相关靶场需要用阿里云邮箱激活后登录
靶场地址:https://poctest-qwerasdf.aliyuncs.com/
阿里云邮箱注册地址:https://mail.aliyun.com/alimail/
边界防御靶场挑战赛
本靶场环境模拟线上真实环境搭建,具有WAF,封禁,干扰,欺骗等防御措施。
1.挑战赛流程:注册并登陆后可以看到“SQL注入靶场”、“log4j”靶场两,“XXE”靶场,“jdbc靶场”3个选项,各有若干个链接,抓包即可获得请求参数和内容,其中包含若干个存在漏洞的链接,需要选手自行挖掘和发现。
2.挑战赛难点:靶场有一套自动化的防御机制,主要为攻击的自动化检测,检测到攻击后会遭遇waf拦截,封禁,欺骗等手段。因此挑战选手需要绕过相关防御机制并成功利用漏洞,来达到挑战赛的目。如果账号被标记异常,需要自主解封后再测试。
3.账号封禁规则:一个账号激活后,有5次解除帐号异常状态的机会,需要用另一个阿里云邮箱进行激活后测试。
4.挑战成功要求定义:
找出每个漏洞对应的若干个链接中包含漏洞的链接,在包含漏洞的链接中设法成功利用漏洞
SQL注入漏洞利用成功判定:需要提交查询出flag所在表名或列名的过程,最后需要获取到数据库表中的flag
Log4j漏洞利用成功判定:读取tmp目录下的flag
XXE漏洞利用成功判定: 读取tmp目录下的flag
jdbc漏洞利用成功判定: 读取tmp目录下的flag
利用WAF引擎缺陷绕过并入侵成功判定:在任意环境下利用成功读取到flag,审核人员会根据提交的报告判定是否为利用WAF引擎缺陷
活动奖励
入侵绕过-SQL注入:4000元
入侵绕过-Log4j:6000元
入侵绕过-XXE:4000元
入侵绕过-jdbc:2000元
入侵绕过-Nday:1000元
利用WAF引擎缺陷绕过并入侵:2000元
●如果在入侵中利用waf引擎缺陷进行绕过,则该次入侵算作利用WAF引擎缺陷绕过并入侵一类来计算奖励,不算做规则入侵绕过。
●类似或部分相同的绕过手法仅第一名提交计算奖励,第二及以后无奖励,且利用WAF引擎缺陷绕过并入侵在不同环境中的同一种手法也属于重复,是否重复最终由审核人员判定。
●奖金在活动过程中可能会有所提升,请关注公告。
提交形式
报告需至少包含利用成功的详细过程、相关的链接信息、成功证明截图(包含flag,格式为flag{xxxxxxxxx},flag的长度不确定)三部分信息。
可将漏洞内容放到语雀中(http://www.yuque.com),提交到ASRC,语雀文档分享时,请选择【需要密码访问】,也可直接在ASRC的漏洞页面编写详情内容提交。
注意事项
● 使用了同一种或类似手法进行绕过则只有第一次提交计算奖励,例如 在SQL注入靶场中,同一注入位置/同种注入手法中枚举不同字符或者字段导致的多种payload绕过算作同一种绕过方式(主要判定点为查询系统表时的绕过操作)
● 禁止伪造提交,我们会核实相关内容
● 账号注册仅限 阿里云邮箱,由于防御手段会ban帐号,所以每个账号有5次解除帐号异常状态的机会
● 漏洞报告需要包含绕过和利用的完整过程
● 提交报告后,审核人员会按照顺序审核
京公网安备 11010802033237号
