7月17日,第二届云靶场挑战赛线上热身赛积分榜正式对外公布。老牌战队Nu1L依靠稳定发挥解出12题、以总积分6126分位列榜首;来自中国科学院信息工程研究所的NeSE战队及美国的DiceGang战队分别位列第二、第三名。
(图:第二届云靶场挑战赛线上热身赛前20名积分排行榜)
本次大赛由GeekPwn携手腾讯安全云鼎实验室联合举办,聚焦提升“云上安全”系数,探索云安全的前沿发展趋势。自报名启动以来,本届热身赛共计吸引了来自海内外328支包含在校生、事业单位、上市公司、安全企业的从业者战队报名参赛,其中不乏有Nu1L、r3kapig、NeSE、0ops、天枢Dubhe等传统强队。
赛制升级、强化实战、凸显对抗,云靶场内上演“真刀真枪”对决
作为GeekPwn 2020云安全比赛的首个赛事,本次热身赛延续首届真实通用云环境的基础上,全面覆盖云计算“全栈”环境,直接将现实网络空间的威胁映射成赛场上激烈的攻防博弈,全方位验证和提升参赛选手的实战能力。
在赛题设计方面,主办方全新采用CTF赛制,即选手通过寻找并破解主办方预设的赛题,获得对应题目的分数。其中赛题涉及Pwn、逆向、web等题型,具体包含 Misc、Pwn、Re、Web四个方向共计16道题。灵活的赛题、紧张的赛制,不仅吸引更广泛选手的参与,而且还考验选手在实战状态下的技术实力。
最具吸引的是,主办方针对云环境的安全技术特色首度增设“极限逃逸”单项奖,参赛选手须完全答对ChildShell、Vimu、EasyKernelVM、Kemu题即可获得该奖项。遗憾的是,截止比赛结束前,参赛的328支战队在Kemu题面前集体“哑火”。由此参赛选手无人解出四题获得这一今年特创奖项。
(图:极限逃逸奖提赛提交结果)
“云上”对决,各种神级操作秀翻全场
开赛之初,各支参赛队伍就摩拳擦掌。开赛仅13秒,“我是老司机”战队就完成签到(题),率先拿到全场第一个“一血”。而老牌战队Nu1L八小时内收获三个“一血”、率先提交首个“极限逃逸奖”题目之一“ChildShell”的Flag、以及率先挖掘rtmpdump赛题中的0day……依靠这些优势,最终Nu1L以6126分的优异成绩拿下本次线上热身赛的冠军。
当然,二、三名之争更是狭路相逢。NeSE虽然开赛之初表现“中规中矩”,但后期发力拿下 “EasyKernelVM”题的全场唯一“一血”。而来自美国的DiceGang黑马战队率先解出“PlayTheNew”一道Pwn的题,获得1000分,一度雄踞排行榜首位。最终,两支战队分别获得了第二、三名的好成绩。而在本次“参战”的大军中,还有一支刚结束高考完的一人团的特殊战队,拿到“cosplay!”题“一血”的白帽酱,技术实力同样不容小觑。
而对于本次线上热身赛,赛后各支参赛选手也给出相应的评价。位列第二名的NeSE战队表示:“这场比赛的题目难度整体错落有致,既有吊打老司机的神仙题,也有给新队员提振信心的良心题,期待接下来的决赛。”
再战“云上”!线下决赛+云安全开放赛双料来袭
目前,云靶场挑战赛线上热身赛已告一段落,但云安全比赛并未结束。据了解,本届云靶场挑战赛线下决赛将于2020年10月24日GeekPwn大赛现场举行,大赛评委将根据线上初赛的排名成绩、参赛队安全研究的背景资料等确定决赛团队。同时,在大赛现场采用多队云计算环境下安全攻防对抗的赛制,完全复现主流云平台的架构、技术和系统软硬件环境。
此外,为鼓励参赛选手对云计算设施的安全研究,提高云计算基础安全性,本届云安全比赛还设置云安全开放赛,主办方届时将公布典型云计算环境配置信息,包含云基础架构、上层应用等,选手可以在配置列表中选择研究目标进行弱点分析、挖掘未公开漏洞,报名参赛。开放赛具体比赛形式、环境配置等相关信息,参赛选手可关注GeekPwn官网最新发布的动态信息。