ISW 2017:比CTF更刺激的真实网络攻防竞赛

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 本文讲的是ISW 2017:比CTF更刺激的真实网络攻防竞赛,北京西二环一家五星级酒店里,一场异常激烈的网络安全竞赛刚刚落下帷幕。 ISW 2017,由永信至诚和锦行科技联合承办。这两家公司,前一家擅长网络环境(靶场)搭建,后一家以渗透技术闻名,它们决定不走传统CTF比赛的老路,要尝试进行真实网络攻防对抗,于是便有了这一场竞赛。
本文讲的是 ISW 2017:比CTF更刺激的真实网络攻防竞赛北京西二环一家五星级酒店里,一场异常激烈的网络安全竞赛刚刚落下帷幕。

ISW 2017,由永信至诚和锦行科技联合承办。这两家公司,前一家擅长网络环境(靶场)搭建,后一家以渗透技术闻名,它们决定不走传统CTF比赛的老路,要尝试进行真实网络攻防对抗,于是便有了这一场竞赛。

在网络安全人才培育上,CTF一直是最重要的几种形式之一。它通过精巧的考题设置,加深参与者对具体知识点的理解,是高校或业界不可或缺的教学培训手段。但CTF缺陷也很明显,它无法培训出具备实战能力的选手,面对真实网络环境攻防较为乏力。

ISW是一次转变。相比过去,我们现在有了强大的靶场搭建和网络攻防能力,为什么不做个真实环境竞赛试试呢?

赛制:首次设计

ISW设置了两天的赛时,29小时,10只参赛队伍(每队三人),10位网络管理员。

赛题:有一个运营商公司网络,你需要在限定时间内攻破防线,拿到其核心数据库里某位用户的信息。这个网络有很多蜜罐,攻击者在最短时间拿下目标、并留下最少痕迹,即完成任务。

参赛者:每队仅1人可上网查找资料,连接网络为主办方设置。

管理员:正常上班时间内,每两小时巡查一次网络,每次15分钟。管理员有6个节点权限(总共31个)。管理员可以查看各类日志,发现异常行为保存起来,可以删webshell、杀死恶意进程、踢掉恶意用户。

赛场:五脏俱全

中小型竞赛没法搭建太大的赛场,但ISW相对来说还算“五脏俱全”,它虚拟的企业网络,外部服务区、内部服务区、办公区、核心区、管理区几个板块都有,每个区域都有将近一半节点是蜜罐。考虑到参赛难度,这次并没有模拟真正的运营商网络环境,而是搭建典型企业网络环境。

值得一提的是,现场只放了20台机器,也就是说永信至诚用每两台机器就可以虚拟出一个典型企业网络环境,包括业务和蜜罐一共31个节点,这个水准算是很不错的。

ISW 2017:比CTF更刺激的真实网络攻防竞赛

竞赛实况

参赛的十支队伍,来自全国各地高校和企业,CTF、渗透、漏洞挖掘的选手都有。嘶吼编辑两天现场都感受过,氛围基本上和CTF比赛类似,这个可说的不多。

讲下战况吧,开场大约十几分钟,Triangle团队(北邮)率先拿下一血,攻下网络文件系统节点;SecID团队紧追,半小时左右攻下网络文件系统、管理主机两个节点。

ISW 2017:比CTF更刺激的真实网络攻防竞赛

十九小时后,也就是今天凌晨五点,Triangle团队成功拿下核心服务节点权限,获得核心数据库。在临近结束时候,战况图显示这支团队已经拿下19个节点控制权。

ISW 2017:比CTF更刺激的真实网络攻防竞赛

截止结束时间,仅有北邮Triangle团队成功完成任务,据说有团队已经拿到核心服务节点的跳板节点权限,只差临门一脚连入核心服务节点,不知为啥没去做。

管理员们第一天很忙,一到巡查时间,马上上机器查日志,看到异常文件、操作记录日志、用户名啥的都截图留证,删webshell、踢用户经常干。第二天相对轻松些,基本上越到后边记录越少,我甚至看到似乎有个团队放弃,导致对应的管理员没有记录无事可干,很是无奈的看着旁边人干活。

参赛队伍里有不少都是粗放型操作,大摇大摆干活也不删日志,导致管理员查获了不少证据。嘶吼编辑看到少数管理员提交可疑行为证据时,多的有二三十张图。

官方解题

比赛结束后两小时出了评奖结果,锦行科技CSO王俊卿上台公布官方解题。

ISW 2017:比CTF更刺激的真实网络攻防竞赛

网络架构图

ISW 2017:比CTF更刺激的真实网络攻防竞赛

攻击路线图

官方公布的两张图,选手们看着大概会很生感慨。原来之前研究了那么久的节点,居然是蜜罐;之前没碰的果然是蜜罐,幸亏没花时间;原来某个节点,是利用某个技术才能破的…

攻击路线图里许多攻击方式,都是最近几年非常热门的,比如discuz、ssrf、redis、st2-rce、mysql shell等,大家勤搜索都能找到案例,工具利用如mimikatz、密码嗅探等,许多在嘶吼都能搜到方法。

最后

总体来讲,ISW质量挺不错的。CTF当道的时代,需要新方式来激活大家的潜力。某些能力,只有实战才能获得。

唯一稍显遗憾的是没有竞赛总结会,选手、管理员们只能各自私下交流下经验了。

公布下评奖结果,本次竞赛一二三名分别是:北邮Triangle团队、杭电P4ssw0rd团队、周口师范学院WPSEC团队。三支都来自高校,现在高校的攻防人才技术比普通企业都厉害了?




原文发布时间为:2017年9月5日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
4月前
|
缓存 网络协议 安全
【网络攻防战】DNS协议的致命弱点:如何利用它们发动悄无声息的网络攻击?
【8月更文挑战第26天】DNS(域名系统)是互联网的关键组件,用于将域名转换为IP地址。然而,DNS协议存在安全漏洞,包括缺乏身份验证机制、缓存中毒风险及放大攻击的可能性。通过具体案例,如DNS缓存中毒和DNS放大攻击,攻击者能够误导用户访问恶意站点或对目标服务器实施DDoS攻击。为了防范这些威胁,可以采用DNSSEC实现数字签名验证、利用加密的DNS服务(如DoH或DoT)、限制DNS服务器响应以及及时更新DNS软件等措施。理解并应对DNS的安全挑战对于确保网络环境的安全至关重要。
123 2
|
1月前
|
网络协议 安全 物联网
网络安全涨知识:基础网络攻防之DDoS攻击
网络安全涨知识:基础网络攻防之DDoS攻击
72 0
|
7月前
|
安全 网络安全 PHP
深入理解PHP的命名空间与自动加载机制网络安全与信息安全:防护之道与攻防之术
【5月更文挑战第29天】在PHP的开发实践中,命名空间和自动加载机制是两个重要的概念,它们共同构成了现代PHP代码组织的基础。本文将详细解释命名空间在PHP中的应用,探讨其解决代码冲突和提高代码复用性的能力,同时深入研究自动加载机制的原理及其在项目中的实际运用,帮助开发者构建更加高效、易于维护的PHP应用。
|
7月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:防护之道与攻防之策
【5月更文挑战第29天】在数字化时代,网络安全与信息安全已成为维护个人隐私、企业资产和国家安全的重要屏障。本文深入探讨了网络安全漏洞的成因、加密技术的应用以及提升安全意识的必要性,旨在为读者提供一个全面的安全防护知识框架。通过对当前网络威胁的分析,我们揭示了安全漏洞的本质及其对信息系统的潜在影响,并介绍了最新的加密技术如何作为防御工具来保护数据传输的安全。此外,文章还强调了培养全民网络安全意识的重要性,提出了一系列实用的安全建议和最佳实践。
|
2月前
|
算法 安全 Shell
2024i春秋第四届长城杯网络安全大赛暨京津冀网络安全技能竞赛初赛wp-flowershop+easyre
2024i春秋第四届长城杯网络安全大赛暨京津冀网络安全技能竞赛初赛wp-flowershop+easyre
176 1
|
7月前
|
SQL 安全 网络安全
网络安全与信息安全:防护之道与攻防之策
【5月更文挑战第13天】 在数字化时代,网络安全和信息安全已成为维护信息空间稳定的关键。本文深入探讨了网络安全漏洞的成因、加密技术的应用以及提升安全意识的重要性。通过对现有安全威胁的分析,提出了一系列防御策略,并强调了持续教育和技术创新在构建坚固防线中的作用。
|
4月前
|
安全 网络安全 数据安全/隐私保护
网络攻防演练需要注意哪些
【8月更文挑战第14天】
118 1
|
4月前
|
消息中间件 Kafka Java
Spring 框架与 Kafka 联姻,竟引发软件世界的革命风暴!事件驱动架构震撼登场!
【8月更文挑战第31天】《Spring 框架与 Kafka 集成:实现事件驱动架构》介绍如何利用 Spring 框架的强大功能与 Kafka 分布式流平台结合,构建灵活且可扩展的事件驱动系统。通过添加 Spring Kafka 依赖并配置 Kafka 连接信息,可以轻松实现消息的生产和消费。文中详细展示了如何设置 `KafkaTemplate`、`ProducerFactory` 和 `ConsumerFactory`,并通过示例代码说明了生产者发送消息及消费者接收消息的具体实现。这一组合为构建高效可靠的分布式应用程序提供了有力支持。
118 0
|
6月前
|
SQL 安全 网络安全
网络安全攻防实战:黑客与白帽子的较量
【6月更文挑战第29天】网络安全战场,黑客与白帽子的博弈日益激烈。黑客利用漏洞扫描、DDoS、SQL注入等手段发起攻击,而白帽子则通过防火墙、入侵检测、数据加密等技术防守。双方在技术与智慧的较量中,未来将更多融入AI、区块链等先进技术,提升攻防效率与安全性。面对网络威胁,提升技能与意识至关重要。
|
7月前
|
网络协议 安全 网络安全
【题目】【网络系统管理】2022年江苏省职业院校技能大赛 高职竞赛样题
【题目】【网络系统管理】2022年江苏省职业院校技能大赛 高职竞赛样题
【题目】【网络系统管理】2022年江苏省职业院校技能大赛 高职竞赛样题
下一篇
DataWorks