2023年1月6日-8日,第五届Real World CTF在历时48小时的的激战后成功落下帷幕。全球顶级战队激烈交锋,创新赛制下无限接近真实的赛题,技术的交织碰撞与分享,在这场以技术之名的云端派对上,酣畅淋漓而意犹未尽。
一直以来,Real World CTF 的正赛都被形容为“神仙打架”,在今年的48小时中,同样上演了一场“剑气纵横千万里,一战惊破天地间”的巅峰对决。
最终由去年的亚军德国联合战队 Sauercloud 以5279的总分获得全球冠军,由联合战队Blue Water 以4351分的成绩名列第二,由美国明星战队 PPP 以4044荣获第三。
今年的签到题同样将“脑洞“发挥到最大,甚至在题目名称上就已直白的将flag获得方式说出:Chat-In,将RWCTF与当下热门的ChatGPT语言模型相结合,聊着天就能通过,果然技术人的脑洞是无法想象的呀。仅开赛50秒之后,就有scimus_verum战队成功获得签到题一血。
在去年首次尝试增加Clone-and-Pwn类题目,并收获无数点赞和吐槽(题目太难)后,今年的出题师傅们开始放飞自我,对这类“原汁原味”真实的题目风格更加偏爱,5道相关类型的题目,其中有两道题目的难度标签为Schrödinger,而这其中还有本次比赛解出数量较少的一道题目Druid's Selection,只有两支战队解出。确实是要将Real 风格发挥到极致呀。
再简单解释一下这个题目类型:直接使用未改动的开源代码作为Pwn的对象,而不经过二次开发,解题时需要用到的漏洞和软件特性,也都来自于原汁原味的开源代码。
而今年比赛的激烈程度也是出乎意料。48小时内,多支队伍对于冠军宝座发起的冲击交替之战多达20余次,足可见战况之胶着。在距离比赛结束还有4个小时之际,位于第二的Sauercloud战队开始最后发力,连续提交4个flag,以大比分反超当时的第一名Blue Water,最终稳居第一名的宝座。而在比赛的最后30分钟,位居第四名的PPP战队突然发力,以一道题目SealUnseal获得451的高分瞬间反超Blue Water跃居第二名,就在所有人屏息等待着是否还能出现反转的时候,在比赛的最后4分钟,Blue Water再次提交flag,以近300分的优势再次逆转战局,并最终获得亚军。
“让更多的人体验到CTF的魅力和乐趣,在比赛中感受真实软件漏洞挖掘与利用的技术场景,是我们从去年开始增加体验赛的初衷,也是我们在今年的体验赛中扩充人群新增合作伙伴赛道的重要考虑。”
最终,由来自北京邮电大学的天枢Dubhe战队以2268的总分、解出14题获得第一名,而去年的冠军团队,来自众多高校联合(南京大学,南京邮电、东南大学、中国矿业大学等)的SU战队以2187的总分获得第二名,由来自西安电子科技大学的L-team战队以总分2166名列第三名。
本次体验赛的签到题在脑洞和风格上也延续了正赛,签到题“🐑了拼🐑”绝对当属本次体验赛最出乎意料的题目,也是让所有参赛选手看到后会心一笑的题目。开赛仅43秒钟,就有Blue's战队率先完成签到,手速之快堪称一绝。Lilac战队紧随其后,仅相差5秒钟。紧张竞争的比赛气氛瞬间被点燃。
虽然赛题的难度降级,但题目以真实世界软件的真实问题为考察的赛制却是和正赛一样,而且更加针对基础技术应用和实际操作场景进行考察。在比赛开始5分钟后,非签到题的第一个一血诞生在题目Evil MySQL Server,由A1natas战队获得,随即竞争进入白热化。在激战12个小时后,SU战队在提交了一道难度标签为“ Normal”的题目HappyFactory后,以微弱优势反超之前的第一名天枢Dubhe战队,随即一路领先,就在众人以为冠军又会花落SU战队时,天枢Dubhe战队在8日凌晨2点再次提交一道Blockchain类型题目的 Flag,从而扭转战局,并一路领先获得冠军。
在合作伙伴赛道中,得分最高的望初科技“讲艮多做乜啊”战队表现不仅解出了一道仅有7支战队解出的Pwn类型题目“Be-a-BUS-Driver”,还解出了标签为“Schrödinger”的题目“Be-a-Famicom-Hacker”。伙伴赛道中第二名常行科技“行者”战队和第三名远禾科技“younker”战队表现也令人惊艳。
(小知识:Schrödinger标签是出题人也不确定这道题目的难易程度,或者对于不同人来说难易程度是不同的;)
截止到比赛结束,体验赛还有3道题目无人解出。之后我们会对体验赛的所有题目进行分析,感兴趣的小伙伴要持续关注哦~
除了参赛选手玩转技术,体验参赛的激情外,所有观赛的小伙伴也同样在今年的云端派对上玩到尽兴。
2天3场直播,沉浸观赛和赛题详解,超多好玩的游戏互动环节,让更多的人可以在直播间跟随着我们一起穿过真实走进虚拟,见证国际强队的激烈对抗,体验CTF比赛的魅力,看懂CTF甚至和我们一起玩转CTF。
有好玩的八卦盘点:RWCTF王者战队圆桌派,带你一起回顾那些年我们追过的强者战队和技术大佬~还有超珍贵内部资料大公开:我与RWCTF不得不说的那些故事~
趣味游戏作为必不可少的互动项目,今年不仅增加了场次,对于游戏的开发也是“处处有着小心机”。
RWCTF的线上保留游戏”你画我猜“今年持续引爆,同样的灵魂画手,同样的巅峰画作。
还有安全圈首个自制情景推理游戏网安海龟汤,在特定的网络安全故事或场景的开头和结尾中,由所有人通过一步步提问来补全完整攻击链路并复数故事的前因后果,直接贡献了当日首个直播高光时刻,更是引发弹幕刷屏式互动留言。
原文始发于微信公众号(信息安全与通信保密杂志社):逢五进一,玩转第五届 Real World CTF云端派对
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1507959.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论