join the event
Competition Forum
guide
Targets & Prizes:
1. Targets: Chrome浏览器
比赛设备:即将更新
比赛系统:即将更新
比赛要求:使用Chrome访问一个远程的网页链接,得到Chrome浏览器进程的权限或者操作系统的权限。目标系统的配置是VMWare Workstation,8G内存。
奖金:
RCE: ¥525000
RCE + Sandbox Escape: ¥1050000
2. Targets: Adobe PDF Reader
比赛设备:即将更新
比赛系统:即将更新
比赛要求:使用事先拷贝到VM里的PDF文件实现对Adobe PDF Reader或系统的控制。 目标系统的配置是VMWare Workstation,8G内存。
奖金:
RCE: ¥210000
RCE + Sandbox Escape: ¥420000
3. Targets: VMWare Workstation
比赛设备:即将更新
比赛系统:即将更新
比赛要求:在虚拟机里运行破解程序,逃逸出来并控制宿主机操作系统。
奖金:¥560000
4. Targets: VMWare ESXi
比赛设备:即将更新
比赛系统:即将更新
比赛要求:在虚拟机里运行破解程序,逃逸出来并控制宿主机操作系统。本赛项要求选手获得宿主机操作系统的root permission。
奖金:¥1260000
5. Targets: Windows 11
比赛设备:即将更新
比赛系统:即将更新
比赛要求:在Windows11本地以普通用户权限运行利用程序,完成权限提升获取操作系统权限,配置为VMWare Workstation,8G默认内存。
奖金:
Local Privilege Escalation: ¥140000
Local Privilege Escalation with Kernel-level Access: ¥280000
6. Targets: 国产手机设备
比赛设备:请联系组委会技术组
比赛系统:请联系组委会技术组
比赛要求:请联系组委会技术组
奖金:
RCE:¥10000
RCE+SANDBOX:¥30000
RCE+ROOT:¥50000
7. Targets: WPS(ppt/excel/ word)
比赛设备:即将更新
比赛系统:即将更新
比赛要求:使用事先拷贝到VM里的PDF文件实现对WPS或系统的控制。目标系统的配置是VMWare Workstation,8G内存。
奖金池:¥100000
未授权RCE: ¥60000
8. Targets: 泛微OA
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥200000
未授权RCE: ¥100000
9. Targets: 致远COP-V5协同运营管理平台
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥100000
未授权RCE: ¥100000
10. Targets: 用友NC
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥100000
未授权RCE: ¥100000
11. Targets:绿盟NSFOCUS NIDS
比赛设备:即将更新
比赛系统:即将更新
比赛要求:在指定环境下,选手从远程主机,通过业务口/管理口对 IDS 设备发起网络攻击,实现远程任意代码执行,例如:反弹 SHELL,SSH 登录。
奖金池:¥200000
管理口:¥30000
业务口:¥50000
12. Targets:天融信终端威胁防御系统
比赛软件:TopEDR
13. Targets:天融信僵尸网络木马和蠕虫监测与处置系统
比赛设备:2U 机架式设备
设备型号:TopTVD
系统:Topsec
软件版本号:V3
比赛要求:在未进行正常的身份认证或授权的情况下,可以直接对目标对象造成特别严重后果,
包括:
1)造成系统核心权限丢失(如任意账号登录、任意账号删除、任意账号密码修改、任意代码执行、任意命令执行、上传WebShell、SSRF、远程缓冲区溢出等);
2)造成系统核心功能失效;
3)造成系统核心数据/文件泄露或篡改(如核心DB SQL注入、包含敏感信息<如可以成功连接核心DB账号密码>的源代码压缩包泄漏、任意文件下载/读取、核心功能的源代码泄露<含算法、重要业务逻辑等>、含服务器敏感信息的日志文件下载等)。
奖金池:¥200000
单个奖金:¥20000
14. Targets:天融信防火墙系统
比赛设备:2U 机架式设备
设备型号:NGFW4000-UF
系统:Topsec
软件版本号:V3
比赛要求:在未进行正常的身份认证或授权的情况下,可以直接对目标对象造成特别严重后果,
包括:
1)造成系统核心权限丢失(如任意账号登录、任意账号删除、任意账号密码修改、任意代码执行、任意命令执行、上传WebShell、SSRF、远程缓冲区溢出等);
2)造成系统核心功能失效;
3)造成系统核心数据/文件泄露或篡改(如核心DB SQL注入、包含敏感信息<如可以成功连接核心DB账号密码>的源代码压缩包泄漏、任意文件下载/读取、核心功能的源代码泄露<含算法、重要业务逻辑等>、含服务器敏感信息的日志文件下载等)。
奖金池:¥200000
单个奖金:¥20000
15. Targets:启明IDS(入侵检测)
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥200000
16. Targets:启明FW(防火墙)
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥200000
17. Targets:奇安信天狗安全引擎
比赛设备:即将更新
比赛系统:windows 11(64位,打最新补丁)
比赛要求:
使用 Chrome 114.0.5735.91 (--no-sandbox 启动) 浏览指定的 URL后,攻击者控制Chrome并用Chrome进程相同的用户权限启动calc.exe 进程为攻击成功。Chrome 浏览器将在 VMWare Workstation 中运行,安装天狗防护终端(最新版),默认内存为 8GB。
备注信息: Chrome 114.0.5735.91 中包含已知漏洞 CVE-2023-3079
奖金池:¥200000
单个奖金:¥50000
18. Targets:奇安信可信浏览器
比赛设备:即将更新
比赛系统:Windows11(64位,打最新补丁)
比赛要求:在Windows11本地以普通用户权限运行奇安信可信浏览器,访问利用程序所在的网站,利用奇安信可信浏览器的漏洞达到任意代码执行的效果,并启动calc.exe的程序。奇安信可信浏览器将在 VMWare Workstation 中运行,默认内存为 8GB。
奖金池:¥200000
单个奖金:¥50000
19. Targets:360浏览器
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥200000
20. Targets:360天相(资产管理与威胁探测系统)
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥200000
21. Targets:深信服Atrust(零信任访问控制系统)
比赛设备:即将更新
比赛系统:即将更新
比赛要求:以默认配置启动深信服零信任Atrust(开启重保模式)。以443、441端口为入口点,在无用户凭证情况下,实现远程代码执行。
奖金池:¥200000
RCE:¥100000
22. Targets:深信服AF(防火墙)
比赛设备:即将更新
比赛系统:即将更新
比赛要求:以默认配置启动深信服AF防火墙。以443端口为入口点,在无用户凭证情况下,实现远程代码执行。
奖金池:¥200000
RCE:¥100000
23. Targets:阿里云druid数据库监控
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥300000
24. Targets:阿里云fastjson
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥300000
25. Targets:华为云hadoop
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥200000
26. Targets:腾讯云
比赛设备:即将更新
比赛系统:即将更新
比赛要求:待更新…
奖金池:¥300000
京ICP备16020626号-14
