.关键资产网络设备识别
企业资产清单中记录着所有网络设备的详细信息，除了核心设备外，还存在一台备份网络交换机。请查找该备份设备的设备名称，将其转换为全小写字符串后，使用 MD5算法加密，并将所得小写密文作为 flag 信息提交，提交格式为 flag{MD5 小写}。例如：设 备 名 称 为 BackupSwitch 时 ， 提 交 格 式 示 例 为flag{4b47fbd5f5c8ea01d3f29e1c9c2433ba}。

2.域名资产信息审核
企业还建立了域名资产管理系统，用于记录所有对外服务的域名信息。其中，一个域名的解析记录中嵌入了 flag 数据。请通过资产系统查找该域名信息，并原样提取 flag（格式为 flag{xxxx}），直接提交，无需加密转换。

3.资产更新时间日志校验
在企业资产管理系统的操作日志中，记录了最新的资产信息更新操作。请查找最新一次更新操作的时间戳数值，将其转换为字符串后，通过 MD5 算法加密（密文须为全小写），作为 flag 信息提交，提交格式为 flag{MD5 小写}。例如：若最新更新时间为1627891234，则提交格式示例为 flag{e99a18c428cb38d5f260853678922e03}。

4.资产访问频率统计分析

在企业资产管理系统的日志模块中，记录了各资产的访问频次。请统计出访问次数
最高的资产的 IP 地址，将该 IP 地址（字符串形式）转换为全小写后，使用 MD5 算法
加密，得到密文后作为 flag 信息提交，提交格式为 flag{MD5 小写}。例如：若 IP 地址
为 192.168.10.15，则提交格式示例为 flag{5c768a9c2e3c9d2d987e84329e4b5db0}。

5.资产配置变更审批记录

作为企业安全运维工程师，你需要在资产管理平台的 WEB（https://ip:8443）或 SSHCLI 进入配置变更审批模块。请在该模块中查找最新一次“配置变更”操作的审批记录，提取其中隐藏的审批编号，将其转换为字符串后使用 MD5 算法加密（密文须为全小写），并作为 flag 信息提交，提交格式为 flag{MD5 小写}。例如：若审批编号为 Change202105，则提交格式示例为flag{4d15b6e263a6b8d43bf9259a2d69d5e1}。

模块三：安全流量分析（500 分）

【任务描述】在 windows 服 务 器 中 ， 我 们 捕 获 了 用 于 审 计 mysql 操 作 的 数 据 流 量 包mysql_analyze.cap 并存放在了桌面的”数据库审计流量数据包”文件夹中，请分析此mysql 数据库的审计流量包，根据任务要求，提交流量包分析信息。

【任务环境说明】

【任务内容】

1.MySQL 连接尝试复杂统计

在 MySQL 通信协议中，每当客户端与服务端建立连接时，服务端会发送 ServerGreeting 数据包。请分析流量文件 mysql_analyze.cap，统计所有客户端与 MySQL 服务端建立连接的尝试次数，但只统计那些在一分钟内完成的连接操作。将最终统计得到的次数转换为字符串，使用 MD5 算法加密（密文须为全小写），作为 flag 提交，提交格式 为 flag{MD5 小 写 } 。 例 如 ： 若 统 计 结 果 为 10 ， 则 提 交 格 式 示 例 为flag{d3d9446802a44259755d38e6d163e820}。

2.登录时指定数据库名称的异常提取

在 MySQL 登录过程中，部分连接使用-D 参数指定登录数据库。请分析流量文mysql_analyze.cap，找出使用-D 参数时出现频率最低且数据库名称中含有数字的记录。将该数据库名称转换为字符串后，使用 MD5 算法加密（生成全小写密文），并以 flag形式提交，提交格式为 flag{MD5 小写}。例如：若该数据库名称为 db123，则提交格式示例为 flag{e99a18c428cb38d5f260853678922e03}。

3.高级 SQL 查询中表名混淆统计

MySQL 查询操作中，表名有时会经过混淆转义（例如反引号包裹或大小写混合）。请分析数据包 mysql_analyze.cap 中 SQL 查询命令，找出经过混淆后实际访问次数最多的原始表名。将还原的表名转换为字符串后，使用 MD5 算法加密为全小写密文，并提交作为 flag，提交格式为 flag{MD5 小写}。例如：若还原后的表名为 tablename，则提交格式示例为flag{4584e82fa7678b3bcad0f8b0f9a2aa22}。

4.分片传输图片文件还原与完整性校验

在“数据库审计流量数据包”文件夹中，除了 mysql_analyze.cap 外，还有一个辅助取证流量文件 ComPu.cap。该文件中记录了一次经过分片传输并重组的图片文件。请利用该流量包还原出完整的传输图片文件，对文件内容进行完整性校验，计算图片文件的MD5 值（须为全小写），将结果作为 flag 提交，提交格式为 flag{MD5 小写}。提示：注意分片顺序和可能的传输重叠问题。

模块四：安全加固（750 分）

【任务描述】为达到安全标准要求，各位选手需要对一台 windows 服务和一台 Linux 进行部分安全配置加固，加固内容为账号配置、网络策略、远程服务方向，请按照任务内容中的要求进行部署配置。

【任务环境说明】

【任务内容】
1.win 安全基线加固
在 win 安全加固服务上，打开”控制面板”中的”管理工具”页面，完成以下 4 项操作：
A.配置”本地安全策略”中“本地策略”>”用户权限分配”内容下”从远程系统强制关机”策略只允许 Administrtors 组进行操作
B.配置”本地安全策略”中”帐户策略”->”密码策略”内容下”密码必须符合复杂性要求”策略为开启状态
C.配置”本地安全策略”中”帐户策略”->”密码策略”内容下”密码长度最小值”为 8 个字符
D.配置”计算机管理”中”系统工具”->”本地用户和组”->”用户”内容下，选择 Guest 用户右键选择属性，勾选”帐户已禁用”
E.配置完成后，点击主机桌面的”安全基线加固检查”脚本将会弹出一个 windows窗口。如基线策略都修复完成，窗口会输出一个 flag 信息，将窗口输出的 flag 信息进行提交。

2.关闭不必要的端口
win 安全加固服务器目前不需要用户进行远程登陆操作，请关闭服务器的 3389 端口服务。远程登陆服务端口关闭后，点击主机桌面的”远程登陆检查”脚本将会弹出一个windows 窗口。如 3389 端口关闭，窗口会输出一个 flag 信息，将 flag 提交，如窗口输出其他信息，则说明远程登陆服务端口并未关闭

3.文件配置
win 安全加固服务为避免未检测到隐藏恶意文件的情况，请在文件夹选项中，设置隐藏文件可见。设置完成后，可以在桌面查看到隐藏的文件”desktop_flag.txt”，直接提交此隐藏文件中的内容

4.Linux 安全基线加固

在 win 选手主机上，使用 xshell 登陆 linux 安全加固服务器后，先执行命令”sudo su- root”(输入 linxu 安全加固服务 admin 用户密码)切换到 root 用户，然后完成以下 6 项的安全加固操作，任意一项没有完成则不得分：
A.确保没有空口令账号
B.确保密码最长过期天数为 90 天，最小过期天数为 80 天，最小长度为 8，密码过期警告天数为 7 天
C.确保不能通过 root 进行远程 ssh 登陆
D.确保 uid 为 0 的用户只有 root
E.确保不存在.netrc 和.rhosts 文件
F.确保所有与 umask 相关的配置文件中，umask 的值都是 022
G.配置完成后，执行程序”/root/check/linux”。如基线策略都修复完成，程序会输出一个 flag 信息，将此 flag 提交

5.Linux 网络策略加固

在 win 选手主机上，使用 xshell 登陆 linux 安全加固服务器后，先执行命令”sudo su- root”(输入 linxu 安全加固服务 admin 用户密码)切换到 root 用户，然后完成以下 2 项的安全加固操作，
任意一项没有完成则不得分：
A.Linux 服务器需要尽量避免在内网中被发现，请使用 iptables 禁止 icmp 协议，降低 linux 服务器被发现的几率
B.Linux 服务器本地搭建了一个 redis 服务，请用 iptables 或其他方法禁止任何外部网络来访问 redis 的默认服务端口，但本地可以访问
C.配置完成后，执行程序”/root/check/network”。如网络策略配置无误，窗口会输出一个 flag 信息，将 flag 提交

6.nginx 安全加固

Linux 服务器部署了一个 nginx 服务，请修改 nginx 配置文件，使 nginx 禁止访问/backup 路径下的所有文件。配置完成后，先执行命令”sudo su - root”(输入 admin 用户密码)，然后执行程序”/root/check/nginx”。如配置无误，程序会输出标题为”Nginx 安全加固”的 flag 信息，将 flag 提交

7.nginx 安全加固 2

Linux 服务器部署了一个 nginx 服务，请修改 nginx 配置文件，使 nginx 只允许 GET、POST 请求（注：其他请求方式不返回 200 状态码即算完成要求）。配置完成后，先执行命令”sudo su - root”(输入 admin 用户密码)，然后执行程序”/root/check/nginx”。如配置无误，程序会输出标题为”Nginx 安全加固 2”的 flag 信息，将 flag 提交

模块五：应急响应（1100 分）

【任务描述】你作为一个企业的信息安全工程师，收到了一条 Linux 主机失陷的告警信息，经初
步研判为挖矿木马感染。现需要你登陆到失陷主机上，清理异常的进程和文件，使失陷主机恢复正常运行。

【任务环境说明】

【任务内容】

1.查找异常进程所在目录

请分析失陷主机上的进程，查找占用 CPU 最高的进程文件所在的目录路径（注：只需要进程文件所在的目录路径，不定位到文件，路径末尾不要添加/号），并将目录路径进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为flag{MD5 小 写 } ， 例 如 假 设 目 录 路 径 是 /opt ， 那 么 提 交 范 例 为 ：flag{68ab1268abb7e5f5688810968df97d6b}

2.异常环境变量检测

由于失陷主机登陆时，会自动执行一个异常的二进制文件。请查看失陷主机的环境变量相关的 profile 配置文件，从 profile 配置文件内容中，找到这个执行的异常二进制文件，并提交这个文件的名称（注：只需要文件的名称即可）。提交时将文件名称进行md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写 } ， 例 如 假 设 文 件 名 称 是 name ， 那 么 提 交 范 例 为 ：flag{b068931cc450442b63f5b3d276ea4297}

3.寻找异常守护进程

当前关闭失陷主机占用 CPU 最高的进程时，该进程又会再次启动，很明显失陷主机存在一个守护进程来确保占用 CPU 最高的进程不能被关闭。请寻找这个异常的守护进程，并提交这个守护进程文件名称（注：只需要文件的名称即可）。提交时将文件名称进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为flag{MD5 小 写 } ， 例 如 文 件 名 称 是 name ， 那 么 提 交 范 例 为：flag{b068931cc450442b63f5b3d276ea4297}

4.清理所有异常进程

请详细检查失陷主机的开机启动项、profile、计划任务等配置文件，并根据配置文件中的线索删除恶意文件，停止异常占用 CPU 的进程。当你确认所有的异常进程和文件都清理完成后，执行命令/root/flags，执行后，flags 程序将会在等待 60 秒后完成启动。如失陷主机所有异常清理完成，flags 程序将会输出 flag 信息，请提交此 flag 信息。如任意一项异常进程或文件未清理完成，则会输出”异常进程或文件未处理完毕”，请继续进行清理

5.异常 webshell 文件分析

在此次的入侵过程中，黑客向失陷主机上传过 webshell 文件。请分析失陷主机上监测到的流量包/var/pacp/web_http.pcap，找到黑客上传的 webshell 木马文件名（注：文件名包括了文件的扩展名），并将文件名称进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设黑客上传的 webshell 木马文件名 name，那么提交范例为：flag{b068931cc450442b63f5b3d276ea4297}

6.异常 webshell 文件分析 2

在此次的入侵过程中，黑客向失陷主机上传的 webshell 文件在 HTTP 数据传输过程中进行了加密操作。请分析失陷主机上监测到的流量包/var/pacp/web_http.pcap，找到黑客上传的 webshell 木马文件解密密钥信息，并将解密密钥信息进行 md5 加密后，写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设webshell 木 马 文 件 解 密 密 钥 信 息 为 info ， 那 么 提 交 范 例 为 ：flag{caf9b6b99962bf5c2264824231d7a40c}

7.黑客行为分析

在此次的入侵过程中，黑客曾连接到 webshell 文件进行过恶意操作。请分析失陷主机上监测到的流量包/var/pacp/web_http.pcap 找到黑客连接 webshell 后执行的第一条命令，将第一条命令进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设黑客连接 webshell 后执行的第一条命令为 cmd，那么提交范例为flag{dfff0a7fa1a55c8c1a4966c19f6da452}

8.黑客 shell 权限分析

在此次的入侵过程中，黑客曾连接到 webshell 文件进行过恶意操作。请分析失陷主机上监测到的流量包/var/pacp/web_http.pcap，分析黑客连接到 webshell 后的 shell 用户权限。并将 shell 用户名进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设黑客连接到 webshell 后的 shell 用户为 user，那么提交范例为flag{ee11cbb19052e40b07aac0ca060c23ee}

9.黑客的文件操作分析

在此次的入侵过程中，黑客曾连接到 webshell 文件上传过文件 flag.txt。请分析失陷主机上监测到的流量包/var/pacp/web_http.pcap，拿到黑客上传文件 flag.txt 中的内容并提交。

10.黑客的提权行为分析

在此次的入侵过程中，黑客曾连接到 webshell 文件进行过一次提权操作，请分析失陷主机上监测到的流量包/var/pacp/web_http.pcap，获取黑客进行提权操作中使用到的命令（注：只需要命令，不需命令后面的参数等信息），将命令进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设黑客 连 接 webshell 后 执 行 第 一 条 命 令 为 cmd ， 那 么 提 交 范 例 为 ：flag{dfff0a7fa1a55c8c1a4966c19f6da452}。

11.黑客遗留后门分析

在此次的入侵过程中，黑客曾连接到 webshell 文件进行了后门 IP 反弹 shell 操作，请分析失陷主机上监测到的流量包/var/pacp/web_http.pcap，获取黑客后门反弹 shell 外连的 IP，并将反弹 shell 外连的 IP 进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设黑客连接到 webshell 后的 shell 用户为 192.168.1.1，那么提交范例为：flag{66efff4c945d3c3b87fc271b47d456db}

【操作说明】

1.根据赛题在对应虚拟机中完成相关操作，获取对应数据，并基于 Windows、Linux或第三方工具计算 md5 数值，在 Windows 系统中计算命令如下：

set /p="192.168.1.1" <nul > input.txt
certutil -hashfile input.txt MD5
del input.txt

或者在 Linux 系统中计算 MD5 数值，计算命令如下：

echo -n "192.168.1.1" | md5sum

2.获得完整 FLAG 信息后，根据竞赛平台右侧“答题区“对应题目提交 FLAG 数值，如果 FLAG 不正确，可重复提交。如果 FLAG 正确，提交后该题目无法继续提交。

模块六：日志分析（1100 分）

【任务描述】作为安全工程师，分析日志是否存在安全风险事件是企业业务安全巡检中的一环。
现有一台 Linux 服务器，该服务器上分别存在两份中间件日志 /var/log/httpd/access_log和 /var/log/nginx/www.zwxa.com_access.log，请分析这两份日志，并按照任务内容中的要求提交分析出的信息。同时，这台 linux 服务也会将用户相关的操作记录到日志 secure 中，默认情况下，日志会通过轮替的方式保留日志 secure 至少 180 天以上。现这台 Linux 服务器上在录/var/log/secure_anaylist 下保留了 180 天之内所有的用户相关操作日志，请同步分析这个目录下所有的 secure 日志，并按照任务内容中的要求提交分析出的信息。

【任务环境说明】

【任务内容】

1.apache 服务中，访问量最高的 IP 信息

访问 web 服务频率较大的 IP 往往需要重点关注，请分析日志/var/log/httpd/access_log找到访问量最高的 IP。并将 ip 进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设访问量最高的 IP 是 192.168.1.1，那么提交范例为：flag{66efff4c945d3c3b87fc271b47d456db}

2.apache 服务中的恶意访问情况

访问 web 服务的客户端中，可能会发送恶意的请求参数，这些恶意请求需要安全工程师定期进行进行统计、记录和分析。请分析日志/var/log/httpd/access_log 是否有包含eval、cmd、func、cgi-bin、jndi、excute、%20、system、exec、passthru、shell_exec、popen、proc_open 这些常见恶意请求关键词的请求记录（注：包含恶意请求关键词的请求记录即为恶意请求），并找到恶意请求访问频率最高的 path 路径（注：path 路径不包含网址、分隔符和查询参数，/path 中的“/”不是分隔符），并将 path 路径进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设path 路径是/path，那么提交范例为：flag{c55cc3282a38277657035e8e64b48b60}

3.nginx 服务中，访问量最高的 IP 信息

访 问 web 服 务 频 率 较 大 的 IP 往 往 需 要 重 点 关 注 ， 请 分 析 日 志/var/log/nginx/www.zwxa.com_access.log 统计访问量最高 IP 对 web 服务的访问次数。并
将次数进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为flag{MD5 小 写 } ， 例 如 假 设 访 问 次 数 是 10 ， 那 么 提 交 范 例 为 ：
flag{d3d9446802a44259755d38e6d163e820}

4.nginx 服务中的扫描探测情况

攻击者往往会使用 HEAD 请求来探测 web 服务的路径是否存在，作为安全工程师，你 需 要 初 步 了 解 web 服 务 被 外 部 扫 描 的 情 况 。 请 分 析 日 志/var/log/nginx/www.zwxa.com_access.log 找到 web 服务被 HEAD 请求次数最高的 path 路径信息。并将 path 路径进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设 path 路径是/path，那么提交范例为：flag{c55cc3282a38277657035e8e64b48b60}

5.nginx 中的后台登陆服务

nginx 服务在 path 路径/login 和/admin/login 都提供了后台登陆服务，并使用 POST方 式 来 传 递 登 陆 数 据 （ 比 如 用 户 名 、 密 码 等 ） ， 请 分 析 日 志/var/log/nginx/www.zwxa.com_access.log 找到进行后台登陆操作次数最多的 IP。并将 ip进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5小 写 } ， 例 如 假 设 访 问 量 最 高 的 IP 是 192.168.1.1 ， 那 么 提 交 范 例 为 ：flag{66efff4c945d3c3b87fc271b47d456db}

6.nginx 中的后台操作记录

在 nginx 服务中，以/admin 开头的 path 路径都是后台操作，同时后台参数都是已POST 请求来传递数据。请分析日志/var/log/nginx/www.zwxa.com_access.log 找到除后台登陆外，频率最多的后台操作，并提交此后台操作访问的详细 path 路径信息。提交时将详细 path 路径信息进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设详细 path 路径信息是/path，那么提交范例为：flag{c55cc3282a38277657035e8e64b48b60}

7.定位有哪些 IP 在爆破

作为一个安全工程师，你需要知道有哪些 IP 在暴力破解服务器的远程登陆密码。请分析目录/var/log/secure_anaylist 下所有的 secure 文件，找到登陆失败次数最多的 IP。并将 ip 进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为flag{MD5 小写}，例如假设登陆失败次数最多的 IP 是 192.168.1.1，那么提交范例为：flag{66efff4c945d3c3b87fc271b47d456db}

8.定位爆破用户名字典

在排查远程登陆暴力破解时，除了 IP 信息外，同时需要了解外部用户在针对什么用户名进行爆破。分析目录/var/log/secure_anaylist 下所有的 secure 文件，找到登陆失败次数最多的用户名。并将用户名进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设登陆用户名是 user，那么提交范例为：flag{ee11cbb19052e40b07aac0ca060c23ee}

9.定位增加的用户

linux 服务器在今年 5 月曾经添加过一个用户，请分析目录/var/log/secure_anaylist下所有的 secure 文件，找到这个用户名。并将用户名进行 md5 加密后，将小写的 md5密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设登陆用户名是user，那么提交范例为：flag{ee11cbb19052e40b07aac0ca060c23ee}

10.定位经常登陆的 IP

linux 服务器的远程 ssh 登陆地域通常是固定的，请分析目录/var/log/secure_anaylist下所有的 secure 文件，找到登陆成功次数最多的 IP。并将 ip 进行 md5 加密后，将小写的 md5 密文进行作为 flag 信息进行提交，提交格式为 flag{MD5 小写}，例如假设登陆成 功 次 数 最 多 的 IP 是 192.168.1.1 ， 那 么 提 交 范 例 为 ：flag{66efff4c945d3c3b87fc271b47d456db}

11.登陆失陷研判

请综合分析目录/var/log/secure_anaylist 下所有的 secure 文件，判断 linux 服务是否
存在登陆密码被暴力破解成功的情况（注：判断依据为登陆失败的 IP 出现在了登陆成功的 IP 列表中，即为登陆密码被暴力破解成功）。如存在登陆密码被暴力破解成功的情 况 则 提 交 yes 的 小 写 md5 码 ， 格 式 为 flag{MD5 小 写 } 即flag{a6105c0a611b41b08f1209506350279e}，如不存在登陆密码被暴力破解成功的情况则提 交 no 的 小 写 md5 码 ， 格 式 为 flag{MD5 小 写 } 即flag{7fa3b767c460b54a2be4d49030b349c7}

【操作说明】
1.根据赛题在对应虚拟机中完成相关操作，获取对应数据，并基于 Windows、Linux或第三方工具计算 md5 数值，在 Windows 系统中计算命令如下：

set /p="192.168.1.1" <nul > input.txt
certutil -hashfile input.txt MD5
del input.txt

或者在 Linux 系统中计算 MD5 数值，计算命令如下：

echo -n "192.168.1.1" | md5sum

2.获得完整 FLAG 信息后，根据竞赛平台右侧“答题区“对应题目提交 FLAG 数值，如果 FLAG 不正确，可重复提交。如果 FLAG 正确，提交后该题目无法继续提交。

模块七：渗透测试（500 分）

【任务描述】作为企业的安全工程师，除了对业务进行安全加固，还需要挖掘企业各种服务中可能存在的风险点，找到隐藏的风险漏洞。

【任务环境说明】

【任务内容】

1.ZWPHP

服务器 http://192.168.239.131:83 部署有主机管理系统，请分析并利用找到的漏洞拿到 flag。（备注：flag 文件路径为：“/flag”）

2.SSTI

在网址 http://192.168.239.131:82 找到漏洞并利用找到的漏洞获取 flag 文件信息（备注：flag 文件路径为：“/flag”）

3.CMPHP

在网址 http://192.168.239.131:84 页面存在漏洞，请找到并利用漏洞获取 flag 文件信息（备注：flag 文件路径为：“/flag”）

4.FTP 密码破解

2025 一带一路暨金砖国家技能发展与技术创新大赛内网其中一个服务器中存在 ftp 服务，其管理的一个用户 admin 密码过于简单，请尝试破解，并且在破解完成后，使用 admin 用户登陆 ftp 拿到 flag.txt 文件的内容并提交。

【操作说明】

1.根据赛题在对应虚拟机中完成相关操作，获取对应数据，并基于 Windows、Linux或第三方工具计算 md5 数值，在 Windows 系统中计算命令如下：

set /p="192.168.1.1" <nul > input.txt
certutil -hashfile input.txt MD5
del input.txt

或者在 Linux 系统中计算 MD5 数值，计算命令如下：

echo -n "192.168.1.1" | md5sum

2.获得完整 FLAG 信息后，根据竞赛平台右侧“答题区“对应题目提交 FLAG 数值，如果 FLAG 不正确，可重复提交。如果 FLAG 正确，提交后该题目无法继续提交。

模块八：职业素养（50 分）

【任务要求】参赛选手操作规范、遵守考场纪律、收纳整理干净整洁、文明竞赛。