首页
服装论坛t.vhao.net
专栏
课程

[戍守篇]2019 KCTF Q2 征题正在炽热停止中!积分规矩严重年夜更新,快来看看吧~

2019-4-30 10:44 2115

[戍守篇]2019 KCTF Q2 征题正在炽热停止中!积分规矩严重年夜更新,快来看看吧~

2019-4-30 10:44
2115

2019 KCTF Q2  征题正在停止时!


一、活动时间

2019年6月10日~待定


2、活动地点

看雪CTF 官方网站:https://ctf.pediy.com/


3、主办方



四、比赛赛制


本届看雪CTF团队赛为线上赛,由服装论坛t.vhao.net会员自在构成攻、防两方团队,每个团队人数不逾越 5人。由戍守方出题,进击方夺旗。


攻防团队经过过程升级赛,争夺决赛名额。升级赛共有三场比赛,分别为Q1、Q2、Q3。更详细的比赛关系,戳:

http://527yb.com/thread-249064.htm


戍守篇提交标题:



1、 提交标题


参加戍守的团队,每个团队须要供给一个戍守标题到征题平台(2019 看雪CTF提交区http://527yb.com/forum-122.htm),评委审核经过过程前方可作为戍守方参赛,审核成果在进击赛开端前一天公布。

升级赛阶段(Q1、Q2、Q3),每个戍守方团队可以提交多题,但本赛季仅可参选1题。



2、 比赛规矩


每个赛季,评委选出6~8题参赛;

比赛开端时(3月10日、6月10日、9月10日)正午12点,一切标题同时放出来。

比赛时间为1-2周,共14天停止。

升级赛阶段三个赛季,每季的第一名可直接升级总决赛。三季累计排名前6名戍守者成功升级总决赛(若曾经直接升级或弃权,顺次往后排),比赛终究大年夜奖!



3、 全新积分规矩


戍守方得分=该题难度分=出题基本分+难度系数*难度加权分


留意:戍守题难度分是根据选手提交flag的情况而急速更新的,以表现各题之间的相对难度。是以每道题的分数都能够会产生变更。比赛停止时的分数将决定终究比赛成果。



(1)出题基本分50分


(2)难度系数


a. 每道题的原始难度系数=-log(k*sigma(1/Bi)),个中k是此题被破解的次数,Bi是此题的被破解时间,i从1到k。


b. 将每道题的原始难度系数经过过程线性归一化到[0,1],即取得每道题的难度系数。(在决赛中,还没有开端比赛的戍守题,暂计其原始难度系数为1,以便归一化)


c. 规矩简单解释为:

i. 最简单的题难度系数为0,最难的题为1。

ii. 被破解次数越少、被破解时间越长的戍守题,其难度系数越大年夜。


d. 特别情况:


i. 一血加分

一血加分=此题难度分*20%

若此题没有进击者攻破,即一血加分归出题方。


ii. 多解罚分

多解罚分=此题难度分*20%

假设戍守题被发明多解,则给出题方1次修改机会,并扣除多解罚分。

从平台发明多解开端24小时内,未完成修改,则下线退赛。

若修改后又多解,则下线退赛。


征题解释


1、征题范围
PWN、CrackMe(Windows、Android)、WEB、智能硬件等相干标题。


2、征题数量
将从征集的标题里抽选出必定命量较为优良的标题来参与看雪CTF 2019团队赛,其他符合规矩的标题将录入平台数据库备用。


3、征题克日
2019年1月31日~2019年12月31 日


4、征题请求

A.  一切标题必须是原创并且没有地下过。

B.  戍守方应打包提交以下内容:

团队称号、团长QQ、参赛标题、标题答案(进击脚本)、详细的标题设计解释和破解思路和其他须要解释的各个成绩。提交材料不完全的不予经过过程!


5、标题规矩


(1)关于PWN的设计规矩


设计一个存在马脚的法式榜样。

马脚包含不限于客栈溢出、UAF、DOUBLE FREE、OFF BY ONE、格局化、逻辑缺点等马脚。

供给稳定的马脚应用EXP,进击者根据马脚进击成功后能取得flag,flag格局flag{***}。


(2)关于Window平台CrackMe设计规矩


关于注册码

A. CrackMe应有且唯一唯一注册码,除给定的注册码外,在该标题停止前,进击者每提交一个不合的精确的注册码,戍守方的分数将被扣分200。CrackMe的注册码只能由数字、字母构成,可所以纯数字或纯字母,也可所以字母和数字组合,不准可有其他字符。不准可将注册码绑定硬件ID。


B. CrackMe界面

参赛CrackMe界面必须有且唯一注册码输入项,例如类似的(界面仅供参考,可所以控制台):

┍━━━━━━━━━━━━━━━━━━━┑

│          ┌──────┐           │

│  Serial:             │           │

│          └──────┘           │

│    看雪CTF2018               │

┕━━━━━━━━━━━━━━━━━━━┙


C. CrackMe输入

 1) CrackMe在没有被附加调试的情况下运转时,第一次运转时输入精确注册码,必须显示成功提示信息,若是重启验证的,在重启后必须显示。

 2) 在CrackMe没有被修改且没有被其他法式榜样搅扰的情况下,只需输入了注册码,显示了成功信息,则认为该注册码是精确的,不然设计不公道。


D.  CrackMe输入显示

1) 注册成功,要出现成功提示信息。

2) CrackMe里不准可出现虚假的注册成功提示信息。


算律例则

A. 不鼓励穷举

在以后技巧条件下,序列号从实际上讲,是可逆或可求出来的,假设破解者必须经过过程穷举才能取得注册码的,设计文档里必定要描述清楚,并且将穷举代码和法式榜样发给评委验证。评委验证时,假设穷举时间逾越5分钟则不经过过程,别的假设CrackMe的启动时间逾越10秒也不经过过程,须要前往修改,每次比赛每个提交的标题有两次验证机会。


B. 其他限制条件

一切参赛 CrackMe 必须可以在WIN7/32、WIN7/64、WINXP个中一种体系精确运转。 

一切 CrackMe 弗成应用第三方保护对象来保护CrackMe,例如第三方壳和VM.,许可用本身未公布的壳或vm或其他手工处理的办法来保护法式榜样,但必须将保护该CrackMe所应用的壳或VM或其他手工处理的办法与CrackMe一同提交,评委审核经过过程前方可参赛。所提交的壳或VM或其他手工处理的办法将在赛后向广大年夜会员地下。凡背背该比赛规矩的CrackMe将作废,设计该CrackMe的会员将撤消本届比赛的参赛资格。

一切的CrackMe履行后,不克不及搅扰破解者正常应用电脑(比如封闭显示器、禁用键盘鼠标、关机、暴力占用内存cpu资本使电脑逝世机、破坏电脑文件等类似操作不准可),但许可采取技巧手段封闭调试器,防止破解者破解。 

一切CrackMe设计的整体准绳是绿色安然,弗成含木马或 rootkit,没有任何风险或恶意法式榜样,不克不及对体系停止破坏,可以正常停止,停止后不克不及给体系留下渣滓(比如临时文件要删除,驱动要卸载干净),弗成使体系重启。

CrackMe假设有任何风险或许恶意行动,ban ID。假设有杀软或许360等安然软件报CrackMe有异常的行动,评委有官僚求参数选手解释。 

CrackMe 弗成以联机到搜集,或应用办事器注册,CrackMe必须可以在单机运转。

所提交的参与CrackMe运转的文件包含.exe.dll.sys等一路在不打包紧缩的时总大年夜小不逾越1M。

假设评审有困惑,例如困惑加壳假装,可以请求部队供给CrackMe 的源码。

假设评审认为 CrackMe 应用了不公道的设计,或背背比赛精力,便会剖断CrackMe有效,撤消奖品,并把参赛者提交的技巧文件,在服装论坛t.vhao.net地下,让会员地下评论辩论。


(3)关于Android/iOS平台CrackMe设计规矩


参考Windows平台规矩,确保CrackMe能在罕见移动端稳定运转,标题打包紧缩后不得逾越3M,不建议采取LLVM保护。


(4)关于WEB标题设计规矩


设计一个存在WEB马脚的WEB法式榜样

马脚包含不限于注入、敕令履行、文件上传等马脚

进击者根据马脚进击成功后能取得flag,flag格局flag{***}


(5)关于智能硬件PWN设计规矩


设计一个可以运转于模仿器如qemu中基于uboot的arm32位法式榜样。

该法式榜样可以或许经过过程uboot引导并稳定履行。

该法式榜样可设计为存在马脚法式榜样、crackme法式榜样等。

参赛者可以解题成功后取得flag{*********}。

设计者需供给可以运转设计法式榜样的qeum版本信息、和让uboot成功运转起来的须要信息(如模仿的目标板、内存等等)。

设计者还须要供给曾经设计好的uboot二进制文件、比赛法式榜样、和解题思路及答案。


标题设计过程当中,不倡导用套娃式出题手段,套娃手段最多2层,逾越2层的,采取与否视标题质量由评委评论辩论决定。 


套娃式出题是一种出题方法,指戍守方在设计crackme时,请求进击方必须次序破解多个困难才能取得精确序列号,且这些困难之间缺乏内涵接洽关系。这些困难之间唯一的接洽是:假设没有成功破解前一个困难,就没法看到后一个困难的完全代码或数据,没法展开分析。除此以外,前序破解任务不克不及为后序破解任务供给任何赞助或线索。本质上就是强迫进击方破解多个不相干的题。 


典范的套娃式出题有:

1) SMC,即必须应用前一个困难的解题key才能精确解密下一个困难的代码;

2)前一个困难的解题key,是下一个数学困难弗成或缺的关键参数。



[推荐]看雪企服平台,供给安然分析、定制项目开辟、APP等级保护、渗透渗出测试等安然办事!

最后于 2019-4-30 10:59 被kanxue编辑 ,缘由:
上一主题 下一主题
最新答复 (2)
朱年吉祥 2019-4-30 11:21
2
1
good
qiujinan 1天前
3
0
支撑一下,顶一个
旅客
登录 | 注册 方可回帖
前往