投递人 itwriter 发布于 2018-11-05 16:55 原文链接 [收藏] « »

  “实力碾压一切”,这是在 XCTF 总决赛结束后诸葛建伟对 r3kapig 获得冠军时的评价。

  恰逢小光棍节(11 月 1 日),第四届 XCTF 总决赛在北京拉开战幕,本次大赛是由 XCTF 与首次来到中国的 HITB 联合举办,因此也增加了许多新的元素。在为期两天的时间里,来自国内外的近 20 支战队都将为年度总冠军的荣誉而战。

IMG_20181102_141945R.jpg

  实力碾压,r3kapig 强势夺冠

  一般来说,CTF 比赛中除了考验每个战队的实力之外,也一定程度上需要采取合适的策略才能更轻易取得领先优势,尤其是在 XCTF 采用全新 JAD 混合赛制的条件下,让每只黑客队伍有多种不同的策略选择。

  因此,首先来了解下比赛的详细规则是非常有必要的,这次 XCTF 总决赛赛制参考了 DECFON CTF 的规则,采用 Jeopardy 解题与 AD 攻防赛制并行,满分为 10000 分,解题和攻防各占总分的 50%。详细规则如下:

解题赛部分为 Web、Pwn 和 Misc 共 10 个挑战,采用动态积分规则和一二三血奖励方式,占总分 10000 分中的 50% 分值;

攻防赛设置了 3 个二进制攻防与 1 个 King of The Hill 攻防环境,队伍成功攻击其他任意队伍获得 Flag 可累加攻击分,而防御必须提交修补漏洞后的版本到平台,成功通过的功能性检查与修补限制条件,平台才自动部署修补后版本,如成功防御其他队伍的攻击,队伍则可累加防御分,攻击分和防御分各占总分 10000 分中的 25% 分值。

  除了解题得分之外,黑客们在选择攻击对手的选择上更需要谨慎,因为一旦攻击不成功话,那么自己不得分反而对手会防御得分,既浪费了时间也让对手得分,赔了夫人又折兵。

WechatIMG29.jpeg

  XCTF 联赛发起人、赛宁网安 CTO 诸葛建伟

  在比赛结束后,笔者采访了 XCTF 联赛的发起人诸葛建伟老师,他两天都在现场掌控着比赛的顺利进行,也观察到了各个战队采取的不同策略以及积分榜的变化。诸葛建伟老师表示,在这次 CTF 比赛的策略上,他建议黑客选手们在白天将主要精力放在攻防得分上,因为,首日比赛会在下午 18 点结束,那么晚上到第二天比赛开始前,有足够的时间在线下找出解题思路,这样能够充分利用这两天的时间得到更高的分数,在他的观察中 0ops 就是采取这样的策略。

efc1a29222a95b84906aa493a8c66e48.jpg

  可惜,在绝对的实力面前,所有的策略都是浮云。r3kapig 战队在实力上远胜一筹,在比赛结束前最后一个小时,r3kapig 破解了所有解题赛题目及攻防赛环境,最后,他们在解题分、攻击分、防御分三榜居于第一获得了一万满分,强势夺冠。战队成员也是由第三届 XCTF 联赛年度总冠军 FlappyPig 与第四届 XCTF 联赛分站赛 N1CTF 冠军 Eur3kA 的联合组队,比赛开始前他们也就被认为是冠军的最有力争夺者。

  赛事激烈,各战队轮流开花

  不过整体来说,有资格入围本届 XCTF 总决赛的队伍也基本没有弱旅,比赛一开始各个战队轮流开花,XMan 战队成功防御了来自多支战队的多次攻击,居于排行榜第一位。临近中午时分,联合战队 De1ta 拿到全场首个一血,随后 r3kapig 战队拿到二血获得分数。

123.jpg
首日比赛结束积分榜

  在下午的比赛中,Lancet 战队率先拿到解题赛 bestphp 的一血领跑解题赛排行榜,后来 r3kapig 战队、Dubhe 战队轮番领跑战况胶着,截止到首日比赛结束,r3kapig 战队以 8408 分的优势排行榜领跑。

IMG_20181102_172520R.jpg
战队之间的攻防实况

  两天的时间里,比赛大屏幕所展示的赛况就能看出整个比赛的胶着状态。大屏幕左上角展示实时状态下各个战队之间的攻防情况,基本都没有停止过。而右侧的积分榜也在不断的上升或者下降。

c7c8b26191f2e6e438270508a23b4953.jpg
两日比赛结束最终积分榜

  直到比赛最后仅剩一个小时的时间,r3kapig 积分达到满分 10000 分,彻底将比赛进程推上高潮,而此时积分榜的第二名 0ops 战队落后不到 2000 分,一个小时的时间里,成为第二个拿到满分的队伍也不是不可能,所以最后一个小时的比赛也是充满了悬念,不过直到比赛时间结束,积分榜上也没有出现期待的“惊喜”。

  最终,r3kapig 战队以一万分满分夺冠,一定意义上可以说是卫冕,0ops 战队以 8256 分获得亚军,Dubhe 战队获得季军!

IMG_20181101_140315R.jpg
选手在破解胸卡题

  由于这次 XCTF 是由 XCTF 联赛和 HITB 联合举办,因此也加入了一些不一样的元素。赛题中由两道题是以破解 JD-HITB 的定制胸卡为主,参赛选手需要通过焊接电路和硬件分析的方式,来寻找胸卡内的隐藏 Flag,这也是国内的 CTF 网络安全赛事首次引进硬件安全挑战。

  赛后诸葛建伟老师表示,这种题目的设定也是为了让选手更多的注意到硬件安全,毕竟现在物联网安全越来越重要。同时也将不断探索,为年轻人提供最好的土壤,将对未知充满好奇心、极富创造力、不怕输、奋斗到底的“极客精神”进行到底。

  两强对决遗憾没能上演

  笔者留意到一个小问题,韩国的 Cykor 战队也在名单之内,但并没有出现在赛场,询问过诸葛建伟老师之后才知道是因为签证原因没能到场。其实有点遗憾,在全球各大 CTF 赛事上,Cykor 战队的实力强劲是大家有目共睹的,如果按照预设的剧本,那么这次 XCTF 总决赛很可能变成 Cykor 战队和 r3kapig 战队两方的冠军争夺战。

874d8f1abaece3d834fb40e1c71c481c.jpg

  赛后笔者采访了 r3kapig 战队队员,提到韩国 Cykor 战队,他们表示队员之间原本在国内是分开在不同战队打比赛的,只是在这种国际赛事上会以 r3kapig 战队出战,尤其是得知这次 Cykor 也会出现,因此也将 Cykor 视为本届 XCTF 比赛的最大竞争对手。可惜我们没能见证这一场强强对决。

  此外,像 XCTF 这种国际赛事,也会引起各大安全公司的注意,在安全人才资源匮乏的今天,CTF 赛场显然是挑选人才的最佳地方。r3kapig 战队成功拿下本次年度总冠军,战队成员也势必会引起众多安全公司的注意。r3kapig 成员部分已经是大学四年级,面临工作或是考研的选择,说不定已经接到了不少安全公司的招揽,笔者采访的小哥虽然默认这种情况,但也没有透露具体接到那些公司的招募,笔者也不好深问,说不准哪一天已经成为安全界黑客大佬又能在我们采访中偶遇。

  *本文作者:Andy.i,转载请注明来自 FreeBuf.COM

 
来自: www.freebuf.com
码云企业版,专注于助力企业开发 收藏 新浪微博 分享至微信
标签: 黑客

24小时阅读排行

    最新新闻

      相关新闻