第三届XCTF联赛总决赛规则抢鲜看,听说入围战队可带着AI帮手一起来PK

  XCTF联赛小秘       2017-07-19 21:38:16 592  2


第三届XCTF联赛从去年11月底揭幕战HCTF之后,一路伴随着大家走过,这个赛季即将进入尾声,也将马上迎来最强赛站,武汉站WHCTF(8月12-13)、新加坡站HITB GSEC CTF(8月24-25)、九月份的总决赛(9月中旬),还有为期21天的第二届XMan夏令营等你来体验(7月31日-8月20日)


在本赛季已结束的几站赛事中,XCTF联赛共计发出6张总决赛入场券,未来,武汉站及新加坡站将各有一个总决赛名额,除了外卡赛入围的8个名额外,总决赛还将邀请本年度联赛积分榜排名靠前的5支队伍(已获得外卡的除外),以及排名靠前的3支国际队伍,共计16支战队入围总决赛。


今年的总决赛XCTF Finals 2017较前两年会有赛制上的创新,最大的创新就是AI和类似CGC(网络超级挑战赛)赛制的引入,由于受限于大赛资源条件、国内CTF战队对自动化攻防的研究实力等各种原因,涉及到AI的部分赛制内容和会CGC有所区别。

首先,在平台方面,此次总决赛会使用真实未经阉割的Linux操作系统,同时使用存在漏洞的二进制网络服务和Web应用。

其次,AI在第一天会作为每只队伍的先行军,完全自动化的进行漏洞的发现,而队员只有在AI造成漏洞程序的崩溃或指定信息泄漏后,相应题目才会对AI所属的这支战队开放。即在各个队伍和AI帮手的网络环境实现隔离的情况下,各队AI实现独立的漏洞发现后,之后的漏洞利用环节人类选手才可以介入。

最后,总决赛的第二天,允许战队成员在获取AI的反馈结果后对AI进行调校,同时各队网络环境开放,AI可以配合选手进行攻防操作。


XCTF Finals 2017

主办方:国家创新与发展战略研究会

总体承办:赛宁网安 

命题组织:蓝莲花战队

协办方:清华大学 (网络研究院网络空间安全研究室)

赞助商:百度安全、360、蚂蚁金服AFSRC、启明星辰ADLab                   

比赛平台:XCTF-OJ实训平台、XCTF-AD攻防平台

赛制规则:

1. 通过第三届XCTF国际联赛各站选拔赛选拔16支国内外战队入围总决赛,每支战队现场参赛人数不超过4人,每支战队需自主开发AI辅助自动化漏洞挖掘工具,在比赛现场服务器部署AI工具,配合战队一同参与XCTF Finals 2017。

 2. XCTF Finals 2017赛程为北京时间9月中旬两天,举办城市为北京,每天比赛从09:00至17:00,其中Day 1采用AI工具独立地自动化进行漏洞发现与挖掘、人类战队基于AI工具发现漏洞信息进行漏洞利用的解题(Jeopardy)赛制;Day 2采用AI工具辅助战队进行互攻互守的攻防(Attack & Defense)赛制。

3. 主办方命题,Linux指定发行版本上共计X道二进制服务漏洞挖掘与利用(Pwn)作为Day 1解题赛赛题,每个赛题的基准分均为1000分,分漏洞检测环节500分和漏洞利用环节500分,采用动态计分制(即队伍解题越多,则分值越低,该题得分=500/(解出队伍数量+9)*10)。主办方根据Day 1各赛题解题情况选出一些题目,并补充2-3道新题目(Web+Pwn),共Y道赛题环境,进入Day 2攻防赛。

 4. Day 1解题赛规则

(1)每道赛题部署多个虚拟机服务器实例,在比赛平台的赛题描述中提供虚拟机服务器实例地址列表和状态,同一时间主办方通过运维尽量保证2个及以上实例可用。但每个实例存在访问限制,选手应先尝试本地测试,测试成功后向服务器发送测试流量。

(2)AI工具和战队独立隔离参赛(战队对自己AI工具部署服务器唯一可进行的操作,是要求主办方限定次数(如三次)以内的reboot服务器),各自携带主办方赛前分配的token对赛题环境进行访问,战队接入网段不允许访问自己和其他队伍的AI工具部署服务器。

(3)战队接入网段初始状态无法访问任何一台赛题服务器,对比赛平台上所有赛题也都无法查看。

(4)AI工具接入网段则可以访问所有赛题服务器,并对于二进制服务漏洞挖掘赛题可通过比赛平台下载到赛题二进制可执行文件。

(5)AI工具需要自动化地从比赛平台获取赛题描述、赛题二进制可执行文件、赛题环境服务器IP/Port;通过AI工具的自动化分析尝试触发漏洞点,二进制服务漏洞触发以PoC输入样本可触发赛题环境服务的Crash崩溃或泄露特定信息为检测条件,当某战队的AI工具成功触发某个赛题漏洞点,则获得该赛题的动态分(如1个队伍解出,则为500分,需考虑解题赛和攻防赛的平衡问题),并开放对应战队对该赛题描述和服务环境的访问权,同时战队可获得触发赛题漏洞点的PoC输入,进行后续漏洞利用环节。

(6)战队如成功对赛题漏洞点进行利用并获得Flag,则获得该赛题漏洞利用环节的动态分(同样以500分为基准分)。

(7)解题赛结束后,以每支战队得分情况加上攻防赛基准分Y * 500分作为第二天攻防赛每个战队的初始分。

 5. Day 2攻防赛规则

(1)根据赛题解出队伍数量(解题队伍最接近6个,主办方有权调整选择方案)选择赛题,第二天补充2-3道赛题,共计Y道题目进入Day 2攻防赛,Day 1赛后即对所有战队开放赛题描述、二进制文件等,每支队伍拥有一套独立的赛题环境,进行相互的攻防操作。

(2)队伍和AI工具配合进行漏洞挖掘和利用,队伍可以访问AI工具所在的系统并对AI工具进行调校、结果分析,利用AI工具发现的漏洞进行攻击利用和修补防御,也允许队伍人工进行漏洞挖掘。

(3)攻防赛各战队初始分值为基准分Y * 500分加上解题赛得分,采用传统“零和游戏”规则,每5分钟一回合,如战队某个服务被攻陷被窃取Flag,则扣除30分,由其他获得并提交Flag的战队平分;如战队某个服务Checker异常,则同样扣除30分,由其他该服务正常的战队平分;每个回合结束后计算该回合得失分情况,并按轮更新战队分值和排名。

(4)对于每个队伍的每个赛题,设置最多可扣分值为 500分+解题赛该题得分 (500 - 1500分)分值,如扣完则该赛题不再失分,其他队伍也无法从该队伍该赛题得分。

 6. 主办方基于token对队伍流量进行审计,如发现违反规则的访问或者可疑的作弊行为,不允许攻击比赛平台和网络影响比赛正常进行,调查证实后将对战队进行警告甚至取消比赛资格。

 7. XCTF Finals名次以最终比赛得分进行排名,决出冠军(1st Place Winner)、亚军(2nd Place Winner)、季军(3rd Place Winner),一等奖(Meritorious Winner,3队),二等奖(Honorable Mentions,4队),总决赛入围奖(Final Participant 6队)。




已入围战队及有望入围的战队赶紧准备起来吧,后续主办方也将提供平台API接口供AI工具交互和FAQ,如有疑问请联系沟通 xctf@xctf.org.cn。




第三届XCTF国际联赛


主办方:国家创新与发展战略研究会


总体承办方:南京赛宁信息技术有限公司


发起与总体组织方:蓝莲花(Blue-Lotus)战队


联赛竞赛技术战略合作伙伴:赛宁网安、永信至诚




赛事的精彩是因为有你们的热情参与,赛事的保障是因为有技术人员的幕后付出,而赛事的顺利开展还要感谢我们的赞助商、合作伙伴!


第三届XCTF联赛自筹办以来一直得到众多企业和合作伙伴的支持,这里要特别感谢XCTF联赛白金赞助商:百度安全、360;金牌赞助商:蚂蚁金服、启明星辰。


赞助商征集:maly@cyberpeace.cn



请先登录
+1 已点过赞
2
分享到:
登录后才能发贴或参与互动哦! 点击登录

全部评论 (4)

wangheng 2017-07-25 22:49:30
第一篇留言,占个位置
回复
请先登录 0 +1 已点过赞
star652814 2017-07-26 21:09:47
第二,站个板凳,积分,试试有没有
回复
请先登录 0 +1 已点过赞

evilsss @ star652814 2017-07-26 22:08:58

哈哈 ,留言给金币下周才开通,现在写反馈、投稿都是有的哦 :)

回复
请先登录 0 +1 已点过赞

star652814 @ evilsss 2017-07-26 22:13:53

好吧

回复
请先登录 0 +1 已点过赞
star652814 2017-08-02 14:39:26
积分,试试现在有积分了吗?
回复
请先登录 0 +1 已点过赞
youngcraft 2017-08-06 12:52:52
话说API如何获取
回复
请先登录 0 +1 已点过赞

XCTF联赛小秘 @ youngcraft 2017-08-06 15:17:34

https://www.xctf.org.cn/xctf/rule/,看看这里

回复
请先登录 0 +1 已点过赞