之前好伙伴写的CTF的一些感想,我也来一篇,以此纪念玩耍CTF的这几年

11年,刚高中毕业的年纪,经Tm3y的介绍,玩了ISCC2011的破解关,WriteUp可以戳我,也是我第一次知道这种HackGame的存在,一步步解题的过程中也学到了并认可了自己所学的知识.不得不说,ISCC在科普上影响了很多人.

到了西电,在XDSEC见识了第二届西电网络攻防大赛,认识了很多朋友,也领悟人外有人,各有所长的道理.那时西北零星有些公司举行比赛欲推行系统/硬件/实验平台等,由此也与ly同学一起打了几次比赛,在西北区能玩这种Game的同学本也不多,就幸运的一边拿冠军一遍学知识.比赛还多以传统的小题目+渗透实战的形式,偶尔看到Syclover出的题目,也为此求证过CasperKid,但比赛总也能收获很多乐趣.

12年,开始负责西电比赛具体环境,那年认识的决赛成员现都已经工作了,除了Light 4 Freedom那个可爱的em;-)

13年,将网络攻防大赛XDCSC更名到XDCTF,那时候,国内还没有用CTF定义攻防比赛.只是决赛的实战环境设置虽够复杂却不甚合理,但也明确了XDCTF的特色--网络攻防实战,共同进步.而CTF的名字,随着Blue-Lotus的推动,国内已经开始满大街跑,各类组织,学校,公司都搞CTF,也隐隐发觉到又一个ACM时代的到来.

14年,组织的L队伍开始对CTFTime的尝试,几次比赛淋漓尽致的通宵玩两天,也是难忘的经验.也曾意图在14年XDCTF推行国内的另类CTFTime,之后巧合或是必然的,了解到诸葛老师正筹备XCTF联赛,形式模仿国外的CTFTime,只是对XCTF联赛下的比赛有了更强控制力,如此便有了联赛决赛.而我们的计划也因种种原因Cancel.

在近四年时间,我对CTF的看法也反复无常.意图推行实战的CTF模式,但终究明白,无论怎样模拟实战,总会缺少实战中众多元素,包括参赛人员的潜意识--只能尽可能将环境设置贴近实战.中间也曾为各种无营养题目吐槽过,也曾体会heige的想法:玩比赛干嘛,术业有专攻,而比赛却不是,打的成绩不好还容易被鄙视.

于是,我更愿将CTF视作娱乐性,拓宽视野的HackGame.只是国内大环境显然不会这样纯朴,与利益相关的CTF本质也是没错的:玩的好,名利双收,玩的挫,则知何处不如人.但利益大了,冲突就多了.AliCTF线上赛Check时间已然超过竞赛时间,恐怕也是受决赛丰厚奖金影响.尽管我一直对取证,电话Check这种模式感觉是对CTF本身的侮辱,是屈服于现实的无奈,但现实就是这么让人无奈:(

正巧这两天L队伍刚吸纳的年轻成员参加了XCTF联赛HCTF,小伙子很有精力,凌晨四点解出一道题目,一大早起来,发现L队伍账号被封号,官方表示由于相近的时间L与Wargame用类似的盲注语句拿到Flag,在IRC公告L与WarGame作弊.后小伙子主动联系官方并提供自己解题思路,官方又恢复账号,但未在IRC有公告澄清,仍需审查,同时解题思路为官方"非预期漏洞",解法无效,只打赏100积分.

我比较懒,中午才起床听说这件事情,询问了做题的小伙子,根本不认识WarGame团队.与官方联系,要求正名,官方提出还有异议,尚需审查.下午通过其他途径了解到,WarGame团队解题人也与官方申诉,官方仍保留对我们两队的质疑.

现在小伙子很生气,我想,放到任何一个人身上,如果真是自己辛辛苦苦做出来的题目,不被认可判为作弊都是很大的伤害--对技术与人品,兼而有之.

而以我浅见,参赛队伍玩到凌晨四五点做题目,是对主办方出题的尊重,但作为主办方,以最坏的想法去看参赛成员,证据不足,仅因为太巧合了,简直没法解释,就未经实武断公告队伍作弊,在两支队伍均提出异议,且给出各自解法时,仍更愿意相信巧合没法解释,我不认为这是对参赛人员与参赛队伍的尊重.

而对于XCTF联赛的模式,仍有待发展,至少从我来看,现有一些规则有待改进.另外,打来打去,还是那几个赛棍,真的不烦么 @网红redrain ;-)

未来属于未来的人.也只是再憧憬下未来的XDCTF,期待更贴近实战:-)

XDCTF --- 网络攻防,共同成长.

感谢四年来,来XDCTF参赛的伙伴们.
Comments
Write a Comment