首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >实力碾压一切,这场黑客竞赛总冠军争夺战的真实写照

实力碾压一切,这场黑客竞赛总冠军争夺战的真实写照

作者头像
FB客服
发布2018-12-07 14:02:27
7470
发布2018-12-07 14:02:27
举报
文章被收录于专栏:FreeBufFreeBuf

“实力碾压一切”,这是在XCTF总决赛结束后诸葛建伟对 r3kapig 获得冠军时的评价。

恰逢小光棍节(11月1日),第四届XCTF总决赛在北京拉开战幕,本次大赛是由XCTF与首次来到中国的HITB联合举办,因此也增加了许多新的元素。在为期两天的时间里,来自国内外的近20支战队都将为年度总冠军的荣誉而战。

实力碾压,r3kapig强势夺冠

一般来说,CTF比赛中除了考验每个战队的实力之外,也一定程度上需要采取合适的策略才能更轻易取得领先优势,尤其是在XCTF采用全新JAD混合赛制的条件下,让每只黑客队伍有多种不同的策略选择。

因此,首先来了解下比赛的详细规则是非常有必要的,这次XCTF总决赛赛制参考了DECFON CTF的规则,采用Jeopardy解题与AD攻防赛制并行,满分为10000分,解题和攻防各占总分的50%。详细规则如下:

解题赛部分为Web、Pwn和Misc共10个挑战,采用动态积分规则和一二三血奖励方式,占总分10000分中的50%分值; 攻防赛设置了3个二进制攻防与1个King of The Hill攻防环境,队伍成功攻击其他任意队伍获得Flag可累加攻击分,而防御必须提交修补漏洞后的版本到平台,成功通过的功能性检查与修补限制条件,平台才自动部署修补后版本,如成功防御其他队伍的攻击,队伍则可累加防御分,攻击分和防御分各占总分10000分中的25%分值。

除了解题得分之外,黑客们在选择攻击对手的选择上更需要谨慎,因为一旦攻击不成功的话,那么自己不得分反而对手会防御得分,既浪费了时间也让对手得分,赔了夫人又折兵。

XCTF联赛发起人、赛宁网安CTO诸葛建伟

在比赛结束后,笔者采访了XCTF联赛的发起人诸葛建伟老师,他两天都在现场掌控着比赛的顺利进行,也观察到了各个战队采取的不同策略以及积分榜的变化。诸葛建伟老师表示,在这次CTF比赛的策略上,他建议黑客选手们在白天将主要精力放在攻防得分上,因为,首日比赛会在下午18点结束,那么晚上到第二天比赛开始前,有足够的时间在线下找出解题思路,这样能够充分利用这两天的时间得到更高的分数,在他的观察中 0ops 就是采取这样的策略。

可惜,在绝对的实力面前,所有的策略都是浮云。r3kapig 战队在实力上远胜一筹,在比赛结束前最后一个小时,r3kapig破解了所有解题赛题目及攻防赛环境,最后,他们在解题分、攻击分、防御分三榜居于第一获得了一万满分,强势夺冠。战队成员也是由第三届XCTF联赛年度总冠军FlappyPig与第四届XCTF联赛分站赛N1CTF冠军Eur3kA的联合组队,比赛开始前他们也就被认为是冠军的最有力争夺者。

赛事激烈,各战队轮流开花

不过整体来说,有资格入围本届XCTF总决赛的队伍也基本没有弱旅,比赛一开始各个战队轮流开花,XMan战队成功防御了来自多支战队的多次攻击,居于排行榜第一位。临近中午时分,联合战队De1ta拿到全场首个一血,随后r3kapig战队拿到二血获得分数。

首日比赛结束积分榜

在下午的比赛中,Lancet战队率先拿到解题赛bestphp的一血领跑解题赛排行榜,后来r3kapig战队、Dubhe战队轮番领跑战况胶着,截止到首日比赛结束,r3kapig战队以8408分的优势排行榜领跑。

战队之间的攻防实况

两天的时间里,比赛大屏幕所展示的赛况就能看出整个比赛的胶着状态。大屏幕左上角展示实时状态下各个战队之间的攻防情况,基本都没有停止过。而右侧的积分榜也在不断的上升或者下降。

两日比赛结束最终积分榜

直到比赛最后仅剩一个小时的时间,r3kapig 积分达到满分10000分,彻底将比赛进程推上高潮,而此时积分榜的第二名0ops战队落后不到2000分,一个小时的时间里,成为第二个拿到满分的队伍也不是不可能,所以最后一个小时的比赛也是充满了悬念,不过直到比赛时间结束,积分榜上也没有出现期待的“惊喜”。

最终,r3kapig 战队以一万分满分夺冠,一定意义上可以说是卫冕,0ops 战队以8256分获得亚军,Dubhe 战队获得季军!

选手在破解胸卡题

由于这次XCTF是由XCTF联赛和HITB联合举办,因此也加入了一些不一样的元素。赛题中由两道题是以破解JD-HITB的定制胸卡为主,参赛选手需要通过焊接电路和硬件分析的方式,来寻找胸卡内的隐藏Flag,这也是国内的CTF网络安全赛事首次引进硬件安全挑战。

赛后诸葛建伟老师表示,这种题目的设定也是为了让选手更多的注意到硬件安全,毕竟现在物联网安全越来越重要。同时也将不断探索,为年轻人提供最好的土壤,将对未知充满好奇心、极富创造力、不怕输、奋斗到底的“极客精神”进行到底。

两强对决遗憾没能上演

笔者留意到一个小问题,韩国的Cykor战队也在名单之内,但并没有出现在赛场,询问过诸葛建伟老师之后才知道是因为签证原因没能到场。其实有点遗憾,在全球各大CTF赛事上,Cykor战队的实力强劲是大家有目共睹的,如果按照预设的剧本,那么这次XCTF总决赛很可能变成Cykor战队和r3kapig战队两方的冠军争夺战。

赛后笔者采访了r3kapig战队队员,提到韩国Cykor战队,他们表示队员之间原本在国内是分开在不同战队打比赛的,只是在这种国际赛事上会以r3kapig战队出战,尤其是得知这次Cykor也会出现,因此也将Cykor视为本届XCTF比赛的最大竞争对手。可惜我们没能见证这一场强强对决。

此外,像XCTF这种国际赛事,也会引起各大安全公司的注意,在安全人才资源匮乏的今天,CTF赛场显然是挑选人才的最佳地方。r3kapig战队成功拿下本次年度总冠军,战队成员也势必会引起众多安全公司的注意。r3kapig成员部分已经是大学四年级,面临工作或是考研的选择,说不定已经接到了不少安全公司的招揽,笔者采访的小哥虽然默认这种情况,但也没有透露具体接到那些公司的招募,笔者也不好深问,说不准哪一天已经成为安全界黑客大佬又能在我们采访中偶遇。

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2018-11-04,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 实力碾压,r3kapig强势夺冠
  • 赛事激烈,各战队轮流开花
  • 两强对决遗憾没能上演
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档