[MiniFoot]

來源：http://www.ptt.cc/bbs/Gossiping/M.1399312278.A.677.html

作者 seanwu (sean) 看板 Gossiping
標題 Re: [新聞] 「百度盃」駭客大賽　台灣打敗中國網軍！
時間 Tue May 6 01:51:15 2014

來點決賽的掛XD

這次決賽有六個服務要攻擊/防禦 (php*1，python*1，binary*4)

比賽時間 第一天 8hr + 離線分析時間 16hr + 第二天 8hr

要做的事情是利用服務的漏洞拿到放在別人主機上的 flag (每5分鐘會更新)

======

比較有看頭的應該是 fungame 這一題，是個用 php 寫的網站

裡面大概有 10 個漏洞，所以很容易有沒找到的部份，

再加上 php 的分析比較簡單，所有隊伍都有足夠的能力去找出/修補這些漏洞

攻防比較激烈一點，我們在這題也被打了好幾次


再來就是關鍵的 secret_guard 了

由於多人打同一人時得分會平分，先手會有非常大的優勢

這題我們大概爽爽刷了半天，第二名上海交大的 0ops 才接著跟上

另外，這題是 ELF64 binary，簡單來說就是只有執行檔，沒有原本的程式碼

一部份的隊伍沒有直接修改 binary 的技術... 只能放著挨打

(不過他們還是靠著 replay 我們的封包做出攻擊 XD)

此外，比賽分兩天絕對不是讓你好好睡一覺 ....

我們花了整個晚上分析 hrms 和 jas，寫攻擊腳本，第二天一早馬上打一波

負責 web 的隊員也很猛，他一個人把 fungame 所有漏洞都補上了 ...

======

補點比賽中的趣事

* 有人上傳 flag 的腳本被注入 rm -rf，結果就回飯店拿備用筆電了

* 第一天結束後有隊伍跑去別人家插線開 sniffer，第二天好像還撈到幾次 flag

* 不少隊伍 ban 我們的 IP，但我們用其它隊伍當跳板照打kerker

* 有隊伍直接把所有流量導去別隊，這樣中招的就是別隊了，有夠北爛

最後，揪團打 Defcon 初賽啊啊啊!!


推 aa874125:對岸似乎酸比賽水準太低，這個才夠看 http://ppt.cc/kX7g 05/06 03:11

這個確實是了不起的成果，他們是靠這個吃飯的專家 XD
我們幾個業餘還是打打CTF就好...
對我來說，這次比賽比較像電競活動啦, 玩得爽就好了
我不是做資安的，那個就交給專業的去

HITCON 是很厲害的資安團隊，這次掛了他們的名字沾點光
我們 217 大部份的隊員都不是幹這個的 (除了web大大)
打比賽好玩就好，但實務的資安工作不是我們的專長 :）