由臺灣HITCON在10月20日~21日舉辦的線上解題形式(Jeopardy)的CTF比賽,也是全球搶旗攻防賽(CTF)聖殿DEF CON CTF新的主辦單位O.O.O.(Order-of-the-Overflow)所指定的第一個種子賽事,獲得種子賽冠軍的隊伍,可以直接晉級於2019年8月在美國拉斯維加斯舉辦的DEF CON CTF總決賽。
此次由波蘭強隊Dragon Sector獲得HITCON CTF線上解題比賽的冠軍,率先取得入圍2019年DEF CON CTF決賽的門票;2018年DEF CON CTF決賽冠軍隊伍的美國隊PPP,則獲得第二名;而臺灣新生代CTF戰隊BFKinesiS表現不俗,打敗全球將近一千八百個隊伍,獲得第三名的好成績。
臺灣新生代CTF戰隊BFKinesiS,在持續48小時的比賽中,甚至曾經名列第一名及第二名多時,臺灣HITCON CTF領隊李倫銓表示,BFKinesiS可以在這麼激烈的競爭下脫穎而出,也證明臺灣過去三年以來,從學校開始投入培育各種的資安人才,以及政府部門開始重視這類的資安競賽,也讓臺灣資安人才培育慢慢開始展現培育成果。
HITCON出題品質獲肯定,採用動態計分方式
李倫銓表示,這次HITCON舉辦的線上CTF解題比賽,全球總共有1,759個隊伍報名參賽,解出一題以上的隊伍則有1,118隊,報名隊伍比去年還多,很大部分的原因是開賽後,參賽隊伍肯定題目素質而有各種好口碑的口耳相傳,才能夠吸引其他全球更多資安團隊組隊參賽。
在2018年由全世界駭客隊伍評價第二高分的CTF比賽(分數高達98.32分),就是在臺灣所舉辦的HITCON CTF決賽,李倫銓指出,也因為臺灣HITCON高品質的題目和團隊優異表現,也讓今年10月舉辦的HITCON CTF線上比賽,成為2019年第一場DEF CON CTF冠軍賽的種子賽事。
此次HITCON CTF線上出題,總共分成Pwn、Rev逆向工程、Misc、Web以及Crypto加解密等五類題目,總共33題。這次大概有將近10人出題,出題成員之一的Angel Boy分析表示,這次的題目多數為Pwn題目,題目種類繁多,不只有樂高機器人ev3的題目,還有一個只有一行的PHP題目,就是網路高手Orange Tsai出的題目。
至於,其他的題目也頗具巧思,像是Super Hexagon題目則有6層,把ARM的Trustzone機制出成比賽的題組,從第一層User Mode權限,層層題高到第六層Secure el3。他說:「HITCON CTF比賽應該是第一個把Trustzone機制,出成CTF比賽題目。」而已經鮮少參加CTF比賽的天才駭客Geohot也罕見報名參賽,也解了樂高機器人的題目;另外也有一題Windows Heap的題目,目前沒有任何隊伍解開。
除了比賽題目的類型多元且具有深度外,李倫銓也指出,HITCON CTF線上解題採用動態計分,一個題目解題的人多,分數就會動態變低,所有也有很多參賽隊伍都會在IRC聊天室要求HITCON CTF主辦單位不要給予任何提示,分數才不會分散掉。
由臺大Balsn、交大Bamboofox、中央大學DoubleSigma以及中科院Kerkeryuan CTF戰隊等四隊聯軍組成的BFKinesiS,這次獲得第三名的好成績。發言人也是Balsn創隊隊長陳盈伸表示,原本和BFS隊長陳威甯預估名次,如果可以有前十名就已經很了不起,但這次比賽中間還一度第一名,比賽成績超出預期,大家都覺得很開心。
BFKinesiS聯隊成員、中央大學DoubleSigma隊長張元表示,這次Pwn題目都非常的新穎有趣,有很多架構題,例如:abyss I、II、III這三題其實都是同一題KVM的題目,第一個Flag是user.elf的漏洞,第二個Flag要打進核心(Kernel)才拿得到,第三個Flag則要打進Hypervisor,需要一層層打出去。
張元自己解了abyss I、II兩題後,和隊友討論ioctl思路正確,可惜沒能在比賽結束前解出來,有點小遺憾。不過,他印象最深的則是,比賽中後期,個人首殺一題32 World,團隊成績一度衝上第一名,大家都很興奮。他也認為,經歷DEF CON CTF資格賽和決賽的歷練,團隊成員這次在HITCON CTF線上比賽默契越來越好,非常感動。
熱門新聞
2024-12-16
2024-12-16
2024-12-16
2024-12-16