MRCTF2020后记

关于比赛

一开始这个比赛本来是作为校内招新赛的(这也是为啥 QQ 群群标题写的新生赛,因为它确实是),然后某位社团 Dalao 为了多拉几个人把比赛告诉了 BUU 的几个成员,结果没想到拉来了几百个人。人一多问题就多了起来,于是临时加题又联系了更好的服务器-感谢 HKServerSolution 的大佬提供的性能充足的服务器。事实证明加强版服务器挺有用的,后面挨了 17Gbps 的 DDoS,都被 cera 吃掉了,让比赛没有中断。

赛后资料

  • WriteUP: 参见官方仓库
  • 题目:会稍晚上架 BUUOJ
  • 统计信息
    共有 672 位用户参与比赛,其中 414 位至少答对了一题
    共 5539 次提交 Flag,正确提交 2271 次
  • 题目正确率统计

咱的参与

我是作为出题人和假的运维双重角色在做dang贡ku献li的,成功贡献了本次比赛可能是最招人恨的两个题(ISS 和 WebAssembly 两题)。另外还有以太坊两题和没啥存在感的 Vigenere,顺带感谢天璇其他成员提供的高质量题目,Retr0 哥和 Eki 佬的题目很给力,然后现代密码的提供大佬也是出的很好。(我最菜了.jpg)
然后最大感受就是写 Web3 Checker (以太坊题) 的时候被 JS 折磨(本来想做成 Cloudflare Worker,但是 Webpack 不太喜欢我的样子…)

出题注解

以太坊

SimpleReveal 那题其实有点失误,我没想到能 etherscan 能直接看见那个 string,我本来想考的考点是 EVM 的所谓私有变量,也就是利用 Web3.eth.getStorageAt() 读合约。
稍晚我会写点以太坊安全入门知识,可以关注 我的 solidity 安全问题仓库

其他题

Web Assembly 那题那个用户名和 No Injection 是某位 dalao 提供的迷惑性建议(甚至还把 Qt for WebAssembly logo 换成了 SQL 那个 svg 增强迷惑性)。啊,明明 burp 和 F12一眼就能看见这玩意没有网络请求。可能我这题有点加料加猛了?
ISS 那题考到了无线电知识,有一说一 SSTV 确实听多了会损害耳朵,不过我是真没想到有人觉得自己能光靠听听出来,啊这。

经验之类的

怎么说呢,这其实是我第二次组织 CTF,第一次组织这么大规模的比赛,然后主办方其他人也是第一次,因此出现了一些比较搞笑的错误:例如 spfa 和另几个题的故障,还有 frp 的端口映射问题(哦豁)。总的来说过程还算有惊无险吧。

发表评论

邮箱地址不会被公开。 必填项已用*标注