來源:
http://www.ptt.cc/bbs/Gossiping/M.1399312278.A.677.html
作者 seanwu (sean) 看板 Gossiping
標題 Re: [新聞] 「百度盃」駭客大賽 台灣打敗中國網軍!
時間 Tue May 6 01:51:15 2014
來點決賽的掛XD
這次決賽有六個服務要攻擊/防禦 (php*1,python*1,binary*4)
比賽時間 第一天 8hr + 離線分析時間 16hr + 第二天 8hr
要做的事情是利用服務的漏洞拿到放在別人主機上的 flag (每5分鐘會更新)
======
比較有看頭的應該是 fungame 這一題,是個用 php 寫的網站
裡面大概有 10 個漏洞,所以很容易有沒找到的部份,
再加上 php 的分析比較簡單,所有隊伍都有足夠的能力去找出/修補這些漏洞
攻防比較激烈一點,我們在這題也被打了好幾次
再來就是關鍵的 secret_guard 了
由於多人打同一人時得分會平分,先手會有非常大的優勢
這題我們大概爽爽刷了半天,第二名上海交大的 0ops 才接著跟上
另外,這題是 ELF64 binary,簡單來說就是只有執行檔,沒有原本的程式碼
一部份的隊伍沒有直接修改 binary 的技術... 只能放著挨打
(不過他們還是靠著 replay 我們的封包做出攻擊 XD)
此外,比賽分兩天絕對不是讓你好好睡一覺 ....
我們花了整個晚上分析 hrms 和 jas,寫攻擊腳本,第二天一早馬上打一波
負責 web 的隊員也很猛,他一個人把 fungame 所有漏洞都補上了 ...
======
補點比賽中的趣事
* 有人上傳 flag 的腳本被注入 rm -rf,結果就回飯店拿備用筆電了
* 第一天結束後有隊伍跑去別人家插線開 sniffer,第二天好像還撈到幾次 flag
* 不少隊伍 ban 我們的 IP,但我們用其它隊伍當跳板照打kerker
* 有隊伍直接把所有流量導去別隊,這樣中招的就是別隊了,有夠北爛
最後,揪團打 Defcon 初賽啊啊啊!!
推 aa874125:對岸似乎酸比賽水準太低,這個才夠看
http://ppt.cc/kX7g 05/06 03:11
這個確實是了不起的成果,他們是靠這個吃飯的專家 XD
我們幾個業餘還是打打CTF就好...
對我來說,這次比賽比較像電競活動啦, 玩得爽就好了
我不是做資安的,那個就交給專業的去
HITCON 是很厲害的資安團隊,這次掛了他們的名字沾點光
我們 217 大部份的隊員都不是幹這個的 (除了web大大)
打比賽好玩就好,但實務的資安工作不是我們的專長 :)