Andy.i FreeBuf
“实力碾压一切”,这是在XCTF总决赛结束后诸葛建伟对 r3kapig 获得冠军时的评价。
恰逢小光棍节(11月1日),第四届XCTF总决赛在北京拉开战幕,本次大赛是由XCTF与首次来到中国的HITB联合举办,因此也增加了许多新的元素。在为期两天的时间里,来自国内外的近20支战队都将为年度总冠军的荣誉而战。
实力碾压,r3kapig强势夺冠
一般来说,CTF比赛中除了考验每个战队的实力之外,也一定程度上需要采取合适的策略才能更轻易取得领先优势,尤其是在XCTF采用全新JAD混合赛制的条件下,让每只黑客队伍有多种不同的策略选择。
因此,首先来了解下比赛的详细规则是非常有必要的,这次XCTF总决赛赛制参考了DECFON CTF的规则,采用Jeopardy解题与AD攻防赛制并行,满分为10000分,解题和攻防各占总分的50%。详细规则如下:
解题赛部分为Web、Pwn和Misc共10个挑战,采用动态积分规则和一二三血奖励方式,占总分10000分中的50%分值;
攻防赛设置了3个二进制攻防与1个King of The Hill攻防环境,队伍成功攻击其他任意队伍获得Flag可累加攻击分,而防御必须提交修补漏洞后的版本到平台,成功通过的功能性检查与修补限制条件,平台才自动部署修补后版本,如成功防御其他队伍的攻击,队伍则可累加防御分,攻击分和防御分各占总分10000分中的25%分值。
除了解题得分之外,黑客们在选择攻击对手的选择上更需要谨慎,因为一旦攻击不成功的话,那么自己不得分反而对手会防御得分,既浪费了时间也让对手得分,赔了夫人又折兵。
XCTF联赛发起人、赛宁网安CTO诸葛建伟
在比赛结束后,笔者采访了XCTF联赛的发起人诸葛建伟老师,他两天都在现场掌控着比赛的顺利进行,也观察到了各个战队采取的不同策略以及积分榜的变化。诸葛建伟老师表示,在这次CTF比赛的策略上,他建议黑客选手们在白天将主要精力放在攻防得分上,因为,首日比赛会在下午18点结束,那么晚上到第二天比赛开始前,有足够的时间在线下找出解题思路,这样能够充分利用这两天的时间得到更高的分数,在他的观察中 0ops 就是采取这样的策略。
可惜,在绝对的实力面前,所有的策略都是浮云。r3kapig 战队在实力上远胜一筹,在比赛结束前最后一个小时,r3kapig破解了所有解题赛题目及攻防赛环境,最后,他们在解题分、攻击分、防御分三榜居于第一获得了一万满分,强势夺冠。战队成员也是由第三届XCTF联赛年度总冠军FlappyPig与第四届XCTF联赛分站赛N1CTF冠军Eur3kA的联合组队,比赛开始前他们也就被认为是冠军的最有力争夺者。
赛事激烈,各战队轮流开花
不过整体来说,有资格入围本届XCTF总决赛的队伍也基本没有弱旅,比赛一开始各个战队轮流开花,XMan战队成功防御了来自多支战队的多次攻击,居于排行榜第一位。临近中午时分,联合战队De1ta拿到全场首个一血,随后r3kapig战队拿到二血获得分数。
首日比赛结束积分榜
在下午的比赛中,Lancet战队率先拿到解题赛bestphp的一血领跑解题赛排行榜,后来r3kapig战队、Dubhe战队轮番领跑战况胶着,截止到首日比赛结束,r3kapig战队以8408分的优势排行榜领跑。
战队之间的攻防实况
两天的时间里,比赛大屏幕所展示的赛况就能看出整个比赛的胶着状态。大屏幕左上角展示实时状态下各个战队之间的攻防情况,基本都没有停止过。而右侧的积分榜也在不断的上升或者下降。
两日比赛结束最终积分榜
直到比赛最后仅剩一个小时的时间,r3kapig 积分达到满分10000分,彻底将比赛进程推上高潮,而此时积分榜的第二名0ops战队落后不到2000分,一个小时的时间里,成为第二个拿到满分的队伍也不是不可能,所以最后一个小时的比赛也是充满了悬念,不过直到比赛时间结束,积分榜上也没有出现期待的“惊喜”。
最终,r3kapig 战队以一万分满分夺冠,一定意义上可以说是卫冕,0ops 战队以8256分获得亚军,Dubhe 战队获得季军!
选手在破解胸卡题
由于这次XCTF是由XCTF联赛和HITB联合举办,因此也加入了一些不一样的元素。赛题中由两道题是以破解JD-HITB的定制胸卡为主,参赛选手需要通过焊接电路和硬件分析的方式,来寻找胸卡内的隐藏Flag,这也是国内的CTF网络安全赛事首次引进硬件安全挑战。
赛后诸葛建伟老师表示,这种题目的设定也是为了让选手更多的注意到硬件安全,毕竟现在物联网安全越来越重要。同时也将不断探索,为年轻人提供最好的土壤,将对未知充满好奇心、极富创造力、不怕输、奋斗到底的“极客精神”进行到底。
两强对决遗憾没能上演
笔者留意到一个小问题,韩国的Cykor战队也在名单之内,但并没有出现在赛场,询问过诸葛建伟老师之后才知道是因为签证原因没能到场。其实有点遗憾,在全球各大CTF赛事上,Cykor战队的实力强劲是大家有目共睹的,如果按照预设的剧本,那么这次XCTF总决赛很可能变成Cykor战队和r3kapig战队两方的冠军争夺战。
赛后笔者采访了r3kapig战队队员,提到韩国Cykor战队,他们表示队员之间原本在国内是分开在不同战队打比赛的,只是在这种国际赛事上会以r3kapig战队出战,尤其是得知这次Cykor也会出现,因此也将Cykor视为本届XCTF比赛的最大竞争对手。可惜我们没能见证这一场强强对决。
此外,像XCTF这种国际赛事,也会引起各大安全公司的注意,在安全人才资源匮乏的今天,CTF赛场显然是挑选人才的最佳地方。r3kapig战队成功拿下本次年度总冠军,战队成员也势必会引起众多安全公司的注意。r3kapig成员部分已经是大学四年级,面临工作或是考研的选择,说不定已经接到了不少安全公司的招揽,笔者采访的小哥虽然默认这种情况,但也没有透露具体接到那些公司的招募,笔者也不好深问,说不准哪一天已经成为安全界黑客大佬又能在我们采访中偶遇。
*本文作者:Andy.i,转载请注明来自FreeBuf.COM