join the event

国际网络安全大赛

“2023天府杯”国际网络安全大赛致力于成为全球第一的网络安全挑战赛,面向所有安全从业人员公开征集参赛选手与参赛项目。参赛选手根据目标赛项设定报名参赛项目,比赛设置冠军、亚军、季军奖。大赛设立千万级奖金,赛题包括安全设备、办公类、云服务、移动端、操作系统、浏览器及虚拟化。

Competition Forum

国际网络安全论坛

本届论坛围绕网络安全热点领域,邀请国内外知名专家、行业专家分享国际最前沿的技术议题,旨在深化数字安全合作,搭建开放的行业交流与共享平台,吸引更多的企业和人才赴蜀发展。论坛立足西南、辐射中国,旨在打造西南地区最专业的国际网络安全盛会,推动西南地区乃至中国网络安全产业高质量发展。

“天府杯”国际破解大赛题目

Targets & Prizes:


1. Targets: Chrome浏览器

比赛设备:即将更新

比赛系统:即将更新

比赛要求:使用Chrome访问一个远程的网页链接,得到Chrome浏览器进程的权限或者操作系统的权限。目标系统的配置是VMWare Workstation8G内存。

奖金:

RCE: ¥525000

RCE + Sandbox Escape: ¥1050000

 

2. Targets: Adobe PDF Reader

比赛设备:即将更新

比赛系统:即将更新

比赛要求:使用事先拷贝到VM里的PDF文件实现对Adobe PDF Reader或系统的控制。 目标系统的配置是VMWare Workstation8G内存。

奖金:

RCE: ¥210000

RCE + Sandbox Escape: ¥420000

 

3. Targets: VMWare Workstation

比赛设备:即将更新

比赛系统:即将更新

比赛要求:在虚拟机里运行破解程序,逃逸出来并控制宿主机操作系统。

奖金:¥560000

 

4. Targets: VMWare ESXi

比赛设备:即将更新

比赛系统:即将更新

比赛要求:在虚拟机里运行破解程序,逃逸出来并控制宿主机操作系统。本赛项要求选手获得宿主机操作系统的root permission

奖金:¥1260000

 

5. Targets: Windows 11

比赛设备:即将更新

比赛系统:即将更新

比赛要求:在Windows11本地以普通用户权限运行利用程序,完成权限提升获取操作系统权限,配置为VMWare Workstation8G默认内存。

奖金:

Local Privilege Escalation: ¥140000

Local Privilege Escalation with Kernel-level Access: ¥280000

 

6. Targets: 国产手机设备

比赛设备:请联系组委会技术组

比赛系统:请联系组委会技术组

比赛要求:请联系组委会技术组

奖金:

RCE¥10000

RCE+SANDBOX¥30000

RCE+ROOT¥50000

 

7. Targets: WPSppt/excel/ word

比赛设备:即将更新

比赛系统:即将更新

比赛要求:使用事先拷贝到VM里的PDF文件实现对WPS或系统的控制。目标系统的配置是VMWare Workstation8G内存。

奖金池:¥100000

未授权RCE: ¥60000

 

8. Targets: 泛微OA

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥200000

未授权RCE: ¥100000

 

9. Targets: 致远COP-V5协同运营管理平台

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥100000

未授权RCE: ¥100000

 

10. Targets: 用友NC

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥100000

未授权RCE: ¥100000

 

11. Targets:绿盟NSFOCUS NIDS

比赛设备:即将更新

比赛系统:即将更新

比赛要求:在指定环境下,选手从远程主机,通过业务口/管理口对 IDS 设备发起网络攻击,实现远程任意代码执行,例如:反弹 SHELLSSH 登录。

奖金池:¥200000

管理口:¥30000

业务口:¥50000

 

12. Targets:天融信终端威胁防御系统

比赛软件:TopEDR
系统要求:16G内存,4核CPU, 100G硬盘
操作系统:openEuler 23.03 操作系统:openEuler 23.03 安装最新补丁
软件版本号:TopEDR V1.0.2.2.17
比赛要求:系统关闭与Topedr无关服务。以默认配置启动天融信终端威胁防御系统,在未进行正常的身份认证或授权的情况下,以443端口为入口点,利用天融信终端威胁防御系统的漏洞达到任意代码执行的效果,并启动"visudo"程序。
奖金池:¥200000
单个奖金:¥20000

 

13. Targets:天融信僵尸网络木马和蠕虫监测与处置系统

比赛设备:2U 机架式设备
设备型号:TopTVD
系统:Topsec
软件版本号:V3

比赛要求:在未进行正常的身份认证或授权的情况下,可以直接对目标对象造成特别严重后果,

包括:

1)造成系统核心权限丢失(如任意账号登录、任意账号删除、任意账号密码修改、任意代码执行、任意命令执行、上传WebShellSSRF、远程缓冲区溢出等);

2)造成系统核心功能失效;

3)造成系统核心数据/文件泄露或篡改(如核心DB SQL注入、包含敏感信息<如可以成功连接核心DB账号密码>的源代码压缩包泄漏、任意文件下载/读取、核心功能的源代码泄露<含算法、重要业务逻辑等>、含服务器敏感信息的日志文件下载等)。

奖金池:¥200000

单个奖金:¥20000

 

14. Targets:天融信防火墙系统

比赛设备:2U 机架式设备
设备型号:NGFW4000-UF
系统:Topsec
软件版本号:V3

比赛要求:在未进行正常的身份认证或授权的情况下,可以直接对目标对象造成特别严重后果,

包括:

1)造成系统核心权限丢失(如任意账号登录、任意账号删除、任意账号密码修改、任意代码执行、任意命令执行、上传WebShellSSRF、远程缓冲区溢出等);

2)造成系统核心功能失效;

3)造成系统核心数据/文件泄露或篡改(如核心DB SQL注入、包含敏感信息<如可以成功连接核心DB账号密码>的源代码压缩包泄漏、任意文件下载/读取、核心功能的源代码泄露<含算法、重要业务逻辑等>、含服务器敏感信息的日志文件下载等)。

奖金池:¥200000

单个奖金:¥20000

 

15. Targets:启明IDS(入侵检测)

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥200000

 

16. Targets:启明FW(防火墙)

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥200000

 

17. Targets:奇安信天狗安全引擎

比赛设备:即将更新

比赛系统:windows 1164位,打最新补丁)

比赛要求:

使用 Chrome 114.0.5735.91 (--no-sandbox 启动) 浏览指定的 URL后,攻击者控制Chrome并用Chrome进程相同的用户权限启动calc.exe 进程为攻击成功。Chrome 浏览器将在 VMWare Workstation 中运行,安装天狗防护终端(最新版),默认内存为 8GB

备注信息: Chrome 114.0.5735.91 中包含已知漏洞 CVE-2023-3079

奖金池:¥200000

单个奖金:¥50000

 

18. Targets:奇安信可信浏览器

比赛设备:即将更新

比赛系统:Windows1164位,打最新补丁)

比赛要求:在Windows11本地以普通用户权限运行奇安信可信浏览器,访问利用程序所在的网站,利用奇安信可信浏览器的漏洞达到任意代码执行的效果,并启动calc.exe的程序。奇安信可信浏览器将在 VMWare Workstation 中运行,默认内存为 8GB

奖金池:¥200000

单个奖金:¥50000

 

19. Targets360浏览器

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥200000

 

20. Targets360天相(资产管理与威胁探测系统)

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥200000

 

21. Targets:深信服Atrust(零信任访问控制系统)

比赛设备:即将更新

比赛系统:即将更新

比赛要求:以默认配置启动深信服零信任Atrust(开启重保模式)。以443441端口为入口点,在无用户凭证情况下,实现远程代码执行。

奖金池:¥200000

RCE¥100000

 

22. Targets:深信服AF(防火墙)

比赛设备:即将更新

比赛系统:即将更新

比赛要求:以默认配置启动深信服AF防火墙。以443端口为入口点,在无用户凭证情况下,实现远程代码执行。

奖金池:¥200000

RCE¥100000

 

23. Targets:阿里云druid数据库监控

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥300000

 

24. Targets:阿里云fastjson

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥300000

 

25. Targets:华为云hadoop

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥200000

 

26. Targets:腾讯云

比赛设备:即将更新

比赛系统:即将更新

比赛要求:待更新

奖金池:¥300000


关闭