>科技>>正文

FreeBuf报道 | WCTF世界黑客大师挑战赛:向着光,追逐光

原标题:FreeBuf报道 | WCTF世界黑客大师挑战赛:向着光,追逐光

从炎热的室外走进冷气十足的 WCTF 赛场,温差之大让人瞬间起了一层鸡皮疙瘩。现场的灯光打得很暗,目之所及一片昏暗,气氛突然就紧张起来。参赛队伍大多穿着黑色T恤,坐在印有赛队 logo 的黑色基调的隔间里。工作人员也大多身着黑衣,在现场走来走去。眼前的一切不禁让人感叹,这可真是一场名副其实的“黑”客大赛啊。

昏暗的现场

身处陌生的黑暗中,人会本能地去寻找光源。现场最大的光源是正前方的大屏幕,绚烂的星空图中,代表每道赛题的小行星闪闪发光,吸引着代表每个赛队的战舰关注、攻破。此外,每位参赛选手的电脑屏幕也是他们面前最大的光源,一方屏幕,装满了他们的智慧与努力、决心与梦想。在现场节奏感极强的音乐声中,各赛队驾着战舰,向着发光的赛题星球迈进、追逐,最终在解开题目、占领星球的瞬间,发出更耀眼夺目的光芒。

出题解题两相宜,这种操作 666

与普通的 CTF 相同,本次 WCTF 也主要以解题、夺旗为主,但特殊之处在于,所有的赛题都是来自参赛队伍。每支队伍提交 2 题,由主办方审核、汇总之后,在比赛首日全部放出。由于参赛队伍的世界排名都比较靠前,自身能力高、实战经验丰富,因此,他们提交的题目水平不容小觑。而值得一提的是,本次 WCTF 的计分模式分为三个部分,27、28 日的解题夺旗占 60%,而 29 日的分享(参赛队伍解读自己的出题思路和解题过程,回答评委提问,随后评委根据分享内容和解答进行评分)占 30%,赛题提交时间和答题规范等杂项占 10%(工作人员会在现场实时监控,防止恶意攻击等)。因此,各赛队出题也不可能一味刁钻,还是要合理巧妙才行。此外,赛题经工作人员审核后,发给每个队伍的 flag 其实不尽相同,这也很好地防止了传递 flag 等作弊行为。

参赛战队列表

我们对赛题粗略统计后,发现纯 pwn 题有 14 道,可见各赛队对此还是情有独钟。reverse 与 pwn 结合的题有一道,reverse 与 crypto 综合类题有 6 道,纯 reverse 题有一道,web题有2道,web 与 crypto 结合的题有一道,misc 与 crypto 结合的题有一道。共计 26 道题,除掉自己提交的两题,每个赛队面临的是 24 道题。

27 日首日比赛结束后,各赛队共计解出 4 道题,其中 3 道为 reverse&crypto 类型的题,还有一道是reverse 题。来自伊朗的战队 ASIS 给出的两道题解出的战队最多,两道题都有 6 支队伍解出来。能出题也能解题,参赛队伍都厉害了! (了解更多首日赛况,请看FreeBuf关于WCTF大赛的首日报道)

27日比赛结束时的积分榜

【注意:每道题基础分 120 分,一血额外加分 30 分,第二个解题的队伍获得额外加分 20 分,之后额外获得的分数依次递减:18、16、14、12、10、8、6、4。只有前十支解出题目的队伍才有额外加分。】

比赛次日:首尾呼应,惊人反转 “笨猪先飞” ,一飞冲天

28 日比赛本在 9:30 才 开始,但 8:40 分,我们到达现场时,发现 FlappyPig 战队已经在现场进入解题状态了,这倒是很好地践行了他们“笨猪先飞”的队名和理念。作为唯一一支通过席位赛赢得此次WCTF“外卡”参赛资格的战队,FlappyPig 在比赛首日表现出色,成为当天第三支解开题目的队伍,且在 27 日比赛结束时,以 272 分的成绩位列第四。在 28 日上午比赛刚开始,他们接连提交两道题,一度冲到了排行榜第三名的位置。

这个团队的成员主要来自解放军信息工程大学,能与国际高水平黑客战队同台竞技且表现不凡,着实是一批大黑马了。

28日一大早就到场的飞猪战队

光影纷呈,瞬息万变

28 日早上开赛 15 分钟之内(9:30-9:45),先后有 10 支队伍提交 flag,现场的赛题小行星接连爆炸,颜色各异,光芒耀眼。星云图旁边的排行榜也不断变化,各战队的名字纷纷闪烁。这一大早的惊喜,离不开参赛队员一晚无眠的努力。

1、日本 Binja 战队解出 ransomware (一血),获得 150 分;

2、俄罗斯 LC↯BC 战队解出 ransomware、gwoc 和 gestapo ,共获得 398 分,跃居第二;(分别为 reverse&crypto 题、reverse 题和 reverse&crypto 题)

3、乌克兰 Dcua 战队解出 gwoc,获得 130 分;(reverse 题)

4、日本 Tokyowesterns 战队解出srvm(一血),获得 150 分;(pwn 题)

5、美国 Shellphish 战队解出 crypto 和 babyescape 获得 288 分;(reverse&crypto 题和 pwn 题)

6、法国&瑞士 0daysober 战队解出 gwoc 和 Dr.Drevil(一血),获得 274 分;

7、波兰 Dragon Sector 战队解出 gestapo 和 srvm,获得 266 分;(reverse&crypto 题和 pwn 题)

8、波兰 P4 战队解出 srvm,获得 140 分;

9、中国 flappypig 战队解出 Dr.Drevil 和 srvm(两道 pwn 题),获得 276 分;

10、中国(台湾)HITCON217 战队解出 srvm(pwn 题),获得 134 分;

题目被解出的瞬间

28日12:00 到14:30 陆续有战队提交题目,现场的大屏幕偶尔有星球闪光,但更多是一片沉寂。

14:30-17:40 赛场比分没有任何变化,时间仿佛陷入了静止。各赛队队员依然在黑暗中蓄力。

到了北京时间 17:42 分,离解题比赛正式结束还有 18 分钟,来自中国台湾的 HITCON 217 战队突然发力,一口气提交了2道题,获得280分(一道 pwn 题一血150分+一道 web crypto 题 130 分),反超一路领跑的日本 TokyoWesterns 战队,跃居第一。伴随着屏幕上行星爆炸的特效, 现场一片惊叹。217战队队员一直安静解题、连拿茶点填肚子都一路小跑的队员们,在提交题目后,终于起身结伴去洗手间了。有一位队员连说了两遍“题太难了”,但是激动和喜悦之情却溢于言表。

北京时间 17:58 分,来自美国的 Shellphish Repeat 提交了一道 pwn 题,获得了 134 分,在 比赛最后关头跃居第三名。

这一早一晚集中爆发式的赛题提交,不仅让现场瞬间呈现出完美的光影特效,也为比赛增加了一丝扣人心弦的意味。不到最后一刻,谁也不知道最终结果如何;不到最后一刻,谁都不会放弃,这不正是一场比赛的看点所在么?

到28日解题比赛结束,世界排名第 2 的 HITCON217 战队拿下了解题环节的第一名,一路领跑的TokyoWesterns 在最后被反超,暂居第二,但能保持两天的领先优势,这个队实力确实有目共睹。美国 Shellphish 战队位居第三。而通过席位赛争夺成功拿到外卡加入本次 WCTF 比赛的 FlappyPig 也获得了解题环节第七名的好成绩。

28 日比赛结束之时的积分榜

28 日比赛结束之时的夺旗榜

开放分享,有竞争也有交流

29 日上午 9:30 左右,比赛第二环节的赛题分享开始。各赛队一次深入解读自己所出的题目、分享出题思路和解题方法同时回答来自评委老师的提问。评委会根据这一阶段的表现,综合考量出题合理性、解题巧妙性等因素,给赛队打分。

在解题环节,ASIS队的题目最早被破解,绝大多数赛队最后都解出了他们出的两道题。这个队来自伊朗,有一对夫妻搭档。伊朗的美女黑客做的分享PPT很精致。

ASIS美女队员

经过两天一夜的解题和一天的分享点评,本次 WCTF 最终落下帷幕。 HITCON 217 战队凭借解题环节的高分以及比较巧妙的出题与分享(他们出的两道题都没有被解出来)摘到了本次比赛的桂冠,第二名依然是 TokyoWesterns ,而第三名也依然是 Shellphish Repeat。有了解题环节的高分加持,再加上不出错的出题与分享,他们轻松保持住了自己的排名。与解题环节的排名相比,前六名没有变化,第 12 名和第 13 名也没有变化。但是Binja队在分享阶段的良好表现,为自己赢得了较多加分,从第九名上升到第七名。

季军队合影

亚军队合影

冠军队合影

黑客之路:向着光,追逐光

28日上午11点,离解题比赛正式结束还有7小时,还有很多题没有解出来。主办方提供了一些参考信息给大家。同时也不停解答大家与赛题无关的一些问题。

28日12:00,离比赛结束还剩6小时,现场进入胶着状态。除了偶尔有队员起身去洗手间或拿现场的茶点补充体力,大部分队员都还安静地在座位上解题。饥饿和困意对他们而言仿佛都不是问题,眼前的赛题高于一切。

其实,现场也并非一帆风顺,总有队伍会遇到连接不上网等这样那样的问题。本来有4个人的LC↯BC 战队在27日下午就有两名队员不知何故不见踪迹,但剩下的两名小哥依然顽强坚守,并在28日上午一度冲到了第二名。

宝宝也很无奈,但还是要保持微笑

当然,也有开心的时刻。每当有队伍解出题目,不论是工作人员还是队伍本身,都特别激动。但是,短暂的喜悦并不会让队员们停留,他们还是很快回到状态,继续解答其他题目。

不论是忍受饥饿和困意,还是不受困难和成果的羁绊继续前行;不论是赛场上投入地比赛,还是分享会上认真的交流,都能让人感受到他们身上那股因为热爱而痴迷、不断探索钻研的劲儿,而正因为这个,他们仿佛也在闪闪发光。

花絮图

现场茶歇

吃点补充体力

工作最可爱

现场答疑

白帽-黑客

我也想捡五亿块

有故事的电脑

瞅一眼战况

现场签名墙

* FreeBuf官方报道,本文作者:AngelaY,未经许可禁止转载返回搜狐,查看更多

责任编辑:

声明:本文由入驻搜狐号的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
阅读 ()
投诉
免费获取