「百度盃」駭客大賽 台灣打敗中國網軍、積分以一敵六！

[哈啦]

http://www.setnews.net/ColumnNews.as...7&NewsID=22126

記者黃郁棋／綜合報導

中國大陸「百度盃」全國網絡安全技術對抗賽決賽，5月2日、3日在南京市舉行；來自兩岸三地的駭客難得齊聚一堂，較量彼此的駭客技術；最終是由台灣駭客年會的「HITCON 217」戰隊，以極大的比分差距毫無懸念奪得第一。尷尬的是，由上海交大等知名大學所組成的戰隊，第2到7名積分「全部相加」還比不上一支台灣戰隊。



▲「百度盃」大賽寶貝。（圖／BCTF）

由百度主辦、中國清華大學與北京大學提供技術支持的「百度盃全國網絡安全技術對抗賽」，從3月8日開始進行第一波競賽，一共有368支駭客戰隊、超過1500人報名。在經過激烈的初選後，由上海交大學生組成的Oops戰隊與台灣大學「HITCON 217」暫居第一、二名。



▲台灣戰隊拿下冠軍。（圖／紫金江寧科技創業特別社區）

「HITCON」其實是「Hacks In Taiwan Conference」的意思，中文名為「台灣駭客年會」，是由台灣的電腦駭客們所組成的強大組織。「百度盃」決賽5月2日、3日在南京舉行，進入決賽的一共有8支隊伍。最終由台灣的「HITCON 217」以17685.13的不可思議分數奪得駭客冠軍，上海交大Oops團隊以5437.68的分數拿下第二。接下來分數越來越懸殊，第8名的「無名」團隊僅拿到897..39的積分。



台灣駭客年會可以說是一戰成名，2014年是HITCON成軍以來的第十年；這次去中國大陸以如此懸殊的比分搶走冠軍，恐怕讓大陸駭客的心情有些複雜。

[MiniFoot]

來源：http://www.ptt.cc/bbs/Gossiping/M.1399312278.A.677.html

作者 seanwu (sean) 看板 Gossiping
標題 Re: [新聞] 「百度盃」駭客大賽　台灣打敗中國網軍！
時間 Tue May 6 01:51:15 2014

來點決賽的掛XD

這次決賽有六個服務要攻擊/防禦 (php*1，python*1，binary*4)

比賽時間 第一天 8hr + 離線分析時間 16hr + 第二天 8hr

要做的事情是利用服務的漏洞拿到放在別人主機上的 flag (每5分鐘會更新)

======

比較有看頭的應該是 fungame 這一題，是個用 php 寫的網站

裡面大概有 10 個漏洞，所以很容易有沒找到的部份，

再加上 php 的分析比較簡單，所有隊伍都有足夠的能力去找出/修補這些漏洞

攻防比較激烈一點，我們在這題也被打了好幾次


再來就是關鍵的 secret_guard 了

由於多人打同一人時得分會平分，先手會有非常大的優勢

這題我們大概爽爽刷了半天，第二名上海交大的 0ops 才接著跟上

另外，這題是 ELF64 binary，簡單來說就是只有執行檔，沒有原本的程式碼

一部份的隊伍沒有直接修改 binary 的技術... 只能放著挨打

(不過他們還是靠著 replay 我們的封包做出攻擊 XD)

此外，比賽分兩天絕對不是讓你好好睡一覺 ....

我們花了整個晚上分析 hrms 和 jas，寫攻擊腳本，第二天一早馬上打一波

負責 web 的隊員也很猛，他一個人把 fungame 所有漏洞都補上了 ...

======

補點比賽中的趣事

* 有人上傳 flag 的腳本被注入 rm -rf，結果就回飯店拿備用筆電了

* 第一天結束後有隊伍跑去別人家插線開 sniffer，第二天好像還撈到幾次 flag

* 不少隊伍 ban 我們的 IP，但我們用其它隊伍當跳板照打kerker

* 有隊伍直接把所有流量導去別隊，這樣中招的就是別隊了，有夠北爛

最後，揪團打 Defcon 初賽啊啊啊!!


推 aa874125:對岸似乎酸比賽水準太低，這個才夠看 http://ppt.cc/kX7g 05/06 03:11

這個確實是了不起的成果，他們是靠這個吃飯的專家 XD
我們幾個業餘還是打打CTF就好...
對我來說，這次比賽比較像電競活動啦, 玩得爽就好了
我不是做資安的，那個就交給專業的去

HITCON 是很厲害的資安團隊，這次掛了他們的名字沾點光
我們 217 大部份的隊員都不是幹這個的 (除了web大大)
打比賽好玩就好，但實務的資安工作不是我們的專長 :）