“我溜進(jìn)一個(gè)很神秘的會(huì)場(chǎng)，里面一群敲代碼的碼農(nóng)們好像在搞大事情，就連出去上廁所警察蜀黍都跟著?！?/p>

這是前兩天一位朋友八卦時(shí)候提到的，據(jù)她說(shuō)所謂的“溜”進(jìn)去也并不容易，想盡了各種招才進(jìn)去觀摩了一分鐘。

其實(shí)，所謂的神秘會(huì)場(chǎng)就是網(wǎng)鼎杯半決賽和總決賽現(xiàn)場(chǎng)。

早在大賽預(yù)賽階段編輯就開(kāi)啟了暗中觀察模式，畢竟選拔賽主題“青龍之戰(zhàn)、白虎之戰(zhàn)、朱雀之戰(zhàn)、玄武之戰(zhàn)”非常霸氣且有逼格，全國(guó)各地21000多名參賽選手們分成不同行業(yè)切磋，最終再?gòu)倪M(jìn)入線下半決賽的200支戰(zhàn)隊(duì)中篩選出各行業(yè)排行榜前10—15支精英戰(zhàn)隊(duì)晉級(jí)決賽。

線上預(yù)選賽采用CTF解題的比賽模式，線下決賽則采用了國(guó)際頂級(jí)賽事慣用的AWD攻防兼?zhèn)淠Ｊ?。為了保證“切磋”公平性，主辦方配備了14臺(tái)高頻率信號(hào)屏蔽器（就是下面這貨）屏蔽場(chǎng)內(nèi)選手通訊信號(hào)，還找了督察進(jìn)行巡查，總之就是前所未有的嚴(yán)格。

高頻率信號(hào)屏蔽器

知乎上有一個(gè)問(wèn)題，CTF線下賽應(yīng)該如何打？點(diǎn)贊率最高的一個(gè)回答是這樣的：

手不要抖，心不要慌，線下攻防，也就那樣；

網(wǎng)絡(luò)不通，交流不暢，鎮(zhèn)定自若，落后何妨；

專(zhuān)人運(yùn)維，冷靜指揮，盯計(jì)分板，策略得當(dāng)；

Pwn題雖多，Web更傷，挖洞很弱，光靠重放；

工具腳本，準(zhǔn)備匆忙，反正現(xiàn)場(chǎng)，也用不上。（情不自禁唱了出來(lái)）

當(dāng)然這些圍觀群眾都是看不到，開(kāi)賽后各戰(zhàn)隊(duì)便快速進(jìn)入了狀態(tài)，展開(kāi)了比分的爭(zhēng)奪。開(kāi)賽18分鐘后，廣東省應(yīng)急響應(yīng)平臺(tái)紅帽先鋒戰(zhàn)隊(duì)率先拿下了全場(chǎng)首個(gè)一血，打響了網(wǎng)鼎杯半決賽戰(zhàn)場(chǎng)的第一槍。

到底這次賽事背后有什么故事？雷鋒網(wǎng)宅客頻道采訪了獲得半決賽第一名決賽第六名的Lancet戰(zhàn)隊(duì)。

Lancet名為柳葉刀，是醫(yī)生的手術(shù)刀，為病人消災(zāi)祛病。他們想要做網(wǎng)絡(luò)世界的手術(shù)刀，既要撕裂網(wǎng)絡(luò)世界的表面看到安全隱患，也要為網(wǎng)絡(luò)安全主刀消除隱患。Lancet最初是在15年10月由北京航空航天大學(xué)網(wǎng)絡(luò)安全實(shí)驗(yàn)室的小伙伴組建的。日常研究涉及到工控、固件以及Web安全等各個(gè)層面，而對(duì)于CTF也是以賽代練，逐步提高。

雷鋒網(wǎng)：為什么你們線上排名靠后，線下排名第一？

Lancet：因?yàn)榫€上賽規(guī)定最多6人參加，當(dāng)然有些隊(duì)伍實(shí)際可能不止6個(gè)人一起打比賽，這種情況是監(jiān)控不到的，也是網(wǎng)安比賽不可避免的bug。但線下賽限制人數(shù)最多四人，除非肚子里還藏著一個(gè)。（編輯：喵喵喵？）

雷鋒網(wǎng)：這次的比賽過(guò)程是怎么樣的？

Lancet：我們之前有過(guò)線下經(jīng)驗(yàn)，所以這次沒(méi)有特殊準(zhǔn)備，就按以往的來(lái)。半決賽中跟以前的線下awd差不多，各隊(duì)都是web先做出來(lái)，但是初期彼此差距不大。后來(lái)我們靠一道pwn的一血打到第一，并迅速拉開(kāi)了與第二名的差距。下午web大佬們靠第二個(gè)漏洞(我們隊(duì)先發(fā)現(xiàn)的)又拿到了許多分，鞏固了第一的優(yōu)勢(shì)。第二天決賽有用到昨天的web和其中一道pwn題，但主辦方部署有些不一樣，導(dǎo)致我們初期用昨天的腳本沒(méi)刷到分?jǐn)?shù)(我們當(dāng)時(shí)以為刷到了在做別的題)，后來(lái)調(diào)試的時(shí)候耽誤了初期寶貴的20mins。整場(chǎng)打下來(lái)，除去中間有4輪主辦方驗(yàn)證flag錯(cuò)誤，這初期的20mins對(duì)我們影響很大，最后5-8名分?jǐn)?shù)幾乎相近(大概就是一輪的差距)，而我們靠一個(gè)密碼學(xué)題搶到了第6。

雷鋒網(wǎng)：這么看來(lái)前一天你們似乎打的更好一些？

Lancet：第一天我們防守比較到位，可以說(shuō)最后兩小時(shí)我們基本上沒(méi)事干了，這種比賽根本核心在于一個(gè)時(shí)間效率的問(wèn)題，就是說(shuō)你如何用一段固定長(zhǎng)度的時(shí)間去換取最多的flag，或者最多的別人的時(shí)間，也就時(shí)間效應(yīng)。后面一天的狀態(tài)稍微差一點(diǎn)，可能是因?yàn)榍耙惶焱砩习疽箤?xiě)代碼的原因。

昨天大概七八點(diǎn)鐘回去，我寫(xiě)代碼是寫(xiě)到快兩點(diǎn)，然后今天是6點(diǎn)半起來(lái)。特別辛苦。

還有一個(gè)就是flag提交的那一部分，我們用的還是前一天的隊(duì)伍token，雖然終端顯示提交成功，但因?yàn)榉N種原因并沒(méi)有成功。而且初始的flag分?jǐn)?shù)還是蠻高的，因?yàn)檫@個(gè)原因，我們損失了最初幾輪的flag。最終從比賽結(jié)果來(lái)看，前幾名分差其實(shí)都不是很大，所以上述的失誤還是影響到我們最終的名次了。

還有另外一點(diǎn)，就是今天的web題目限制了寫(xiě)入權(quán)限，昨天我們使用的比較nasty的技巧都沒(méi)有用上。

雷鋒網(wǎng)：CTF與滲透測(cè)試實(shí)戰(zhàn)的區(qū)別是什么？

Lancet：CTF相當(dāng)于滲透測(cè)試的一種抽象，就是將滲透測(cè)試中的具體操作比如入侵掃描等抽象成一種模型。這種模型雖然和真實(shí)場(chǎng)景存在差異，但一定程度上也能預(yù)測(cè)真實(shí)場(chǎng)景，或者說(shuō)對(duì)真實(shí)場(chǎng)景起到一定的作用。

雷鋒網(wǎng)：經(jīng)常在一些CTF比賽中看到你們，你們覺(jué)得打比賽的意義是什么？

Lancet：贏得獎(jiǎng)金和獲得獎(jiǎng)項(xiàng)是一方面，更重要的是可以認(rèn)識(shí)更多圈子里的人。其實(shí)安全圈相對(duì)較小，但生態(tài)是比較好的。打這種比賽除了可以認(rèn)識(shí)各種各樣的戰(zhàn)隊(duì)還能在比賽之后分享過(guò)程中出現(xiàn)的問(wèn)題以及交流解決問(wèn)題的思路。這就是不同的思想碰撞之后對(duì)自己的技術(shù)進(jìn)行賦能的過(guò)程，賽場(chǎng)有益的技術(shù)對(duì)手也是朋友。比如我們這次比賽結(jié)束后就和孕婦防護(hù)服等戰(zhàn)隊(duì)的基友們（在各種比賽偶遇已成基友）探討了一波。

雷鋒網(wǎng)：每次參賽都會(huì)提前準(zhǔn)備嗎？

Lancet：當(dāng)然，可以說(shuō)是吃老本的一種方式。比如你在之前的研究或者比賽中存留了一些腳本和一些想法，要進(jìn)行比賽時(shí)候就需要提前把這整套工具體系或整套腳本體系做出來(lái)。比賽的時(shí)候就聽(tīng)天由命吧，比賽完之后，再通過(guò)比賽結(jié)果的反饋，將反饋輸出到你的腳本里，可以交腳本進(jìn)行進(jìn)一步的修繕。

也就是我們有一套比較通用的框架，如果要參加比賽就需要根據(jù)主辦方環(huán)境和規(guī)則的不同進(jìn)行調(diào)整，這套框架已經(jīng)幫我們賺了很多錢(qián)。

雷鋒網(wǎng)：參加完“網(wǎng)鼎杯”之后，有什么打線下賽經(jīng)驗(yàn)分享？

Lancet：首先一點(diǎn)還是要考慮，線下賽考察的能力，是一種攻守兼?zhèn)涞臓顟B(tài)。

先說(shuō)防守，比較傳統(tǒng)的方式（web）就是使用通防腳本，而通防腳本一般分為過(guò)濾型和轉(zhuǎn)發(fā)型兩種， 根據(jù)需求靈活選擇。防守還有一個(gè)很重要的輔助作用就是payload收集和重放，所以有一整套完整的payload利用工具鏈將是錦上添花。

再說(shuō)攻擊，代碼審計(jì)部分略去不談，在做權(quán)限維持的時(shí)候，最重要的就是隱蔽與多樣性。以我們Lancet內(nèi)部使用的AWD-INTEL的框架為例，在進(jìn)行權(quán)限維持的時(shí)候，我們引入了一個(gè)叫做shell service的概念（還在開(kāi)發(fā)中），下面是內(nèi)部設(shè)計(jì)文檔中的一部分：

1. 基于種子進(jìn)行shell變異（shell類(lèi)型，shell名稱(chēng)，shell存儲(chǔ)位置）

2. 通過(guò)web界面查看每個(gè)host中shell的種類(lèi)和類(lèi)型

3. 可以結(jié)合server.py 獲取server端的狀態(tài)（webshell主動(dòng)掃描，waf掃描）

4. 一個(gè)host可以多達(dá)5個(gè)shell，允許自定義添加shell

5. shell高隱蔽性（類(lèi)weevely后門(mén)）

6. 垃圾流量并入到shell service中（因?yàn)槔髁考磳⑥D(zhuǎn)型成基于源代碼生成，而非傳統(tǒng)的通過(guò)代理流量生成【考慮效率因素和覆蓋率】）

從以上我們可以看出shell service設(shè)計(jì)過(guò)程中對(duì)隱蔽性，多樣性，甚至少量變異性的追求和優(yōu)化。

“網(wǎng)鼎杯”網(wǎng)絡(luò)安全大賽是由國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心、國(guó)家密碼管理局商用密碼管理辦公室支持，永信至誠(chéng)主辦，360公司、阿里、百度、騰訊、中科院信工所、清華大學(xué)聯(lián)合協(xié)辦的國(guó)家級(jí)網(wǎng)絡(luò)安全大賽。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。