從10支隊伍到近千支隊伍，2018 WCTF 有哪些精彩瞬間？

「本次WCTF的冠軍戰隊是來自日本的 TokyoWesterns，亞軍戰隊是來自波蘭的 Dragon Sector，獲得第三名的是來自韓國的戰隊 Cykor。」

2018年7月8日下午6點，北京望京凱悅酒店，主持人宣布了為期三天的 2018 WCTF世界黑客大師賽的最終結果。

7月7日公布的解題分數

註：左側是10個戰隊的名稱和相應的分數，最上面一行是每道題的名稱，灰旗是出題隊，紅旗是第一個解出這道題的隊，依次為黃綠藍

其實，WCTF 的解題成績早在7月7日下午6點半就已經公布了，之所以要等到 8 號下午才公布最終結果，是因為 WCTF 的特殊賽制-----它並不僅僅只考察每個隊伍的做題能力，還要比拼各個戰隊對題目的「分享」貢獻。

「分享」主要體現在兩點：第一，本次比賽的賽題完全由這10支隊伍自己來出，他們每隊要分享出2道精彩的題目給另外9個隊去解；第二，在解題結束後的第三天，各個戰隊還要對自己所出的題目進行講解，即「技術分享」，其他的 9 個戰隊會同現場的評委一起，對這道題目的質量和現場的分享情況進行打分和提問，如果題出的不好，那就等著在台上被其他隊「懟」吧～

由於出題者和解題者都是這十支隊伍，所以這場比賽的第一大忌就是不準提前泄露賽題，另外兩個是不準攻擊比賽的伺服器、不準攻擊其他選手的伺服器，一經發現，立即取消比賽資格（關於後兩項規則，大家可以去度娘上扒一扒「LCBC」戰隊的故事）。

拿什麼來吸引強隊參賽

由於首開「互相出題」的特殊賽制，意味著參賽的隊伍必須也要水平相當，否則會出現強隊的題目太難，弱隊的題目太簡單的狀況，據參賽隊伍之一的 r3kapig 隊員透露，此前也曾參加過一場類似賽制的比賽，結果有個隊竟然出了一道答案為 「aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" 的弱密碼題目。。。

從2016年第一屆的 WCTF 開始，主辦方360 Vulcan 團隊邀請的都為世界強隊，如果你日常關注 CTF比賽，那肯定對本屆的參賽隊伍不陌生，在此不再做一一介紹，感興趣的可以去問度娘，這些戰隊背後的故事也很精彩。

上圖為今年參賽的十支戰隊，雷鋒網對比了目前 CTFTIME 前10名的排行，有5支參加了今年的WCTF。

截止發稿前 CTFTIME 的十強排行榜

據組織者之一的李康透露，大師賽是邀請制，主要根據 CTFTIME 的排位來邀請（CTFTIME類似於教育界的QS世界大學排名），前10名肯定會邀請，如果有不能來的，按照具體情況再從10-15名繼續邀請。

Vulcan 團隊負責人 MJ 解釋，WCTF 大師賽的亮點就是難度高，獎金也高，並且對出題的質量要求也很高。在邀請過程中，有些實力很強的隊伍其實是可以空出來3天時間來參賽的，但由於沒有足夠的精力來準備出代表自己水平的題目，最終放棄了參加比賽。

說白了，這些頂級隊伍來參賽的原因，第一，錢；第二，奔著題目的質量和比賽的獨特性而來。

從雷鋒網在現場對冠亞軍戰隊 TokyoWesterns 和  Dragon Sector 的採訪來看，後者的吸引力對他們更大一些（起碼他們對外是這麼說的），身為頂級的CTF戰隊，他們很想來看看對手的腦洞能開多大。

不過，獎金仍然是WCTF的亮點之一，作為目前獎金規格最高的奪旗類黑客賽事，WCTF 共設置10萬美元獎金，由前三名獲得，第一名5萬美金，第二名3萬美金，第三名2萬美金。以現在的匯率來算，TokyoWesterns 戰隊可以把 33 萬人民幣抱回家。

那為何要砸重金舉辦這樣一場比賽？

MJ 告訴雷鋒網，在中國的黑客大賽中，已經有水平很高的破解類大賽，比如極棒大賽等，但是頂尖的 CTF 大賽還比較少，目前國內的 CTF大賽更多是學生參與多一些，他們從2016年開始辦這樣一場比賽就是希望讓更多的 CTF 愛好者來切身感受一下，頂級的戰隊是如何出題的、如何做題的，他們出題的思路是什麼，具體應該怎麼解？

不過，這種賽制在前兩年也出現過這樣的狀況：作為戰隊來說，當然希望能夠把題目出的難一些，難到別的隊都解不出來，所以有些戰隊會故意設置障礙，而不是從賽題的精彩度出發來出題。總而言之，由於難度太大，降低了比賽的觀賞性和精彩性。

而在今年，會對題目進行更加嚴格的審核，主辦方希望題目的難度高在精彩程度，而不僅僅是故意為對手設置障礙，如果是後者，很有可能在最終的技術分享環節中，被裁判和其他戰隊打低分。在最終的結果中，第8、9名就因在技術分享環節的不同表現而變換名次。

據 MJ 介紹 ，今年的題目並非都是「曲高和寡」的，比如今年區塊鏈非常火，所以這次的 WCTF 就有關於智能合約的漏洞破解，他們需要模擬出真實的類似於銀行的區塊鏈虛擬網路，這個網路中也會存在有虛擬貨幣，其他9支戰隊可以對此進行攻擊，來控制裡面的貨幣和交易等環節。

此外，我們日常遇到的瀏覽器漏洞和手機晶元漏洞，在這次大賽的題目中也會出現。這些更為實用和精彩的破解，是本屆比賽的變化之一。

不過，相比於前兩屆，最大的變化還要屬此次比賽新增加的兩場比賽－－－新銳賽和線上賽。

新銳賽有隊伍的解題成績可以排到大師賽的第6名

雷鋒網發現，在比賽現場，除了10個老牌戰隊圍在評委周邊，在不遠處的隔斷外，還有十支年輕的高校隊伍參加。

雖然大師賽依然是WCTF的重點，但新銳賽和線上賽是今年賽制變化最大的地方，李康解釋，當初賽事的初衷就是希望更多的人可以不用出國，在國內就接觸到很強的戰隊進行高水平的對決，所以這次舉辦新銳賽，也是為了吸引更多的學生戰隊來參與。

除了這 10 所高校的戰隊，本次賽事也面向全球的 CTF 愛好者開放，只要在官網進行註冊，就能參與到解題中來。據官方公布的數字，這次的線上賽有近千支戰隊報名，其中包括 200 多支國內戰隊。他們會跟大師賽的開賽時間相同，題目也相同。

至於賽後的題目分享，鄭文彬透露賽後至少會把各個戰隊針對解題的 PPT 公布出來，由於在部署過程中對題目有深入的了解，所以Vulcan 團隊也會對題目進行一些解析。

雖然過程很「虐人」，但MJ表示，在看到新銳賽的結果時，還是非常欣慰。如果只從解題得分來看，有兩支高校隊伍的得分是可以排到大師賽的第6名。

由武漢大學、南京郵電大學、北京郵電大學學生組成的聯合戰隊 Nu1L，砍下了550分，名列新銳賽榜首，來自上海交通大學的 0ops 戰隊僅以 10 分之差的 540 分名列第二，對比大師賽的分數，這兩支隊超過了大師賽第6名的解題分數。而 Nu1L 戰隊也將直接獲得 2019WCTF 大師賽參賽資格。

賽場花絮

1.大師賽如果延長10分鐘，冠軍結果將發生逆轉。

在賽後對 Dragon Sector 的採訪中，雷鋒網得知他們是在比賽結束後的10分鐘，解出了一道「紅旗」題，也就是那種可以直接加 150 分的題目，如果再多給他們 10 分鐘，完全可以反超冠軍 TokyoWesterns 。

在最新的CTFTIME 排行榜中，Dragon Sector 名列榜首，看來「老大表示不服」～

2.為線上比賽部署了1000多台虛擬機。

由於新增了新銳賽和線上賽，這次的參賽規模比較大，所以系統的部署也更具挑戰性。據雷鋒網了解，前兩屆360都是與其他機構來一同承辦的，但今年他們選擇自己來做所有的系統，包括線上比賽的前端系統和現場的可視化系統，

據MJ透露，之前WCTF都是和其他合作夥伴合作的，而今年完全沒有任何第三方參與，因為部署過程太過複雜，一般做CTF的公司未必有這個能力來做，必須得自己來，光部署就花了1個月的時間。

今年比賽由一場變為三場，比賽從十個隊變成近千支隊伍，所以對於系統部署和測試來說，複雜度很大，一個題目可能要獨佔一個虛擬機。本次比賽，在雲端為線上比賽準備了一千多台虛擬機，線下也有很多伺服器的資源部署，因為要引入很多新技術進來，真正理解和部署這些題目需要舉辦方自身也具備相當的技術能力。

3.出題有破綻，導致場上絕大多數戰隊都通過其他方式解出了他們的題目。

賽後「 r3kapig 」的隊員告訴雷鋒網，由於此次比賽他們出的一道題目有破綻，所以導致場上的絕大多數隊伍都很快的解出了他們的題目，而不是按照他們事先預想的步驟來。

由於他們自己不能解自己的出的題，導致因這道題非常吃虧。

4.用戶界面不友好會被懟。

在賽後的技術分享環節中， Dragon Sector 開懟 r3kapig 戰隊，認為他們有道題目的用戶界面不太友好，所以加長了自己的做題時間。

「 r3kapig 」解釋稱，之所以界面不太友好，是因為現有的基礎界面是為了避免一些不確定的因素，比如換一個界面，其他戰隊可能會通過界面中的漏洞來破解出題目，所以才用了最原始的，不過對於做題的人來說確實不太友好，所以這個建議他們也接受。

5.這是一場「粉絲」見面會。

在第一天比賽間隙，李康對這次新的賽制有一個有趣的比喻－－－「粉絲見面會」，新銳賽和大師賽在同一場地比賽，加上線上賽，這能讓一些 CTF 愛好者跟黑客大師們同場競技，在線上賽中，有很多是普通大學生，甚至高中生和初中生，這就像球迷見到真正球星一樣。

李康說如果時光倒回二三十年前，他還只是一個學生，那他一定會作為粉絲來看看，也許看了之後覺得這是他熱愛的行業，要投身進來；也許看了之後會發現自己可能永遠達不到大師的水準，放棄進入安全行業。

6.開賽後的半小時，一直在調整線上賽的伺服器。

在問到此次比賽有遇到什麼困難時，MJ坦言，今年的步子可能邁的稍微有點大，在7月6號比賽剛剛開始時，他們還是沒有預估到近千支隊伍同時解題時對於伺服器所造成的壓力，所以花了半個小時來調整系統。不過他也表示並不後悔，今年嘗試了之後，明年就可以更加成熟的進行比賽，具體他們會在賽後再做復盤。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！