WCTF×葫芦娃，黑客比赛内情大揭秘

“本次WCTF的冠军战队是来自日本的 TokyoWesterns，亚军战队是来自波兰的 Dragon Sector，获得第三名的是来自韩国的战队 Cykor。”

2018年7月8日下午6点，北京望京凯悦酒店，主持人宣布了为期三天的 2018 WCTF世界黑客大师赛的最终结果。

▲7月7日公布的解题分数

注：左侧是10个战队的名称和相应的分数，最上面一行是每道题的名称，灰旗是出题队，红旗是第一个解出这道题的队，依次为黄绿蓝

这里先放一段第一天开赛时葫芦娃✖️WCTF的现场音，大家感受一下～

其实，WCTF 的解题成绩早在7月7日下午6点半就已经公布了，之所以要等到 8 号下午才公布最终结果，是因为 WCTF 的特殊赛制-----它并不仅仅只考察每个队伍的做题能力，还要比拼各个战队对题目的“分享”贡献。

“分享”主要体现在两点：

第一，本次比赛的赛题完全由这10支队伍自己来出，他们每队要分享出2道精彩的题目给另外9个队去解；

第二，在解题结束后的第三天，各个战队还要对自己所出的题目进行讲解，即“技术分享”，其他的 9 个战队会同现场的评委一起，对这道题目的质量和现场的分享情况进行打分和提问，如果题出的不好，那就等着在台上被其他队“怼”吧～

由于出题者和解题者都是这十支队伍，所以这场比赛的第一大忌就是不准提前泄露赛题，另外两个是不准攻击比赛的服务器、不准攻击其他选手的服务器，一经发现，立即取消比赛资格（关于后两项规则，大家可以去度娘上扒一扒“LC↯BC”战队的故事）。

如果是这样的“高难度”，会被扣分

由于首开“互相出题”的特殊赛制，意味着参赛的队伍必须也要水平相当，否则会出现强队的题目太难，弱队的题目太简单的状况，据参赛队伍之一的 r3kapig 队员透露，此前也曾参加过一场类似赛制的比赛，结果有个队竟然出了一道答案为 “aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" 的弱密码题目。。。

从2016年第一届的 WCTF 开始，主办方360 Vulcan 团队邀请的都为世界强队，如果你日常关注 CTF比赛，那肯定对本届的参赛队伍不陌生，在此不再做一一介绍，感兴趣的可以去问度娘，这些战队背后的故事也很精彩。

上图为今年参赛的十支战队，宅客频道对比了目前 CTFTIME 前10名的排行，有5支参加了今年的WCTF。

▲截止发稿前 CTFTIME 的十强排行榜

据组织者之一的李康透露，他们邀请参赛队伍也是主要根据 CTFTIME 的排位来邀请（CTFTIME类似于教育界的QS世界大学排名），前10名肯定会邀请，如果有不能来的，按照具体情况再从10-15名继续邀请。

 Vulcan 团队负责人 MJ 解释，WCTF 大师赛的亮点就是难度高，奖金也高，并且对出题的质量要求也很高。在邀请过程中，有些实力很强的队伍其实是可以空出来3天时间来参赛的，但由于没有足够的精力来准备出代表自己水平的题目，最终放弃了参加比赛。

说白了，这些顶级队伍来参赛的原因，第一，钱；第二，奔着题目的质量和比赛的独特性而来。

从宅客频道在现场对冠亚军战队 TokyoWesterns 和  Dragon Sector 的采访来看，后者的吸引力对他们更大一些（起码他们对外是这么说的），身为顶级的CTF战队，他们很想来看看对手的脑洞能开多大。

不过，奖金仍然是WCTF的亮点之一，作为目前奖金规格最高的夺旗类黑客赛事，WCTF 共设置10万美元奖金，由前三名获得，第一名5万美金，第二名3万美金，第三名2万美金。以现在的汇率来算，TokyoWesterns 战队可以把 33 万人民币抱回家。

那为何要砸重金举办这样一场比赛？

MJ 告诉宅客频道，在中国的黑客大赛中，已经有水平很高的破解类大赛，比如极棒大赛等，但是顶尖的 CTF 大赛还比较少，目前国内的 CTF大赛更多是学生参与，他们从2016年开始办这样一场比赛就是希望让更多的 CTF 爱好者来切身感受一下顶级的战队是如何出题的、如何做题的，他们出题的思路是什么，具体应该怎么解？

不过，这种赛制在前两年也出现过这样的状况：作为战队来说，当然希望能够把题目出的难一些，难到别的队都解不出来，所以有些战队会故意设置障碍，而不是从赛题的精彩度出发来出题。总而言之，由于难度太大，降低了比赛的观赏性和精彩性。

而在今年，会对题目进行更加严格的审核，主办方希望题目的难度高在精彩程度，而不仅仅是故意为对手设置障碍，如果是后者，很有可能在最终的技术分享环节中，被裁判和其他战队打低分。在最终的结果中，第8、9名就因在技术分享环节的不同表现而变换名次。

据 MJ 介绍 ，今年的题目并非都是“曲高和寡”的，比如今年区块链非常火，所以这次的 WCTF 就有关于智能合约的漏洞破解，他们需要模拟出真实的类似于银行的区块链虚拟网络，这个网络中也会存在有虚拟货币，其他9支战队可以对此进行攻击，来控制里面的货币和交易等环节。

此外，我们日常遇到的浏览器漏洞和手机芯片漏洞，在这次大赛的题目中也会出现。这些更为实用和精彩的破解，是本届比赛的变化之一。

不过，相比于前两届，最大的变化还要属此次比赛新增加的两场比赛－－－新锐赛和线上赛。

新锐赛有队伍的解题成绩可以排到大师赛的第6名

宅客频道发现，在比赛现场，除了10个老牌战队围在评委周边，在不远处的隔断外，还有十支年轻的高校队伍参加。

虽然大师赛依然是WCTF的重点，但新锐赛和线上赛是今年赛制变化最大的地方。李康解释，两年前举办WCTF的初衷就是希望更多的人可以不用出国，在国内就接触到很强的战队进行高水平的对决，所以这次举办新锐赛，也是为了吸引更多的学生战队来参与。

除了这 10 所高校的战队，本次赛事也面向全球的 CTF 爱好者开放，只要在官网进行注册，就能参与到解题中来。据官方公布的数字，这次的线上赛有全球近千支战队报名，其中包括 200 多支国内战队。他们会跟大师赛的开赛时间相同，题目也相同。

至于赛后的题目分享，MJ 透露赛后会至少会把各个战队针对解题的 PPT 公布出来，由于在部署过程中对题目有深入的了解，所以Vulcan 团队也会对题目进行一些解析。

虽然过程很“虐人”，但MJ表示，在看到新锐赛的结果时，还是非常欣慰。如果只从解题得分来看，有两支高校队伍的得分是可以排到大师赛的第6名，后生可畏。

由武汉大学、南京邮电大学、北京邮电大学学生组成的联合战队 Nu1L，砍下了550分，名列新锐赛榜首，来自上海交通大学的 0ops 战队仅以 10分 之差的 540 分名列第二，对比大师赛的分数，这两支队超过了大师赛第6名的解题分数。而 Nu1L 战队也将直接获得 2019WCTF 大师赛参赛资格。

赛场花絮

1.大师赛如果延长10分钟，结果将发生逆转。

在赛后对 Dragon Sector 的采访中，宅客频道得知他们是在比赛结束后的10分钟，解出了一道“红旗”题，也就是那种可以直接加 150 分的题目，如果再多给他们 10 分钟，完全可以反超冠军 TokyoWesterns 。

在最新的CTFTIME 排行榜中，Dragon Sector 名列榜首，看来“老大表示不服”～

2.为线上比赛部署了1000多台虚拟机

由于新增了新锐赛和线上赛，这次的参赛规模比较大，所以系统的部署也更具挑战性。据了解，前两届360都是与其他机构来一同承办的，但今年他们选择自己来做所有的系统，包括线上比赛的前端系统和现场的可视化系统，

据MJ透露，因为部署过程太过复杂，一般做CTF的公司未必有这个能力来做，必须得自己来，光部署就花了1个月的时间。

今年比赛由一场变为三场，比赛从十个队变成近千支队伍，所以对于系统部署和测试来说，复杂度很大，一个题目可能要独占一个虚拟机。本次比赛，在云端为线上比赛准备了一千多台虚拟机，线下也有很多服务器的资源部署，因为要引入很多技术进来，真正理解和部署这些题目需要举办方自身也具备相当的技术能力。

3.出题有破绽，导致场上绝大多数战队都通过其他方式解出了题目

赛后“ r3kapig ”的队员告诉宅客频道，由于此次比赛他们出的一道题目有破绽，所以导致场上的绝大多数队伍都很快的解出了他们的题目，而不是按照他们事先预想的步骤来。

由于他们自己不能解自己的出的题，导致因这道题非常吃亏。

4.用户界面不友好会被怼。

在赛后的技术分享环节中， Dragon Sector 开怼 r3kapig 战队，认为他们有道题目的用户界面不太友好，所以加长了自己的做题时间。

“ r3kapig ”回应称，之所以界面不太友好，是因为现有的基础界面是为了避免一些不确定的因素，比如换一个界面，其他战队可能会通过界面中的漏洞来破解出题目，才用了最原始的，不过对于做题的人来说确实不太友好，所以这个建议他们也接受。

4.这是一场“粉丝”见面会。

在第一天比赛间隙，李康对这次新的赛制有一个有趣的比喻－－－“粉丝见面会”，新锐赛和大师赛在同一场地比赛，加上线上赛，这能让一些 CTF 爱好者跟黑客大师们同场竞技，在线上赛中，有很多是普通大学生，甚至高中生和初中生，这就像球迷见到真正球星一样。

李康说如果时光倒回二三十年前，他还只是一个学生，那他一定会作为粉丝来看看，也许看了之后觉得这是他热爱的行业，要投身进来；但也许来了之后会发现自己可能永远达不到大师的水准，放弃进入安全行业。

5.开赛后的半小时，一直在调整线上赛的服务器。

在问到此次比赛有遇到什么困难是，MJ坦言，今年的步子迈的稍微有点大，在7月6号比赛刚刚开始时，他们还是没有预估到近千只支队伍同时解题时对于服务器所造成的压力，所以花了半个小时来调整系统。不过他也表示并不后悔，今年尝试了之后，明年就可以更加成熟的进行比赛，具体他们会在赛后再做复盘，也许明年还会有惊喜。

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 草榴社区 | 女鉴黄师 | 以图搜图 心脏滴血 | 撞库攻击 | 潜行追踪 刷票 | 人肉 | 勒索 | 内鬼 超级欺骗系统 真相篇 ▼ 战斗民族野生聊天 App 草榴社区这类色情网站为什么封不掉 什么样的漏洞买得起北京二环一套房？ 上了个“假”黄网，误入了7亿黑产的大门 13岁小黑客自学一年挖到了微软、谷歌的漏洞 中学教材现黄色网站 人教社回应遭网友质疑 干货！top白帽子 Gr36_ 手把手教你挖漏洞 我们可以用“免疫系统”对抗黑客入侵吗？ 这位叔叔要教勒索软件一些做人的道理 有个网站叫“我知道你下载了什么” 无线电攻击居然还能用来打飞机 “道哥”透露从业初心 人物篇 ▼ 道哥：重回阿里的29个月 黑客老王：一个人的黑客史 吴石：站在0和1之间的男人 黑客衰大：45天攻入姑娘的心 黑客段子手“呆子不开口” “特斯拉破解第一人”刘健皓 唐青昊：虚拟世界的越狱者 MOSEC：盘古团队的野心优雅 让周鸿祎“三顾茅庐” 的 黑客 MJ 美女黑客张婉桥的“爱丽丝奇遇记” TK教主和玄武实验室的几个小故事 把老婆训练成女黑客的漏洞大神黄正 “真爱”黑客 Fooying 手把手教你追妹子 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注