大赛首页 大赛简介 大赛规则 大赛流程 大赛新闻 大赛题目 FAQ
第二届360杯全国大学生信息安全技术大赛

360校园

了解更多

请关注官方微信

大赛简介:

奇虎360作为中国互联网最大的安全公司,一直以维护用户的上网安全,提高全体网民的安全意识为己任。 360杯全国大学生信息安全技术大赛如今迎来第二届,此赛事致力于增强大学生对网络安全知识的兴趣和网络安全意识,提高大学生网络攻防实战能力,培养信息安全方面的高素质人才。

此次大赛规模盛大,面向华北,华东,华南,华中,东北,西北,西南七大赛区,以北京邮电大学,杭州电子科技大学,福州大学,华中科技大学,吉林大学,西安电子科技大学,重庆邮电大学为赛点进行预赛选出高校中最强的安全团队。这七支最强的团队,将参加8月底在北京举行的安全之旅总决赛,不仅会获得高额奖品,拿到360实习offer (应届毕业生可进入360应届校招绿色通道),决赛的优胜队伍更有机会参加9月份由360举办的全国互联网安全大会,领略全球顶尖安全人员的风采。

群雄争霸,孰能称王,究竟哪所高校的哪支团队,将会是高校中信息安全专业的最强团队,让我们拭目以待!

预赛:

比赛地点:各赛区承办高校
比赛时间:2014年5月24日 到25日
每队人数:3人(不含领队教师,可配备领队教师一名)

决赛:

比赛地点:北京奇虎360总部
比赛时间:2014年8月底
参赛战队数量:预赛7个赛区的第一名团队
每队人数:3人(不含领队教师,可配备领队教师一名)

大赛奖励:

预赛:

一等奖

一支队伍
9000元奖品及荣誉证书

二等奖

一支队伍
6000元奖品及荣誉证书

三等奖

一支队伍
3000元奖品及荣誉证书

预赛一等奖队伍还可获得以下奖励:

8月北京安全体验之旅,安全导师技术指导,大赛获奖选手将获得360实习offer ,应届毕业生可进入360应届校招绿色通道

决赛:

优胜团队

一支队伍
18000元奖品、荣誉证书
及奖杯

优秀个人

共3人
每人MAC笔记本一台
及荣誉证书

本大赛最终解释权归北京奇虎科技有限公司所有

主办单位:360互联网安全中心网络安全应急技术国家工程实验室

承办单位:北京邮电大学杭州电子科技大学福州大学华中科技大学吉林大学西安电子科技大学重庆邮电大学

大赛规则

1.比赛形式:

a). 夺旗赛-闯关得分
b). 网络攻防

2.题型范围:

本次大赛可能涉及到Web安全、网络安全、客户端安全、加密破解、信息隐藏、编程开发等常用攻防手段。

3.赛场规则:

a). 参赛选手需要自带笔记本电脑,并准备好自己的参赛环境、工具等
b). 遵守大赛纪律,不得在比赛场地内大声喧哗
c). 比赛期间允许参赛者访问外网查看资料,但禁止以任何形式请求援助或交流比赛内容及过关攻略,含:QQ、微信、飞信等IM及手机、对讲机等通信设备
d). 比赛过程中严禁任何可能影响比赛正常进行的攻击方式如:ARP、DDOS
违反上述任意规定者直接取消参赛资格

大赛新闻

  • 专访2014年度中国最强高校黑客团队 2014 . 8 . 25

    8月24日,第二届“360杯全国大学生信息安全技术大赛”在北京圆满落下帷幕。来自浙江大学AAA团队力挫国内九大校园安全团队,夺得本次大赛总冠军。比赛结束后,51CTO记者对本次的获胜团队进行了采访。

    浙江大学AAA团队

    扎实的基本功是成为最强黑客的奠基石

    作为本次大赛获得一等奖的团队成员,他们分别来自浙江大学陈宇森(大四)、浙江大学张酉夫(大三)上海交通大学冯思稷(大二)。采访中几位同学都略显羞涩,但是聊起比赛又侃侃而谈。他们告诉记者,在前一天,只睡了两个小时。而在本次比赛中,也是在最后的五分钟逆袭了清华大学的团队,最终赢得了比赛,这让记者感受到深深的活力和对一群热爱信息安全的孩子们的敬意。

    在这个团队中,陈宇森和张酉夫也在不久之前作为“蓝莲花”团队的成员参加了2014年DEFCON夺旗赛全球总决赛,并以团队第五的成绩再次刷新了“蓝莲花”的战绩。有着如此优异的成绩,关于学业方面,他们坦言由于对信息安全方面的热爱,也会造成一些基础课的薄弱,但是还可以应付。专业课方面,由于本身都是计算机专业,而如果要成为一名优秀的黑客,专业课方面扎实的基本功是必修的,因此对整个学业,影响不是很大。

    此外,据浙江大学的同学透露,浙江大学会学生的这项兴趣爱好也非常支持。尤其是设备和软件方面的采购,学校会提供部分经费,并派出专业老师给予指导。

    实战性的比赛让理论完美落地

    DEFCON CTF 以实战著称,“360杯全国大学生信息安全技术大赛”总决赛也以靶场攻防实战为主。据悉,本次决赛中,主办方预先设置了10组靶机环境,每组由若干台存在弱点的虚拟机组成,且分为三个层次。参赛选手需自行挖掘发现存在的漏洞,使用加固对抗、痕迹隐藏等方式实现对靶机的控制。每破解一层才有晋级下一关。并且,决赛中还设置有3个“彩蛋”密码箱,抢先开启密码箱的选手将获得意外惊喜。

    决赛中涉及web渗透、漏洞挖掘、逆向破解、漏洞修复、编程开发等常用网络安全技术。以此考察参赛者安全渗透测试、逆向破解等的实战,着重突出参赛队伍“攻”和“防”两方面综合能力。

    获奖同学也表示,希望这类比赛更多一些,作为参加过更多国内外比赛的陈宇森认为:就目前来说国外的比赛更偏重于二进制层面,国内则是属于web层面,这是一个非常重要的不同。此外,在平时的时候,也会做一些授权攻击进行实战演练,但是毕竟校园的坏境有限,因此期待更多这样的比赛。

    此外,对于目前国内高校的现状也可以看出,校园中对信息安全感兴趣的并不多。相比亚洲其他一些国家相关的教育机制,例如在韩国、日本在高中开始就有一些有关信息安全方面的比赛,相比之下,我们目前还是有欠缺的。

    丰富的奖励让同学们收获满满

    本次比赛,作为主办方的360公司也给予同学们丰富的物质奖励和技术支持。大赛总冠军,将分享价值18000元的大奖,并且还获得价值15000元的“首届安全训练营”门票三张,他们将会接受顶尖安全大牛们的一对一技术指导。

    另外,来自浙江大学、清华大学、长春理工大学的三名同学提出漏洞解决办法最多,分别获得7888元的MAC本一台及优秀个人的荣誉称号。此外,所有参加决赛的选手均可以免费获得9月份中国互联网安全大会(isc.360.cn)门票,亲身领略国内最大安全峰会的盛况

    因此通过第二届“360杯全国大学生信息安全技术大赛”,学生们不仅得到了一个才华展现的舞台,也为企业行业挖掘、引导、培养了一大批专业人才,同时推动了中国网络安全行业进一步发展。

    后记:采访结束,已是夜里9点多。但是在几个年轻人的脸上,你并看不到疲惫,他们兴奋的告诉记者,一会还要去请其他战队的小伙伴们吃大餐。采访中,他们并不掩饰自己对信息安全方面的热爱,但是对未来的职业规划也并没有很明确的目标,也许他们未来并不会真的从事信息安全这个行业,但是我们相信,这些比赛对他们来说是受益匪浅,终身难忘的。

    >>展开查看更多<<>>收起更多<<
  • 2014年度中国最强高校黑客团队现身 2014 . 8 . 24

    8月24日,第二届“360杯全国大学生信息安全技术大赛”在北京圆满落下帷幕。来自浙江大学AAA团队力挫国内九大校园安全团队,夺得本次大赛总冠军。同时三个同学获得优秀个人奖项。

     

     

    本次大赛自今年5月24日启动以来,吸引了数十所高校的二百多只信息安全团队参与。大赛分为华北、华东、华南、华中、东北、西北、西南七大赛区,比赛内容包括Web安全、网络安全、客户端安全、加密破解、信息隐藏、编程开发等常用攻防手段等。

    经过多轮紧张激烈的预赛,来自清华大学、浙江大学、华中科技大学、吉林大学、西安电子科技大学、福州大学、电子科技大学等7个团队以及3个分赛区联队最终脱颖而出,参加了8月23-24日在北京举办冠军总决赛。

    据悉,参加总决赛的多个高校选手,曾经代表国内校园信息安全团队参加DEFCON CTF大赛,与谷歌等国际职业安全团队现场PK,并获得第五名的好成绩。

    DEFCON CTF 以真实模拟著称,“360杯全国大学生信息安全技术大赛”总决赛也以靶场攻防实战为主。主办方预先设置了10组靶机环境,每组由若干台存在弱点的虚拟机组成,且分为三个层次。参赛选手需自行挖掘发现存在的漏洞,使用加固对抗、痕迹隐藏等方式实现对靶机的控制。每破解一层才有晋级下一关。并且,决赛中还设置有3个“彩蛋”密码箱,抢先开启密码箱的选手将获得意外惊喜。

    大赛技术顾问、360网络攻防实验室主任“陆羽”表示,决赛中涉及web渗透、漏洞挖掘、逆向破解、漏洞修复、编程开发等常用网络安全技术。以此考察参赛者安全渗透测试、逆向破解等的实战,着重突出参赛队伍“攻”和“防”两方面综合能力。

    经过现场激烈争夺,最终来自浙江大学的AAA团队以720分成绩赢得大赛总冠军,成为2014年度中国高校最强的信息安全团队,将分享价值18000元的大奖,并且还获得价值15000元的“首届安全训练营”门票三张,接受顶尖安全大牛们的一对一技术指导。

    另外,来自浙江大学、清华大学、长春理工大学的三名同学提出漏洞解决办法最多,分别获得7888元的MAC本一台及优秀个人的荣誉称号。此外,所有参加决赛的选手均可以免费获得9月份中国互联网安全大会(isc.360.cn)门票,亲身领略国内最大安全峰会的盛况。

    学校历来黑客白帽学习实践的良好场所,信息安全圈众多知名高手都是从学校开始安全之路的。大学生黑客是新一代的黑客新星,也是未来信息安全行业栋梁。据了解,在正式决赛前,各参赛团队就已经收到了来自多家知名安全和IT企业的实习或工作机会,可见社会对于新一代信息安全人才的重视。

    通过第二届“360杯全国大学生信息安全技术大赛”,不但为大学生提供了一个才华展现的良好舞台,更为企业行业挖掘、引导、培养了一大批专业人才,推动了中国网络安全行业进一步发展。

    >>展开查看更多<<>>收起更多<<
  • 谁是新一代校园黑客新星 10大高校周日对决 2014 . 8 . 22

    谁将是2014年度大学生黑客冠军?哪个学校将在全国校园信息安全挑战赛上拔得头筹?本周末揭晓。8月23日—24日,第二届“360杯全国大学生信息安全技术大赛”总决赛在北京举办,来自清华大学、浙江大学等的10大校园信息安全团队现场对决。虽然决赛尚未开始,紧张的人才争夺战却已经悄然开幕。据多个参赛团队透露,参赛队员均接到多个企业抛来的橄榄枝。

     

    360杯全国大学生信息安全技术大赛(is.campus.360.cn),自5月24日启动以来,吸引了清华大学、浙江大学、华中科技大学等数十所高校的近百只信息安全团队参与。

    本次大赛共分为华北,华东,华南,华中,东北,西北,西南七大赛区,比赛内容包括Web安全、网络安全、客户端安全、加密破解、信息隐藏、编程开发等常用攻防手段等。

    经过多轮激烈的预赛,清华大学TSINGHUA-001、浙江大学AAA、华中科技大学Unique Python、吉林大学Jlu.Sec、西安电子科技大学shadowblade 、福州大学ROIS_fangfang、电子科技大学UESTC0等7个团队以及3个分赛区联队最终脱颖而出,参加8月23-24日在北京的决赛。现场攻防实战PK,争夺大赛总冠军。

    决赛总冠军不仅可以获得丰厚物质奖励,更可以免费参加“首届安全训练营”,接受顶尖安全大牛们的一对一的技术指导。另外所有参加决赛的团队,还可以获得9月份中国互联网安全大会(isc.360.cn)门票,亲身领略国内最大安全峰会的盛况。

    虽然比赛还有几天才举行,但是针对比赛队员的争夺战却早已经打响。

    多个参赛团队透露,虽然参赛选手大多未大一、大二的学生,但是均收到来自360、华为、启明星辰、绿盟科技等多个公司抛来的橄榄枝。很多公司不但都发来的实习机会,甚至有的直接预定了毕业后的offer,由此可见信息安全人才的激烈争夺。

    某高校负责人表示,通过此次信息安全大赛不但给了同学们施展才华的平台,更丰富了安全知识提升了专业技能,更重要的提供了一个人良好的实践,为同学们毕业走向社会提供了宝贵的经验。

    据了解,全国大学生信息安全技术大赛由360公司主办。大赛旨在通过进一步推动国内安全产业的发展,提升用户对互联网安全的重视,促进产学研想结合,引导广大学生从事信息安全事业,同时为企业提供更多信息安全专业人才。

    >>展开查看更多<<>>收起更多<<
  • 8月,第二届360杯全国大学生信息安全技术大赛决赛等你到来! 2014 . 6 . 4

    2014年5月25日晚17:00,第二届360杯全国大学生信息安全技术大赛预赛结束,全国诞生了七大区域Hacker安全7支冠军队伍。

    此次比赛自今年3月份开始筹备举办,主要面向全国高校计算机相关专业的学生,目的是为了增强同学们对网络知识的兴趣,提高大学生网络安全意识,提升网络攻防的能力以及培养信息安全方面的高素质人才。

     

    本次大赛预赛的题目由360公司制定,在比赛过程中,同学们跨越层层关卡,模拟了真实的互联网攻防,360团队也指导了选手在技术上一些问题的改进。在比赛期间,360副总裁、首席隐私官谭晓生和360 安全团队也分别在七所大学举办了信息安全讲堂和交流会。

    2014年8月底,在北京奇虎360总部举办第二届360杯全国大学生信息安全技术大赛决赛,参赛战队为七大赛区预赛排名第一的队伍,届时将会邀请到360公司几位顶级安全专家到场助阵,为各战队做指导交流。

    决战场地坐标:
    中国最大互联网安全公司之一------360公司

    距离决赛还有不到3个月的时间。在准备决赛期间,360会给七支战队配备安全导师,一对一交流技术知识,为8月的决赛做足准备,同时也为开展大学生信息安全技术实验室和信息安全校企合作打下基础。

    颁奖现场

    到底哪支战队会脱颖而出,成为全国大学生安全霸主,8月,我们拭目以待!王者,等你归来!

    >>展开查看更多<<>>收起更多<<
  • 第二届360杯全国大学生信息安全大赛预赛圆满成功 2014 . 5 . 26

    大赛报名及参赛情况

    经过两天的激烈角逐,第二届360杯全国大学生信息安全大赛预赛在2014年5月25日落下帷幕,全国七大赛区分别诞生了一二三等奖。赛后各大赛区举办了隆重的颁奖典礼。

    本次大赛覆盖全国100多所高校,参赛队伍近300支。大赛不仅得到了七大赛区七所承办院校的大力支持,更得到了当地网络安全部门等政府机构的重视。

    比赛现场花絮:

    比赛现场花絮 比赛现场花絮 比赛现场花絮

    24日晚交流会

    首日比赛结束之后,每个赛区分别开展了技术交流沟通会。

    技术交流沟通会 技术交流沟通会

    颁奖典礼

    25日下午5点结束比赛,全国七大赛区统一晚6点进行了颁奖典礼。均由计算机学院院长、党委书记等领导参加,其中重庆邮电大学由副校长林金朝和360副总裁谭晓生共同为获得西南赛区一等奖的队伍颁奖。

    颁奖现场 颁奖现场

    获得七大赛区的一等奖的团队,将在8月底齐聚北京进行最终的决战。他们不仅会获得高额奖品,拿到360实习offer (应届毕业生可进入360应届校招绿色通道),决赛的优胜队伍更有机会参加9月份由360举办的全国互联网安全大会,领略全球顶尖安全人员的风采!

    >>展开查看更多<<>>收起更多<<
  • 360安全漏洞响应平台 2014 . 4 . 28

    《第二届360杯全国大学生信息安全技术大赛》携手“360安全应急响应中心”,诚邀对信息安全感兴趣的同学共同捍卫4亿用户的安全利益。

    平台地址:http://security.360.cn/

    “360安全应急响应中心”是专门处理360产品和业务漏洞等安全问题的快速响应组织。

    此外,“360安全应急响应中心”还推出了漏洞奖励方案。用户在漏洞修复前提交漏洞信息,并经过360安全应急响应中心评估确认的漏洞报告者,都将获得不同级别漏洞的奖品奖励。各位即将参赛的同学们,你们是否也希望自己的所学知识能够帮助到更多的用户呢?快来参加吧!

    360安全应急响应中心
    >>展开查看更多<<>>收起更多<<
  • 360校园信息安全技术讲堂—重庆邮电大学、福州大学站 2014 . 4 . 25

    #360校园信息安全技术讲堂#西南赛区重庆邮电大学站,华南赛区福州大学站今晚开始啦!

    360的两位安全技术大咖rem4x和xuefeng给同学们讲述自己的“Hacker”成长经历以及信息安全知识。你也想与他们一起做互联网安全技术吗?那就参加360杯全国大学生信息安全技术大赛吧,实现你的梦想!

    西南赛区-重庆邮电大学站:

    西南赛区-重庆邮电大学站

    华南赛区-福州大学站:

    华南赛区-福州大学站
    >>展开查看更多<<>>收起更多<<
  • 群雄争霸,孰能称王,让我们拭目以待! 2014 . 4 . 15

    奇虎360作为中国互联网最大的安全公司,一直以维护用户的上网安全,提高全体网民的安全意识为己任。随着网民上网年龄阶层的普遍年轻化,同时为了更好的打造企业校园端安全品牌,雇主品牌,挖掘安全类人才,360校园在各大高校端开展了360杯校园安全攻防系列大赛。

    2013年5月,首届360校园安全攻防大赛举行,由360公司 、吉林大学和重庆邮电大学联合主办的“首届360校园安全攻防大赛”决赛阶段,于5月16日至5月18日 在两所大学同时举行。经过激烈角逐,3名大学生和吉林大学 “Inker”、重庆邮电大学 “Moring Call”两个优秀大学生团队脱颖而出,分别赢得个人赛和团体赛的优胜。

    同学们在进行激烈的攻防战

    2013年8月 ,由奇虎360公司主办、成都信息工程学院承办的“第一届360杯全国大学生信息安全技术大赛”在重庆举行。北京邮电大学、中国公安大学、杭州电子科技大学、南昌大学、福州大学、西安工业大学等来自全国11个省市、38支高校代表队参加了决赛。 本次大赛分为两个阶段:第一阶段为“拔旗赛”,第二阶段为“对抗赛”。拔旗竞赛内容涵盖:加密解密、网络协议、数字取证、WEB安全以及逆向破解这五大方向; 对抗赛内容包括:远程溢出、wpa2无线数据包修复与破解、本地文件包含、日志写马、MySQL密码爆破、弱口令攻击等。比赛中,成都信息工程学院1队经多次尝试最终取得突破,其解题思路和赛场整体表现获得主办方的高度赞许。最终经过两天的顽强拼搏和科学的团队合作,成都信息工程学院1队、2队在各高校参赛队伍中脱颖而出,分获一等奖和二等奖,获得众多高校和竞赛组织方的认可,同时大赛也获得多家知名公司及国有企事业单位的高度关注。

    安全技术邀请赛决赛现场

    360杯全国大学生信息安全技术大赛如今迎来第二届,此赛事致力于增强大学生对网络安全知识的兴趣和网络安全意识,提高大学生网络攻防实战能力,培养信息安全方面的高素质人才。

    此次大赛规模盛大,面向华北,华东,华南,华中,东北,西北,西南七大赛区,以北京邮电大学,杭州电子科技大学,福州大学,华中科技大学,吉林大学,西安电子科技大学重庆邮电大学为赛点进行预赛选出高校中最强的安全团队。这七只最强的团队,将参加8月底在北京举行的安全之旅总决赛,不仅会获得高额奖品,拿到360实习offer (应届毕业生可进入360应届校招绿色通道),决赛的优胜队伍更有机会参加9月份由360举办的全国互联网安全大会,领略全球顶尖安全人员的风采。

    群雄争霸,孰能称王, 究竟哪所高校的哪只团队,将会是高校中信息安全专业的最强团队,让我们拭目以待!

    >>展开查看更多<<>>收起更多<<
  • 360校园信息安全技术讲堂 2014 . 4 . 11

    近期,由360互联网安全中心和网络安全应急技术国家工程实验室共同举办的《360校园信息安全技术讲堂》将携手全国七所信息安全技术顶尖高校(北京邮电大学、杭州电子科技大学、福州大学、华中科技大学、吉林大学、西安电子科技大学、重庆邮电大学)在全国展开信息安全技术巡讲。通过高校进行信息安全技术知识交流,进行深度校企合作和产学研结合,促使广大对信息安全技术感兴趣的同学对此方面有更深度的了解。各高校讲堂时间近期公布,敬请关注大赛官网。

    360学院信息安全技术讲堂
    >>展开查看更多<<>>收起更多<<

感谢大家对第二届360杯全国大学生信息安全技术大赛预赛的关注,本次预赛首日比赛内容涉及 “逆向分析,加密解密,数字取证,网络协议,WEB安全”5个方向,次日是网络攻防实战比赛。首日比赛题目,同学们可以登录 http://ctf.360.cn/login/?dst 网址查看;解题思路上线时间从2014年6月30日开始至2014年7月28日结束,内容将在大赛官网—大赛题目中每周公布一个方向的题目解析,具体公布排期如下:

预赛题目解析发布时间 题目方向
2014年6月30日 逆向分析
2014年7月7日 加密解密
2014年7月14日 数字取证
2014年7月21日 网络协议
2014年7月28日 WEB安全
  • WEB安全方向解析 2014 . 7 . 28

    出题专家:Bob

    出题:第一题

    专家介绍:360网络安全攻防实验室web安全顾问,精通PHP\JSP代码审计,善于研究最新web攻防技术

    出题专家:Ycong

    出题:第二题

    专家介绍:360网络安全攻防实验室web安全顾问,国内三叶草组织核心成员之一

    出题专家:Secroot

    出题:第三题、第四题、第五题

    专家介绍:360网络安全攻防实验室资深安全顾问,精通linux系统web架构

    WEB安全第一题

    解题攻略:

    验证码设计bug,抓取发送验证码链接,然后查看response发现验证码在response里。打开题目链接发现是注册的界面,邮箱固定为360-question@360.cn

    选手设置好本地代理,用burp抓包。点击发送验证码然后抓包,发送到repeater里。点击repeater里的Go,查看response即可发现验证码,输入验证码后提交即可得到key。

    WEB安全第二题

    解题攻略:

    问/data/mysql_error_trace.inc,在日志中找到后台登陆地址/miaomiaomiaomiaoaichiyu/login.htm,admin/admin 登陆,或分析源文件js代码 得到通关密钥。通关密钥为:goodjobboy!

    WEB安全第三题

    解题攻略:

    进入做题界面发现是求解bob的密钥,然后下面有seek和geek两个超链接,点击seek:

    Seek的hex值就是7365656b,那么我们把7365656b改为bob的hex值626f62,打开:

    是一个超链接,打开:

    Rewrite,php开发者都知道是htaccess,打开101.226.10.39:8080/bob/include?page=.htaccess:

    判断来源是http://360.cn,我们加上来源访问http://101.226.10.39:8080/bob/include?page=bob.php

    WEB安全第四题

    选手通过构造< a>标签,执行跳转js,发现仅提交一个href会提示:

    href里内容被清空了,所以我们构造两个href,形式类似于< a href=”跳转url”;href=”任意url”;/>即可绕过。

    以下的跳转链接是可行的:

    < a href="javascript:window.location.href='http://ctf.360.cn:8080/location/success';" href="任意url">xss

    其中javascript里跳转脚本还可以是:

    1.javascript:window.location.href=

    2.javascript:window.history.back(-1);

    3.javascript:window.navigate("xx.jsp");| IE

    4.javascript:self.location=

    5.javascript:top.location=

    WEB安全第五题

    解题攻略:

    首先选手需要根据file参数读取nginx.conf配置文件,&file=../../../../../etc/nginx.conf:

    再构造以下链接即可得到通关key:

    &path=/news/%0d%0aX-Accel-Redirect:%20/secret/flag

    d1f2605cf396de867ba1582f113cb951

    >>展开查看更多<<>>收起更多<<
  • 网络与协议方向解析 2014 . 7 . 21

    出题专家:Paddy.liu

    专家介绍:360网络安全攻防实验室资深安全顾问,CCIE认证专家,江苏省通管局受聘安全专家,国内首例WLAN高危漏洞贡献者

    网络协议第一题

    解题攻略:

    1.在浏览器地址栏输入“about:config”

    2.新建字符串“general.useragent.override”

    3.输入伪装的UserAgent值

    伪装成iPhone的Safari浏览器输入:

    Mozilla/5.0 (iPhone6; U; CPU like Mac OS X; en) AppleWebKit/420+ (KHTML, like Gecko) Version/3.0 Mobile/1A543 Safari/419.3

    网络协议第二题

    解题攻略:

    通过配置文件可以看到NTP的认证密码。044B0A151C3545430C,通过破解可以得到明文为passtime:

    将数据包打开,通过分析NTP协议可判断时间同步服务器的IP为5.5.5.6

    将passtime和5.5.5.6进行MD5加密。得到通关密码:

    网络协议第三题

    解题攻略:

    三台路由器运行了OSPF协议,并启用简单认证。

    OSPF分析发现认证不一样。

    5468af3216bb19dc2cb502da02d1ffd9

    网络协议第四题

    通关密钥为:admin!@#4

    网络协议第五题

    解题攻略:

    1.通过图片可得知ID卡UID=6D38C81D

    2.将图片文件后缀.jpg改为.rar得到Dump文件

    3.通过软件分析得出:UID=7D73D812 修改为图片所显示的UID。

    4.14扇区可以看到门禁卡的有效日期为140504。

    密码:D20F8160D3C324E649792ED77C7A20DD

    >>展开查看更多<<>>收起更多<<
  • 数字取证方向解析 2014 . 7 . 14

    出题专家:Mickey

    出题:第一题、第二题、第四题、第五题

    专家介绍:360网络安全攻防实验室资深安全顾问,国内insight-labs组织核心成员之一

     

    出题专家:Ycong

    出题:第三题

    专家介绍:360网络安全攻防实验室web安全顾问,国内三叶草组织核心成员之一

    数字取证第一题

    解题攻略:

    下载回pcap包,用wireshark打开,输入过滤语句http.request.method == POST

    看到filename="90940a30b2a490fb96c611282c721b8e"

    则KEY为90940a30b2a490fb96c611282c721b8e

    数字取证第二题

    解题攻略:

    下载回来zip文件,解压出docx文件用7ZIP解压pngdecode.docx在\pngdecode\word\media文件夹中看到image2.jpg里面的内容,就是key了通关密钥为 360HA360

    数字取证第三题

    解题攻略:

    下载破损的图片后,与http://weibo.com/u/3957583411循环异或,还原图片,记事本打开,得到通关密钥。通关密为:exclusiveOR233333

    数字取证第四题

    解题攻略:

    下载文件回来,是个bin文件,用binwalk分析,解压

    在/fmk/rootfs/home/dlink下就能看到key了

    通关密钥为:6000953FB85D361345DE

    数字取证第五题

    解题攻略:

    下载回来解压,是个APK包使用apktool解压apk文件,然后dex2jar反编译出class文件最后可以找到短信网关地址http://andro1ds.com

    通关密钥为:http://andro1ds.com

     

    >>展开查看更多<<>>收起更多<<
  • 加密解密方向解析 2014 . 7 . 7

    出题专家:Bob

    出题:第一题、第三题

    专家介绍:360网络安全攻防实验室web安全顾问,精通PHP\JSP代码审计,善于研究最新web攻防技术

     

    出题专家:Ycong

    出题:第二题

    专家介绍:360网络安全攻防实验室web安全顾问,国内三叶草组织核心成员之一

     

    出题专家:Rem4x

    出题:第四题、第五题

    专家介绍:360网络安全攻防实验室资深安全顾问,国内知名安全社区T00ls.net创始人之一

    加密解密第一题

    解题攻略:

    这道题目思路来源于之前比较流行的某款网马生成器,变量NanylmrgurXrl是某段js代码根据算法函数Xrlzrgubq()加密后的结果。选手调用Xrlzrgubq()函数即可将NanylmrgurXrl解出来。考察选手的js代码的阅读和动手能力。

    首先将script标签中的内容拷贝到txt里,然后将function里内容拷贝出来放到script之间,然后将最后的nccy2vf(LbhT0gvg);换成alert(LbhT0gvg);保存为html,点击即可看到解密后的代码,分析代码得知key在key360目录下,打开key360目录后查看源码,发现rot13加密后的字符串,解密即可。

    加密解密第二题

    解题攻略:

    将图片pass.gif下载后,后缀名改为rar,解压得到pass.txt 破解NTLM密文,得到通关密钥。

    加密解密第三题

    解题攻略:

    打开题目链接后发现是一堆二进制。首先选手需要写个二进制转16进制的脚本,然后winhex打开后发现是压缩文件,再另存为rar或者zip。打开zip文件发现是360图标的jpg,拖到txt里即可发现base64加密后的key,两次base64解密即可。

    加密解密第四题

    解题攻略:

    1.根据文字提示与图片搜索,得到古典算法 维尼吉亚密码

    2.维尼吉亚密码可以理解为一个二维数组的映射,我们把维尼吉亚密码表想象为一个矩阵A[x,y]。

    3.根据测试数据,我们可以得出我们修改后的映射关系为 A[x,y],y=3i+1,i为字符的位置

    4.根据导出的映射关系结合通关信息推导出明文。

    加密解密第五题

    解题攻略:

    1.选手需要下载Android SDK,加载启动题目提供的avd.zip中的Android虚拟设备(avd),该AVD对应的SDK是Android4.0。

    2.通过adb shell下载九宫格锁屏密码的密钥文件,密钥文件文件默认位置/data/system/gesture.keyadb pull /data/system/gesture.key gesture.key

    3.gesture.key密钥文件解密方法

    九宫格个点分别对应于0-8这9个数字,然后将连接的路径转换为这9个数字,并按9个数字的16进制对其进行SHA1加密存储为gesture.key。

    如按顺序从0到8的九位原始密码是

    0    1    2

    3    4    5

    6    7    8

    通过SHA1算法对原始密码000102050403060708进行sha1加密后得到密文是“333d9f31c209ce1217bc165c5baa7307b06bbf87”

    安卓九宫格默认得有 4个数的密码:

    4个数的密码可能个数为9*8*7*6=3024

    5个数的密码可能个数为9*8*7*6*5=15120

    6个数的密码可能个数为9*8*7*6*5*4=60480

    7个数的密码可能个数为9*8*7*6*5*4*3=181440

    8个数的密码可能个数为9*8*7*6*5*3*2*1=362880

    9个数的密码可能个数为9*8*7*6*5*4*3*2*1=362880

    一共有985824个可能的密码。

    选手可以自己写程序用sha1算法加密出这985824个密码的sha1密文,然后对gesture.key中的sha1密文进行碰撞得到正确密码。

    答案:

    gesture.key密文是246a7b3b3bddc73c84d534c4d985d09d0037ae3f

    原始密码是010403000205080706

    对应九宫格的划锁顺序为

    4    1    5

    3    2    6

    9    8    7

    >>展开查看更多<<>>收起更多<<
  • 逆向分析方向解析
    2014 . 6 . 30

    出题专家:Bear

    专家介绍:360核心安全部门资深安全顾问,精通病毒分析、逆向工程

    逆向分析第一题

    解题攻略:

    已限定为用户名为:strawberry

    分析该程序算法,得出该用户名所对应的Key

    正确答案:K$q*a_+@Xt

    逆向分析第二题

    解题攻略:

    已在压缩包中给定了一个用ReverseMe.exe加密过后的文件:密文.db分析ReverseMe.exe的算法,写出解密算法,解密该文件得到Key。该Exe里有一个bug,导致exe无法运行;你有两种方法得到该Key:

    1.找到bug,patch掉之后,运行两次该程序即可解密文件得到key;

    2.老老实实的逆这个简单的算法,写出一个解密程序,解密。

    正确答案:4A5B8DE6F7D3B6F5

    逆向分析第三题

    解题攻略:

    这是一个被感染型病毒感染的可执行文件,试着修复该EXE程序,得到程序中的KEY。

    答案:E8B4AFE8D9F4D2E5

    逆向分析第四题

    解题攻略:

    压缩包中给定的这张图中含有答案KEY,而加密该图片的程序也在该压缩包中,逆向该EXE,提取其中的KEY。

    答案:B0ACD1BDA3FD1CD6

    逆向分析第五题

    解题攻略:

    本道题目中的MFC_ASM.exe是一个有漏洞的可执行程序:它会去读取服务器上的一段包含shellcode的文件Exploit.html。但是,该Exploit.html文件的shellcode并不能直接执行。分析MFC_ASM.exe引发漏洞的代码片段,并修改Exploit.html文件中的shellcode布局,以便让MFC_ASM.exe正常执行,以便得到KEY。

    先搭建该EXE的执行环境:

    1.在本地安装appserv[如果不知道appserv是啥,请自行so.com一下],配置HTTP端口为80

    2.将您修改后的Exploit.html以及压缩包中的shell.dat复制到www目录下

    3.运行MFC_ASM.exe,如果您成功修复了该Exploit.html,会弹出key,否则,崩溃

    通关密钥:6AC7DE29BADEFC72

    >>展开查看更多<<>>收起更多<<

Q1.什么是第二届360杯全国大学生信息安全技术大赛?

第二届360杯全国大学生信息安全技术大赛是由奇虎360与网络安全应急技术国家工程实验室共同主办,由吉林大学、西安电子科技大学、重庆邮电大学、福州大学、杭州电子科技大学、北京邮电大学、华中科技大学7所大学承办的面向全国范围的全国大学生信息安全技术大赛。

Q2.举办第二届360杯全国信息安全技术大赛的目的是什么?

本次大赛的目的是致力于帮助更多在校大学生发掘网络安全方面的兴趣、提高网络安全意识、增强网络攻防实战能力。同时借此机会挖掘和培养信息安全方面的高素质人才,为高校安全人才提供到全球顶尖安全公司实习、工作的绿色通道机会。

Q3.第二届360杯全国大学生信息安全技术大赛如何报名?

第二届360杯全国信息安全技术大赛均由7大赛区负责高校发布邀请,受邀的团队可由领队(教师)带队参加竞赛。

Q4.第二届360杯全国大学生信息安全技术大赛对参赛者的要求是什么?

参赛者主体为对信息安全有着浓厚兴趣的在校大学生组队参加,每支团队3人,每队可选一名领队(教师)。

Q5.第二届360杯全国大学生信息安全大赛题目类型与难度如何?

本次大赛可能涉及到Web安全、网络安全、客户端安全、加密破解、信息隐藏、编程开发等常用攻防手段。无需你拥有超一流的信息安全技术,但需要你掌握信息安全技术相关的基础知识。最重要的需要你对安全方向有浓厚兴趣,希望通过此次大赛,同学们可以学习更多的安全知识、实战操作技巧,并享受到安全攻防的乐趣。
大赛题目由360多名不同领域安全专家共同拟定,内容丰富有趣,欢迎对互联网安全有着浓厚兴趣的你前来挑战!