记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

说说X-NUCA’17第一期靶场渗透赛

2017-09-02 00:45

作者:{whiteater}@ArkTeam

2017826日,X-NUCA17第一期”Web安全”靶场渗透赛圆满收官,经过12小时的厮杀,第一名被福州大学ROIS战队挂得,他们共解出26道题中的16道。


图1 X-NUCA’17第一期”Web安全”靶场渗透赛战况

本次比赛以19道靶场远程渗透题为主,同时还部署了7道传统CTF题目作为热身、过渡和衔接。靶场远程渗透是本次比赛的亮点,其模式为:每道题目均部署了多个系统、应用、配置等完全相同的虚拟环境(即靶标),供多支队伍同时开展远程渗透解题。每支队伍解题前,先申请靶标,并独占该靶标资源,因此即便多支队伍同时尝试相同题目,也互不干扰。此外,每道靶场远程渗透题,都部署的是常见的实际Web CMS系统,如joomlaphpcms。使用实际CMS不仅贴近实战,还意味着并不是每个题目都有”预置的漏洞或技术点”,也就是不一定有所谓的”标准答案”!

在靶场中举办线下渗透赛并不是新鲜事,但组织170支队伍的线上靶场渗透赛,可能在国内还尚属首次。相较于传统的CTF线上赛,Arkteam将本次X-NUCAWeb安全”靶场渗透赛的突破归结为:第一,把实际CMS作为赛题,不再是点到为止的空包弹训练,而是真刀真枪的实弹演习;第二,将Web渗透进行到底、直至getshell,不再是渗透技术的分解练习,而是各种渗透技术的综合运用;第三,如此多的参赛队伍和选手,对靶场软硬件还有技术保障,都是极大的考验。

正如”每个硬币都有两面”,赛后交流中,有些选手反映了对这种竞赛形式的”不适应”,也有参赛选手反映了此次比赛的不足,例如使用CMS虽然贴近实战,但导致很多队伍都在拼命地百度或谷歌已有的POC,而对于无已知漏洞或POC的情况则束手无策。

相比于CGC的机器人CTF,可能国内CTF进化之路还很漫长。X-NUCA第一期有精彩也有不足,期待X-NUCA给我们带来更多的惊喜,也期待国内CTF竞赛能产生更多的突破与创新。


知识来源: www.arkteam.net/?p=2708

阅读:158497 | 评论:0 | 标签:ArkView

想收藏或者和大家分享这篇好文章→复制链接地址

“说说X-NUCA’17第一期靶场渗透赛”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

ANNOUNCE

ADS

标签云