引言

XP靶场挑战赛重磅来袭!360、百度、北信源、金山和腾讯等各路豪杰齐聚擂台,为同心共保XP用户安全,勇敢迎接八方英雄的挑战。安全防护产品能否保住用户安全?挑战者能否突破安全防线?盾坚or矛利?愿盾益坚,愿矛弥利!

本期挑战以XP SP3作为靶机,模拟XP用户真实的环境,考验挑战者能否利用XP系统漏洞,绕过防护产品,从靶机上获取目标文件。

大赛时间
报名时间 2014年 7月19日-2014年 7月28日
挑战时间 2014年 7月31日 8:00——20:00
挑战时长 12小时
公布结果 2014年8月1日
活动简介

本期挑战活动是由竞评演练工作组主办。本期挑战活动面向所有的安全技术从业人员和爱好者开放。靶机选择国内知名的安全防护软件产品,包括360安全卫士(XP盾甲)、百度杀毒、北信源金甲防线、金山毒霸(XP防护盾)和腾讯电脑管家(XP专属版本),参照国际惯例,安全防护软件选择各个安全厂商7月30日中午12点的最新版本 (比赛时间为7月31日早上8点),并开启全部XP加固防护功能。大赛组委会郑重承诺:安全防护软件版本来自各安全厂商的官网,且没有经过任何修改。 攻破任意的靶机,前十名均可获得4000元至50000元不等的奖金,并颁发精美的获奖证书,您可关注XP靶场挑战赛新浪官方微博:@XP靶场挑战赛,参与#XP靶场挑战赛#话题讨论,欢迎大家参与互动!

挑战流程

挑战平台为每个挑战者提供一个相对封闭局域网环境。环境中包含两台机器,一台靶机(XP SP3+安全防护软件),一台Web服务器(XP+IIS)。还提供控制靶机访问服务器指定页面的功能。

  • 挑战者在Web服务器建立网站,上传包含测试代码的页面

  • 挑战者控制靶机打开IE8.0访问网站指定页面(比赛开始时分配),从靶机上获取指定的文件(比赛开始时分配路径)

  • 挑战者向系统提交指定文件的验证码,并提交攻击报告

  • 组委会审核挑战方案

  • 根据审核结果和提交时间确定名次

XP靶场挑战赛奖金方案
  • 1、突破安全防护产品的且提供有效攻击代码(POC)的第1-10名挑战者将获得奖励。
  • 2、挑战赛奖金分为基本奖和额外奖两部分。基本奖由组委会提供;额外奖由厂商自愿赞助,赞助奖金额度也由厂商自主决定。基本奖平均分配在5个靶标上。
  • 3、额外奖奖励前三名,由于厂商提供的赞助奖金额度不同,各靶标的额外奖有多有少。
  • 4、基本奖每家靶标3万,奖给第4-10名:每人4000元。
  • 5、详情请见奖金设置
挑战环境说明
  • 1、挑战平台为每个挑战者提供一个相对封闭的虚拟局域网环境,内有两台虚拟机,一台靶机,一台Web服务器。
  • 2、Web服务器:XP中文专业版+IIS,IIS不开启ASP支持,不支持PHP, 内设FTP服务器,攻击者可以查看、上传、下载IIS根目录下的文件。
  • 3、靶机:XP中文专业版+SP3+ie8+安全防护软件 ,安全防护软件为360安全卫士(XP盾甲)、百度杀毒、北信源金甲防线、金山毒霸(XP防护盾)和腾讯电脑管家(XP专属版本)中的任意一款。
  • 4、目标:靶机下指定文件(比赛开始时临时分配路径),里面存放攻击成功的验证码,每台靶机都有自己唯一的验证码。
  • 5、系统提供查看、上传、下载web服务器IIS根目录下的文件的功能,和控制靶机访问挑战者建立的指定页面的功能。
  • 6、安全软件的版本,会根据比赛开始时间挑选各款安全软件的XP专版的最新版本进行挑战,没有XP专版的,使用通用版本。
安全软件要求
  • XP靶场挑战赛将对安全软件的异常拦截行为进行采集取证。异常拦截行为是指针对大赛环境与规则进行的特定拦截行为,包含但不限于:
  • 1、禁止任何程序读取指定目标文档。
  • 2、禁止访问靶场特定的网址/IP。
  • 3、禁止访问靶场特定的端口。
  • 4、攻击靶标环境,导致靶标环境不可用。
  • 5、攻击挑战平台,导致挑战平台不可用。
  • 6、其他情况,由大赛组委会出具相关证据判定。
  • 一旦出现上述情况,组委会公示所采集的异常拦截行为数据,并取消安全厂商的参赛资格,保留法律追究的权利。
注意事项
  • 1、 系统不提供挑战者直接登录web服务器和靶机的功能。
  • 2、挑战者在一个时间段内,只允许申请一套环境,如果需要改攻其他目标,请完成已有的攻击任务,或者放弃已申请的目标,一旦放弃,在本期活动中将不能再申请攻击该目标。
  • 3、挑战者不得修改环境中Web服务器的IP地址,如修改,后果自负。
  • 4、请将获得的验证码提交到XP挑战平台中验证。系统验证成功,才能算提交成功。如果是通过攻击途径获得的验证码,但提交不成功,请立刻联系管理员。
  • 5、系统以提交验证码的时间为准计算攻击成功的时间。挑战成功后,请先提交验证码,后提交攻击报告。
  • 6、攻击报告一定要清楚明了,以便组委会验证攻击过程的有效性。
  • 7、挑战者不得攻击除目标以外的其他东东,一旦发现,将追究法律责任。
  • 8、在挑战过程中,挑战者最多可以尝试50次访问自己构造的网页,超过次数系统自动禁止访问。
复核规则
  • 1、大赛技术委员会将对挑战者提交的结果进行复核,复核方法是:在全新的测试环境中,使用参赛者提供的网页代码,测试结果的有效性,会测试2次,如果有任意一次成功,则结果有效。
  • 2、大赛技术委员会将会对参赛的安全软件进行规则风险规避测试,测试的结果将公布在XP靶场挑战赛的官网。
  • 3、凡利用违规途径的成绩作废。