本文讲的是ISW 2017:比CTF更刺激的真实网络攻防竞赛,北京西二环一家五星级酒店里,一场异常激烈的网络安全竞赛刚刚落下帷幕。
ISW 2017,由永信至诚和锦行科技联合承办。这两家公司,前一家擅长网络环境(靶场)搭建,后一家以渗透技术闻名,它们决定不走传统CTF比赛的老路,要尝试进行真实网络攻防对抗,于是便有了这一场竞赛。
在网络安全人才培育上,CTF一直是最重要的几种形式之一。它通过精巧的考题设置,加深参与者对具体知识点的理解,是高校或业界不可或缺的教学培训手段。但CTF缺陷也很明显,它无法培训出具备实战能力的选手,面对真实网络环境攻防较为乏力。
ISW是一次转变。相比过去,我们现在有了强大的靶场搭建和网络攻防能力,为什么不做个真实环境竞赛试试呢?
赛制:首次设计
ISW设置了两天的赛时,29小时,10只参赛队伍(每队三人),10位网络管理员。
赛题:有一个运营商公司网络,你需要在限定时间内攻破防线,拿到其核心数据库里某位用户的信息。这个网络有很多蜜罐,攻击者在最短时间拿下目标、并留下最少痕迹,即完成任务。
参赛者:每队仅1人可上网查找资料,连接网络为主办方设置。
管理员:正常上班时间内,每两小时巡查一次网络,每次15分钟。管理员有6个节点权限(总共31个)。管理员可以查看各类日志,发现异常行为保存起来,可以删webshell、杀死恶意进程、踢掉恶意用户。
赛场:五脏俱全
中小型竞赛没法搭建太大的赛场,但ISW相对来说还算“五脏俱全”,它虚拟的企业网络,外部服务区、内部服务区、办公区、核心区、管理区几个板块都有,每个区域都有将近一半节点是蜜罐。考虑到参赛难度,这次并没有模拟真正的运营商网络环境,而是搭建典型企业网络环境。
值得一提的是,现场只放了20台机器,也就是说永信至诚用每两台机器就可以虚拟出一个典型企业网络环境,包括业务和蜜罐一共31个节点,这个水准算是很不错的。
竞赛实况
参赛的十支队伍,来自全国各地高校和企业,CTF、渗透、漏洞挖掘的选手都有。嘶吼编辑两天现场都感受过,氛围基本上和CTF比赛类似,这个可说的不多。
讲下战况吧,开场大约十几分钟,Triangle团队(北邮)率先拿下一血,攻下网络文件系统节点;SecID团队紧追,半小时左右攻下网络文件系统、管理主机两个节点。
十九小时后,也就是今天凌晨五点,Triangle团队成功拿下核心服务节点权限,获得核心数据库。在临近结束时候,战况图显示这支团队已经拿下19个节点控制权。
截止结束时间,仅有北邮Triangle团队成功完成任务,据说有团队已经拿到核心服务节点的跳板节点权限,只差临门一脚连入核心服务节点,不知为啥没去做。
管理员们第一天很忙,一到巡查时间,马上上机器查日志,看到异常文件、操作记录日志、用户名啥的都截图留证,删webshell、踢用户经常干。第二天相对轻松些,基本上越到后边记录越少,我甚至看到似乎有个团队放弃,导致对应的管理员没有记录无事可干,很是无奈的看着旁边人干活。
参赛队伍里有不少都是粗放型操作,大摇大摆干活也不删日志,导致管理员查获了不少证据。嘶吼编辑看到少数管理员提交可疑行为证据时,多的有二三十张图。
官方解题
比赛结束后两小时出了评奖结果,锦行科技CSO王俊卿上台公布官方解题。
网络架构图
攻击路线图
官方公布的两张图,选手们看着大概会很生感慨。原来之前研究了那么久的节点,居然是蜜罐;之前没碰的果然是蜜罐,幸亏没花时间;原来某个节点,是利用某个技术才能破的…
攻击路线图里许多攻击方式,都是最近几年非常热门的,比如discuz、ssrf、redis、st2-rce、mysql shell等,大家勤搜索都能找到案例,工具利用如mimikatz、密码嗅探等,许多在嘶吼都能搜到方法。
最后
总体来讲,ISW质量挺不错的。CTF当道的时代,需要新方式来激活大家的潜力。某些能力,只有实战才能获得。
唯一稍显遗憾的是没有竞赛总结会,选手、管理员们只能各自私下交流下经验了。
公布下评奖结果,本次竞赛一二三名分别是:北邮Triangle团队、杭电P4ssw0rd团队、周口师范学院WPSEC团队。三支都来自高校,现在高校的攻防人才技术比普通企业都厉害了?
原文发布时间为:2017年9月5日
本文作者:longye
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。