2018京东HITB安全峰会 CTF + 第四届 XCTF 国际联盟总决赛（XCTF 2018 总决赛）将于 11 月 1 日和 2 日举行，届时还将在北京同时举行首届 HITB 网络安全大会！

概述

比赛由 XCTF 联盟和 HITB 共同组织，将是一个混合式夺旗赛，赛项包括各参赛队伍都将广泛参与的危险类挑战和攻防挑战。参赛队伍必须具有邀请资格或获得过 XCTF 联赛或 CTFTIME 比赛的相应排名。

本比赛由中国网络和平技术开发公司开发的 CP-OJ 和 CP-AD 竞赛平台主办。挑战由 XCTF 国际联盟的创建者蓝莲 CTF 团队、The Order of the Overflow (New Lords of DEFCON CTF)、PPP（全球最强大 CTF 团队之一）和 HITB CTF 团队成员等极客发起。

比赛现场可容纳 30 支参赛队伍（每队不超过 4 人)。根据 CTFTIME 2018 排行榜，18 支参赛队伍已经通过资格赛进入预审环节；根据 CTFTIME 2018 排名要求罗列出 6 支通过预审的国际团队。

会议为期两天，安全对抗赛维持 30 小时（11月1日上午 09:00 -- 18:00，以及 11 月 2 日 上午 09:00 -- 17:00）。期间提供一小时午休时间和硬件极客休息时间。现场比赛将在会议的自由活动区举办。非付费参会代表也可以参加竞赛。

评分

XCTF 2018 总决赛将是一场攻防式比赛，需要攻下几个攻防服务和并行运行的一些危险挑战(Jeopardy Challenges)。因此，团队攻克不同挑战时，需要决定如何分配时间和资源。

在危险类赛题中有多种挑战，包括逆反向工程、pwnable、人工智能（AI）攻击、硬件攻击、网络渗透、加密、取证分析、网络分析等。您解决的问题越多，得分也就越高！根据解决问题的团队的数量动态计算每个问题的得分。解决挑战的团队越少、解决挑战的难度越高，分数也越高。因此，团队应该选择某种最优得分策略。

得分详情

对于攻防式比赛，我们将采用类似 DEFCON CTF 2018 总决赛的规则 —— 并没有采用“零和”计分规则，而是采用“累计”计分规则。

最后总分考虑如下因素：

• 攻击得分（从其他队的服务中盗取旗帜）将占总分的 20%。

• 防守得分（维护服务，对抗进攻方的进攻）将占总分的 20%。

• 危险挑战得分（通过解决危险挑战获得）占总分60%。

• 危险挑战得分来自提交的 PoC测试、最终代码 + 提交的旗帜。

备注： 未设置“SLA”或“正常运行时间”得分。

• 服务缺陷每成功守护住一次，防御分加 1 分。

• 每检索到一面旗帜，攻击方就得一分，除非检索到己方旗帜。

打补丁

组织方不允许您运行有明显漏洞的服务。比赛中我们统一控制所有服务机，实现统一代管。

您需要提交补丁供组织方评估。您提交的补丁如果无法通过功能测试，我们不会部署这样的补丁。部署补丁后，如果补丁功能测试未通过，补丁将被退回重审。

组织方不赞成采取自动防御措施。多数服务会严格限制可分配文件的数量和可更改文件的大小。请根据具体情况做好相应安排。

获得预审资格的团队

以下赛事的获胜方自动获得决赛权

1. XMan（中国大陆）– HITB GSEC .edu CTF 获胜方；

2. Nu1L（中国大陆）– SCTF 2018 获胜方；

3. Dubhe（中国大陆）– SUCTF 2018 获胜方；

4. CyKor（韩国）– RCTF 2018 获胜方；

5. 0ops（中国大陆）– *CTF 2018 获胜方；

6. r3kapig（中国大陆） – Eur3kA 联队 (N1CTF 2018) + FlappyPig （2017 年 XCTF 决赛）；

7. AAA（中国大陆） – WHCTF 2017 获胜方；

第 4 轮 XCTF 排名中的 17 强有资格进入决赛

9. Vidar-Team（中国大陆）；

10. kn0ck（中国大陆）；

11. ROIS（中国大陆）；

12. ******（中国大陆）；

13. Balsn（中国台湾）；

14. SU（中国大陆）；

15. Redbud（中国大陆）；

16. Whitzard（中国大陆）；

17. Lancet（中国大陆）；

18. De1ta（中国大陆）；

19. PwnThyBytes（罗马尼亚）；

20. X1cT34m（中国大陆）；

21. CNSS（中国大陆）；

22. lilac（中国大陆）；

23. 空缺；

24. 空缺；

25. 空缺；

26. 空缺；

27. 空缺；

28. 空缺；

29. 空缺；

30. 空缺；

CTF 团队还有 12 个名额。登记时，请以团队名义发登记邮件到 hitbpek-ctf@hackinthebox.org 。我们将审核这些登记团队，审核通过后我们会向您发出邀请函。请将您的如下信息发送给我们：

• 团队名称 + 所在国家

• 团队队长姓名/领导 + 电子邮箱地址

• 团队成员姓名/领导 + 电子邮箱地址

• 您所在的团队曾经参加过哪些夺旗赛(CTF) 及上次夺旗赛的排名/得分（提供链接，如适用）。

需要自备的物件（对于亲临参赛现场的团队）：

• 笔记本电脑；

• 网线；

• 额外的电源插座/电源套装 / 电源适配器；

• （建议项）方便您上网的 4G 路由器。

规则

参赛中，我们会尽量营造既轻松又不失紧张的良好参赛氛围；参赛过程中，大家需遵守一些简单的规定：

• 请准时参赛，否则可能会错过赛前通告会。

• 请勿与使用独立账号的团队合作。

• 竞赛中分享旗帜或暗示其他团队均属于作弊行为，请避免违规！禁止使用 NeSUS 和 OpenVAS 等现成的自动化扫描工具。这样做徒劳无益，我们会将您踢出比赛。

• 请勿攻击竞赛中使用的基础设施。如果发现缺陷或漏洞，请马上上报竞赛组织方。

• 千万不可使用 SE 或物理攻击或破坏其他参赛团队，也不可以任何方式破坏自由竞争氛围。

• 请勿暴力攻击评分服务器，破解挑战旗帜 / 密钥。

• 禁止使用 DoS 攻击 CTF 平台或任何危险挑战服务。

• 中途休息时，所有参赛选手需听从统一号令。中途发出比赛暂停的统一号令后，所有参赛选手必须离开 CTF 区，以便 CTF 工作人员进行维护保养工作。违规团队将受处罚或取消比赛资格。

• 组织方有权发布 HITB 和 XCTF 比赛的长期（> 1年）禁令。

出现难以定夺的问题时，一律以 HITB 和 XCTF 全体队友的最终决定为准。

奖金

第一名: 10,000美元

(HITB2018Dubai自动获得入赛权)

第二名: 5,000 美元

第三名: 2,000 美元

优异奖(3 队): 礼品 + 证书

特等奖(4 队): 证书

CTF 奖金赞助商

赛事组织机构

平台支持

赛事作者