BCTF新赛季首轮战毕:Blue-whale勇夺冠

百家 作者:百度安全应急响应中心 2020-07-03 18:56:05 阅读:801

6月29日,BCTF新赛季首场线上公开赛拉开帷幕,本场比赛采用公开报名制,共有60余支队伍注册报名。最终来自产学研多个领域的16支战队成功得分,经过12小时的“云”角逐,Blue-whale战队以1069分的战绩拿下冠军席位。


参赛战队得分趋势图


16支战队首次云竞技 全新赛制通过实战检验


BotCTF的赛制设计以自动化程序为中心,全程线上参赛。参赛战队通过主办方提供的统一接口参与答题。对于已通过BotHub托管的自动化程序, 在比赛期间由主办方代为运行参赛,不需要战队额外提供自己的运行环境。


本场比赛共设置15道赛题,包含5道PopCalc(AEG 自动化漏洞利用)和10道CrashMe (自动漏洞发现)赛题。PopCalc 赛题全部是栈溢出类型,赛题难度主要由gadget的限制决定,高分赛题对输入增加了约束条件。CrashMe赛题分别考察战队的漏洞发现工具对循环和状态机遍历的处理能力,以及在实际复杂程序中发现人为植入漏洞的能力。


Blue-whale是整场比赛唯一一支解出全部AEG赛题的战队。此次AEG赛题被全部解出,也进一步说明了战队的自动化漏洞利用能力已经发展地较为成熟。


护网先锋是累计解出两种类型赛题最多的战队。fcbot、DigApis等战队也表现优异,均排名前列。通过统计战队解题情况,我们发现不同战队之间的自动化能力分布并不集中,也意味着大家都有各自擅长的能力点。


参赛战队得分总排名


鼓励BotHub托管 促进社区交流


BotHub是一个自动化程序托管平台,可以理解为以bots为核心的GitHub,目的是为工具开发者提供实验场所,促进技术分享与交流。BotHub的目标是聚集代表行业领先水平的 bots,并成为衡量自动化能力的标准平台。


在本场比赛中,BCTF官网的BotHub页面,也单独展示了所有已托管bots的比赛排名。其中已托管的#whoami战队获得CrashMe赛题的累计最高分。


在后续的所有BotCTF比赛场次中,主办方会代为运行BotHub中所有已托管的自动化程序,并通过其累计战绩进行综合排名,此排名将作为bots战队自动化攻防的能力标签。


CrashMe赛题Top 10战队得分排名


PopCalc赛题Top 10战队得分排名


构建Bots训练场 自动化工具发展未来可期


长期以来,自动化程序一直是作为人类CTF选手的辅助工具发展和成长的,因此其能力相较于人类选手还是有很大差距的。BCTF推出的自动化系列赛事BotCTF,赛题设计围绕漏洞发现和漏洞利用中的核心难点,集中考察战队的自动化工具能力。


在今年的赛季中,我们将联合全球顶级CTF赛事,推出一场BotCTF 表演赛,以此促进全球自动化工具能力的推广和交流。同时,在常规赛中表现优异的战队也会受邀参加今年的全球表演赛。


我们希望以比赛为契机,聚集全球范围内领先的自动化程序,并逐步形成一套专门衡量bots的自动分析和利用生成能力的标尺,为推动全球自动化漏洞发现及应用能力的发展作出贡献。




百度安全应急响应中心


百度安全应急响应中心,简称BSRC,是百度致力于维护互联网健康生态环境,保障百度产品和业务线的信息安全,促进安全专家的合作与交流,而建立的漏洞收集以及应急响应平台。地址:https://bsrc.baidu.com

长按关注

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

图库
关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接