“天府杯”2019国际网络安全大赛

比赛介绍

/ Contest descriptions
地点:
成都
形式:
攻防
初始权重:
0.0
赛事权重:
0.0
当前评分:
5分 (0人)
评价截止时间:
Dec. 1, 2019, 5 p.m.
官方链接:
http://www.tianfucup.com/
时间:
Nov. 16, 2019, 12:10 a.m.——Nov. 17, 2019, 5 p.m.

比赛详情

/ Contest details

    “天府杯”国际破解大赛以逐步打造属于中国自己的“Pwn2Own”为目标,将设置三个独立并行的比赛项目,原创漏洞演示复现赛、产品破解赛和系统破解赛。所有战队均需使用原创漏洞进行赛题破解。比赛奖金总额将达100万美元,努力打造一场网络安全技术盛宴。

    破解大赛分为三个赛项:原创漏洞演示复现赛、产品破解赛和系统破解赛。三个赛项的比赛相互独立,同步举行。其中,原创漏洞演示复现赛及产品破解赛要求各报名队伍报名时即选择赛项和赛题,系统破解赛则为开放性赛项,在比赛现场提供给感兴趣的队伍或个人进行破解。参赛队伍在报名时,只能在原创漏洞演示复现赛和产品破解赛中选择一个作为参赛项目,不能同时参加两个赛项的比赛。同一单位可委派多支队伍同时参赛。

    原创漏洞演示复现赛。所有报名参赛队伍提前向组委会提交最少1个自己掌握的高危原创漏洞执行效果演示视频,组委会在回避制度(参赛队伍相关专家回避)下,组织裁判组(含厂商背景专家)选取10-20个原创漏洞作为入围漏洞,并对每个入围漏洞确定奖金额度,提前准备现场复现所需要的相应软硬件设备。提交入围漏洞的队伍现场演示掌握的原创漏洞利用效果,时间为5分钟。其他队伍可选择对演示的漏洞进行现场复现,复现时限为24小时以上(比赛17日下午15:00截止前可随时申请进行复现效果演示)。若出现两支以上队伍申请复现同一漏洞,可由裁判组根据现场准备好的复现必须的软硬件设备条件,确定复现队伍数量。确定原则遵循先到先得,若两支或两支以上队伍同时申请复现,则由申请队伍分别向专家组陈述复现思路,原则上选择复现思路与演示队伍思路不同的队伍优先进行复现。若申请队伍复现思路相同,则采用抽签方式确定复现队伍。复现成功且质量最高(综合考虑用时、手段等多种因素,具体由裁判组进行判定)的队伍获得赢取奖金的权利。其他队伍若完全采用了不同的技术路线和手段也成功实现了复现,可由裁判组讨论确定给予赢取奖金的权利。最终,由漏洞演示队伍、复现质量最高的复现队伍及采用不同技术路线和手段实现复现的队伍一起等比例拆分获得该漏洞对应奖金(如,某漏洞经裁判组确定奖金额度为6万美金,现场有1支队伍以最高质量实现了复现,且有1支队伍采用不同技术路线实现了复现,则漏洞演示队伍与上述2支队伍,每队获得1/3额度的奖金,即2万美元)。若没有队伍申请复现或没有队伍成功实现复现,则该漏洞对应奖金额度由演示队伍单独获得。建议并鼓励每支参赛队伍提供难度较大的高危原创漏洞,保证自己单独获得漏洞对应奖金。每个漏洞均将在比赛场地设立独立的复现区域,漏洞演示队伍在复现过程中不得与参与复现的队伍进行交流和提示,一经发现,取消漏洞演示队伍获得漏洞奖金的权利。

    产品破解赛。组委会按照题目难度大、漏洞影响范围广、对我国有特殊影响、体现网络安全发展趋势等原则,设置包含PC端、移动端、服务器端、IOT设备等在内的19道破解题目。由各参赛队伍进行现场破解,各参赛队报名时需确定要破解的题目。每队拥有3次破解机会,每次不超过5分钟,破解成功获得相应奖金。若不同队伍采用不同的技术路线和手段成功实现同一题目的破解,经裁判组确认可均分奖金。若采用技术路线及手段相同,则破解质量最高(综合考虑用时、手段等多种因素,具体由裁判组进行判定)的队伍以两倍基数与其他破解成功的队伍均分奖金(如三支队伍A、B、C采用相同漏洞成功破解了4万美金的一个赛题,其中A的破解质量最高,则A、B、C按照2:1:1的基数比例均分奖金,A队获得2万美金,B、C两队各获得1万美金;如四支队伍A、B、C、D,其中,A、B、C采用相同漏洞,D采用不同漏洞,均成功破解了4万美金的一个赛题,则A、B、C首先和D均分奖金,D队获得2万美金,A、B、C三队中,A的破解质量最高,则A、B、C按照2:1:1的基数比例均分另外一半奖金,即A队获得1万美金,B、C两队分别或得5千美金。)。此外,队伍在不同参赛项目中使用的安全漏洞不能重复,不得使用已公开漏洞,否则将判定挑战项目失败。题目涉及产品可包括以下内容:

    虚拟化软件包括:VMware Workstation(VMware ESXi)、Linux KVM(qemu)、Virtual Box;

    操作系统软件包括:Windows server、Linux;

    浏览器软件包括:微软 Edge 浏览器、谷歌 Chrome 浏览器、苹果 Safari 浏览器;

    办公软件包括:MS Office系列软件、WPS Office系列软件、Adobe PDF Reader软件;

    移动智能终端包括:iPhone、小米、OPPO等最新款旗舰手机;

    IOT终端包括:智能路由器、智能音箱、充电桩。

    系统破解赛。系统破解赛为开放性题目,组委会设置一些工业场景的控制设备及题目在现场(不提前公布),参赛队伍可在现场酌情进行破解。

    (二)大赛奖金分配情况

    总奖金池100万美元中,90%奖金用于产品破解赛,剩余10%奖金用于漏洞演示复现赛,根据参赛队伍和漏洞提交等情况动态调整奖金分配比例。比赛将设置最佳漏洞演示奖、最佳漏洞复现奖、最佳产品破解奖(分一、二、三等奖)、最具价值产品破解奖。

    (三)产品破解赛赛题

    1.Targets: Microsoft Edge

    Equipment: Microsoft Surface Pro 5 (i7 16GB) System: Windows 10 19H1 Requirements: Use Edge to browse remote URL, control the browser or System. The browser will run within VMWare Workstation, 8GB default memory.

    Prizes:

    RCE: $30000 RCE + Sandbox Escape: $120000

    2.Targets: Chrome

    Equipment: Microsoft Surface Pro 5 (i7 16GB) System: Windows 10 19H1 RequirementsRequirements: Use Chrome to browse remote URL, control the browser or System. The browser will run within VMWare Workstation, 8GB default memory.

    Prizes:

    RCE: $40000 RCE + Sandbox Escape: $100000

    3.Targets: Safari

    Equipment: MacBook Pro 2016 13-inch System: Mac OS Requirements: Use Safari to browse remote URL, control the browser or System.

    Prizes:

    RCE: $30000 RCE + Sandbox Escape: $50000

    4.Targets: Microsoft Office (Office 365 ProPlus)

    Equipment: Microsoft Surface Pro 5 (i7 16GB) System: Windows 10 19H1 Requirements: Use the Office documents that had been copied to the VM to control Microsoft Office software and System. Microsoft Office will have Protected View enabled and the document will be downloaded from internet, run within VMWare Workstation. The type of Office documents can be Microsoft Word or Excel.

    Prizes:

    $80000

    5.Targets: Adobe PDF Reader

    Equipment: Microsoft Surface Pro 5 (i7 16GB) System: Windows 10 19H1 Requirements: Use the PDF documents that had been copied to the VM to control Adobe PDF Reader or System. Adobe PDF Reader will run within VMWare Workstation, 8GB default memory.

    Prizes:

    $30000 RCE + Sandbox Escape: $70000

    6.Targets:Oracle VirtualBox

    Equipment: Microsoft Surface Pro 5 (i7 16GB) System: Windows 10 19H1 Requirements: Run certain programs to penetrate through and escape from the VM system, control the host’s operating System.

    Prizes:

    $10000

    7.Targets:VMware Workstation/ESXi

    Equipment: Microsoft Surface Pro 5 (i7 16GB) System: Windows 10 19H1 Requirements: Run certain programs to penetrate through and escape from the VM system, control the host’s operating System. Choose one target between VMware Workstation and VMware ESXi. ESXi requires the contestant to get the root permission of the host OS.

    Prizes:

    VMware Workstation Escape: $60000 VMware ESXi Escape: $200000

    8.Targets:Ubuntu + qemu-kvm

    Equipment:Microsoft Surface Pro 5 (16GB) System: Host: Ubuntu Use the command “sudo apt-get install qemu-kvm virt-manager” in the host and use default configurations to install the guest system. Guest: Ubuntu Requirements:Run certain programs to penetrate through and escape from the VM system, control the host’s operating System.

    Prizes:

    $100000

    9.Targets: iPhone 11 Pro + iOS 13

    System: iOS 13 Requirements: Use iPhone 11 Pro to browse remote URL, control the System.

    Prizes:

    RCE: $100000 Remote Jailbreak: $250000

    10.Targets:Windows Server 2019

    Equipment: Microsoft Surface Pro 5 (i7 16GB) System: Windows Server 2019 Requirements: Run certain program as an unprivileged user to escalate privilege and run command as Administrator. The OS will run within VMWare Workstation, 8GB default memory.

    Prizes:

    Local Privilege Escalation: $10000

    11.Targets:Ubuntu 19.10/CentOS 8

    Equipment: Microsoft Surface Pro 5 (i7 16GB) System: Ubuntu 19.10/CentOS 8 Requirements: Run certain program as an unprivileged user to escalate privilege and run command as root. The OS will run within VMWare Workstation, 8GB default memory. Choose one target between Ubuntu 19.10 and Centos 8.

    Prizes:

    Local Privilege Escalation: $20000

    12.Targets:D-Link DIR-878

    Requirements: Achieve code execution on the remote device from LAN.

    Prizes:

    $5000

    13.Targets:TP-Link WDR7660

    Requirements: Achieve code execution on the remote device from LAN.

    Prizes:

    $5000

比赛积分榜

/ Scoreboard
暂无记录