競賽規則

挑戰賽一
CTF (Capture The Flag) 解題賽 2024

關鍵日期和時間 :

2024 年 8 月 17 日 | 線上賽

時間: 開始競賽時間將以電郵通知各隊伍,如8月16日前未收到電郵通知,請聯絡大會

語言: 比賽系統及問題將以英文進行

競賽介紹 :

CTF 是目前國際上較為流行的資訊安全競賽形式,其英文名為“Capture The Flag”,中文一般翻譯為“奪旗賽”。 CTF 比賽是將典型的有缺陷的網路環境抽象化成對應技術點和應用的賽題,並透過預置Flag 的方式來驗證選手是否可以分析場景,解析漏洞並利用漏洞,以此來考驗選手們網絡安全技術的實際掌握情況。比賽過程中,隊伍內成員透過協同進行程式分析等形式,率先從主辦單位給出的比賽環境中得到一串具有特定格式的字串(一般稱為Flag值)或其他內容提交給平台,從而獲得分數。

比賽內容 :

比賽將使用由Check Point 提供的防護平台根據題目指示找出攻擊的痕跡。比賽將會以情景方式進行,參加者必須完成上一條題目,才能解答下一題題型涉及不同類型, 包括但不限於:

  • 弱加密演算法
  • 本機檔案包含
  • 橫向移動
  • 漏洞利用
  • 特權提升
  • 埠掃描
  • Linux核心
  • 檔案分析
  • SQL注入式攻擊
  • 後設資料分析
  • 遠端檔案包含漏洞
  • 目錄枚舉
  • 蠻力攻擊
  • PCAP分析

競賽規則 :

  • 競賽開始前,請參賽者提前測試線上競賽平台網路連結性、驗證競賽系統帳號及密碼,發現問題及困難及時詢問監考人員。
  • 參賽者需自備筆記型電腦(建議配置不低於4核心2.2Ghz,內存8G,支援虛擬化,安裝Win10以上作業系統及Firefox或Chrome瀏覽器)、自備解題用工具包、電源、滑鼠。
  • 每一隊將會共用同一個帳戶,組員可以同時登入,但在答題時,如果同時輸入答案將會造成系統重複計算答案,請小心操作。
  • 競賽期間,參賽隊伍之間不得以任何形式進行交流與討論,任何人也不得干擾其他參賽隊伍進行競賽。
  • 比賽過程中,嚴禁參賽者向比賽伺服器、參賽者主機等設施發動任何可能影響比賽正常進行的攻擊或惡意操作,嚴禁使用重型掃描工具,偵測使用不當工具者將取消比賽成績,嚴禁利用平台漏洞進行擾亂比賽秩序的行為,如發現將取消比賽成績,發現平台漏洞者可及時向主辦單位報告,給予酌情加分處理。
  • 違反上述規定者,現場裁判組將視情給予口頭警告、扣分、取消參賽資格等處罰。

晉級規則 :

如何晉級 "挑戰賽二-AWD攻防賽" 完成線上 8月17日 的 "CTF-挑戰賽一"的隊伍,根據當天 "CTF-挑戰賽一" 競賽得分選出中最高分數的10隊隊伍,從高至低分數評定而晉級

參賽隊伍將以得分高低作為排列。若出現同分隊伍,排名將以以下標準判定:

  1. 總得分
  2. 獲得得分所需要使用的時間
  3. 錯誤嘗試的次數

比賽中能獲取提示,但使用提示將會扣分,請謹慎使用。

CTF挑戰賽一 獎項:

  • 一等奬:2 名 – CTF獎狀
  • 二等奬:3 名 - CTF獎狀
  • 三等奬:5 名 - CTF獎狀
  • 優異奬:3 名 – CTF獎狀

獲得一等奬至三等奬的隊伍可進入8月25日下午的AWD 保衞戰,現場角逐冠、亞、季軍殊榮!

後續活動 :

優勝隊伍將有機會被邀請到國內參與不同地區的大型競賽活動,代表香港地區隊伍參加競賽與交流。



(晉級) 挑戰賽二
AWDP (Attack With Defense and Pwn) 攻防賽 2024

AWDP是一種綜合考核參賽團隊攻擊、防禦技術能力、即時策略的攻防兼備比賽模式。每個參賽隊伍互為攻擊方和防守方,充分體現比賽的實戰性、即時性和對抗性,對參賽隊伍的滲透能力和防護能力進行綜合全面的考量。

日期和時間 :

2024 年 8 月 25 日 | 下午 14:30 – 17:00 (香港時間)(2小時30分) | HKCEC (灣仔) Hall 1D

語言: 比賽系統及問題將以簡體中文及英文進行

競賽介紹 :

針對真實網路系統和網路狀況進行最大限度的仿真,參賽團隊需對其進行攻擊和防護,競賽過程參考真實世界資訊通訊系統,重點考察參賽者針對資訊通訊系統安全機制的理解,收集分析資料並在此基礎上實施滲透測試的理論知識與實戰能力,賽題場景模擬產業網路架構與設備職能,選手需注意不斷收集線索與數據,發現己方漏洞並做出防護,同時利用發現的漏洞對場內其他賽隊的環境進行攻擊。

Ø 參賽者需要注意,這些“網路攻防”平台只能用於比賽及學習為目的,不得用於非法行為。

競賽內容 :

一、攻擊與防禦環節的賽制

1. 攻擊與防禦環節採用動態攻防兼備的比賽模式,綜合考核參賽戰隊的漏洞發現、漏洞挖掘、漏洞修復以及即時策略的能力。

2. 戰隊得分:攻防部分積分為攻擊分和防禦分的總分,成功利用漏洞獲得flag並提交成 功就會在積分輪次內獲得該題的攻擊分,成功修補漏洞並通過平台check,在積分輪次內 就會獲得該題的防禦分。服務異常時會被扣分。

3. 若某參賽隊伍的題目服務出現異常導致無法進行攻擊時,該隊伍可點選「重置攻擊靶 機”按鈕進行重置,注意每題重置賽題次數,具體請參閱比賽介面。

4. 防禦修補:選手可在平台下載題目配件包,包內包含部分或完整的題目源碼等文件。 選手在本地嘗試修補成功後,透過ftp上傳修補包(名稱格式限定xx.tar.gz,包內需要包含 一個update.sh的可執行檔),ftp存在修補包後在介面對應題目框內點選申請判定按 鈕,平台會將修補包上傳到防禦環境解壓縮並執行update.sh檔,執行平台的check和 exp。

5. check失敗則判定防禦異常,每輪會扣除200分;check成功、exp成功則判定防禦失 敗,不扣分;check成功、exp失敗則判定防禦成功,每輪該題目不再失分,且獲得防禦 得分。


二、積分法則

1. 所有戰隊AWDP都有對應的起始分數,輪次時間為 5 分鐘一輪,每輪比賽題目積分隨 攻守格局變化而改變,每回合次內有效的攻擊和防禦都會分別計分。

2. 選手攻擊自己的靶機,提交正確的flag後,每一輪平台會自動幫助本隊攻擊其他戰 隊,獲取積分,獲取的積分為動態分數。

3. 選手上傳題目修補包經平台驗證成功後,會獲得該題目的防禦分,題目每輪次防禦分 數值也隨題目難度和成功防禦隊伍數而動態變化。因修補失敗造成題目服務異常,會被扣 分。

4. 若戰隊可以為所有的題目提供成功防守且無服務異常,就不會失分。

5. 上傳防禦包導致服務異常,每輪每題會扣除200分,直到修補成功或修補失敗為止。

6. 題目攻防得分值隨解題隊伍數動態衰減。

7. 題目攻防分數=500+(難度係數-1)*(比賽時間-難度係數)*50 ;

註:題目的難度係數有 3檔,1簡單,2中等,3困難。比賽時間單位為h,向上取整。該題若無一血,其比賽時間 代入目前比賽時間;此題若產生一血,比賽時間代入一血時間,題目分值將為定值。防禦 得分公式同上。裁判根據比賽現場的狀況給予加減分。


競賽知識域 :
資訊收集、漏洞挖掘、主機探測、程式碼審計、後門查殺、安全加固等。

AWD挑戰賽二 獎項:
冠軍:1 名 - AWD獎座、獎狀及現金獎港幣 $3000元
亞軍:1 名 - AWD獎座、獎狀及現金獎港幣 $2000元
季軍:1 名 - AWD獎座、獎狀及現金獎港幣 $1000元

後續活動 :
優勝隊伍將有機會被邀請到國內參與不同地區的大型競賽活動,代表香港地區隊伍參加競賽與交流

競賽規則 :
  • 本次比賽的籌備委員會代表、工作人員及服務供應商一概不得參加比賽。
  • 完成比賽後,經由主辦機構確認的隊伍將獲宣布為金、銀、銅獎得主。若分數相同則以答題時間決定最終名次。
  • 切勿登記多於一隊伍個帳號。
  • 切勿分享隊伍競賽帳號及密碼。
  • 比賽期間,如有任何問題,參賽者應立即向主辦機構報告。
  • 切勿攻擊比賽平台,例如:
    • 修改得分榜;
    • 令系統過度負載;
    • 進行阻斷服務攻擊;
    • 除指定伺服器及服務外,切勿攻擊其他伺服器或服務;
    • 等非正常競賽行為。
  • 切勿進行社交工程攻擊。
  • 切勿作弊或妨礙比賽進行,例如:
    • 分享旗幟;
    • 向他人索取旗幟;
    • 刪除旗幟;
    • 妨礙其他隊伍提交旗幟;
    • 等非正常競賽行為
  • 切勿在聊天室或場會中,發送暴力、淫褻或不雅內容的訊息、上載任何侵犯版權或知識產權的檔案、觸法香港法例; 等非正常競賽行為。
  • 在比賽結束前,不要與任何人分享比賽的任何內容或細節。
  • 任何濫用或違反本比賽規則的行動可導致條款及細則所述的懲罰。
條款及細則 :
  • 主辦機構保留更改任何獎品的權利,恕不另行通知。
  • 主辦機構保留修改比賽規則的權利,並會適時通知參賽者。
  • 參賽隊伍提交報名後便代表同意並遵守所有條款及細則和比賽規則,敬請仔細閱讀及理解。
  • 主辦機構將會遵循香港《個人資料(私隱)條例》保障參賽者個人資料。
  • 個資蒐集聲明:參加本活動填寫之所有個人資料,僅限於本活動相關公告 (通知)、新聞公布、獎項、獎品寄送及指導單位、執行單位進行相關宣傳活動使用,不另作他用。
  • 報名參加本活動即代表同意授權執行單位得基於活動廣宣目的範圍內,節錄或以其他方式編輯參加本活動所提供或現場活動所拍攝之圖片、照片、影片及相關資料,剪輯為活動花絮或心得報告等內容對外公布使用。
  • 參賽隊伍必須同意並遵守所有條款及細則和比賽規則,否則主辦機構有權暫停或取消參賽隊伍成員的參賽資格,相關隊伍成員不得異議。
  • 於競賽過程中禁止以不當言詞或行為辱罵其他參加者、觀眾、評審及工作人員,有此情況執行單位有權依情節嚴重程度取消該隊參加資格。
  • 主辦機構保留更改任何隊伍名稱的權利,恕不另行通知。 參賽者不得提出異議。
  • 若發現任何參賽隊伍成員不符合參賽資格,整個隊伍將被取消參賽資格。
  • 比賽中的所有項目必須由合資格之參賽隊伍成員進行。
  • 若參賽隊伍成員有任何變更,應立即通知主辦機構。主辦機構將於頒獎典禮前核實得獎隊伍中所有參賽隊伍成員的身份。
  • 主辦機構可能會容許其他國家/地區的隊伍在同一平台上進行比賽。 不會影響其他分數及排名。 參賽者不得提出異議。
  • 執行單位保有因天災或配合防疫措施等不可抗力因素而修正、暫停或 終止活動之權利。如有未盡事宜,執行單位將修正並補充公告於活動網站。
  • 比賽結果,以主辦機構的最後決定為準,亦會於 https://ShieldTag.hk-tag.org 上公開。 參賽者不得對比賽結果或排名提出異議。