BCTF新赛季首轮战毕：Blue-whale勇夺冠

6月29日，BCTF新赛季首场线上公开赛拉开帷幕，本场比赛采用公开报名制，共有60余支队伍注册报名。最终来自产学研多个领域的16支战队成功得分，经过12小时的“云”角逐，Blue-whale战队以1069分的战绩拿下冠军席位。

参赛战队得分趋势图

16支战队首次云竞技 全新赛制通过实战检验

BotCTF的赛制设计以自动化程序为中心，全程线上参赛。参赛战队通过主办方提供的统一接口参与答题。对于已通过BotHub托管的自动化程序, 在比赛期间由主办方代为运行参赛，不需要战队额外提供自己的运行环境。

本场比赛共设置15道赛题，包含5道PopCalc（AEG 自动化漏洞利用）和10道CrashMe （自动漏洞发现）赛题。PopCalc 赛题全部是栈溢出类型，赛题难度主要由gadget的限制决定，高分赛题对输入增加了约束条件。CrashMe赛题分别考察战队的漏洞发现工具对循环和状态机遍历的处理能力，以及在实际复杂程序中发现人为植入漏洞的能力。

Blue-whale是整场比赛唯一一支解出全部AEG赛题的战队。此次AEG赛题被全部解出，也进一步说明了战队的自动化漏洞利用能力已经发展地较为成熟。

护网先锋是累计解出两种类型赛题最多的战队。fcbot、DigApis等战队也表现优异，均排名前列。通过统计战队解题情况，我们发现不同战队之间的自动化能力分布并不集中，也意味着大家都有各自擅长的能力点。

参赛战队得分总排名

BotHub是一个自动化程序托管平台，可以理解为以bots为核心的GitHub，目的是为工具开发者提供实验场所，促进技术分享与交流。BotHub的目标是聚集代表行业领先水平的 bots，并成为衡量自动化能力的标准平台。

在本场比赛中，BCTF官网的BotHub页面，也单独展示了所有已托管bots的比赛排名。其中已托管的#whoami战队获得CrashMe赛题的累计最高分。

在后续的所有BotCTF比赛场次中，主办方会代为运行BotHub中所有已托管的自动化程序，并通过其累计战绩进行综合排名，此排名将作为bots战队自动化攻防的能力标签。

CrashMe赛题Top 10战队得分排名

PopCalc赛题Top 10战队得分排名

长期以来，自动化程序一直是作为人类CTF选手的辅助工具发展和成长的，因此其能力相较于人类选手还是有很大差距的。BCTF推出的自动化系列赛事BotCTF，赛题设计围绕漏洞发现和漏洞利用中的核心难点，集中考察战队的自动化工具能力。

在今年的赛季中，我们将联合全球顶级CTF赛事，推出一场BotCTF 表演赛，以此促进全球自动化工具能力的推广和交流。同时，在常规赛中表现优异的战队也会受邀参加今年的全球表演赛。

我们希望以比赛为契机，聚集全球范围内领先的自动化程序，并逐步形成一套专门衡量bots的自动分析和利用生成能力的标尺，为推动全球自动化漏洞发现及应用能力的发展作出贡献。

百度安全应急响应中心

百度安全应急响应中心，简称BSRC，是百度致力于维护互联网健康生态环境，保障百度产品和业务线的信息安全，促进安全专家的合作与交流，而建立的漏洞收集以及应急响应平台。地址:https://bsrc.baidu.com

长按关注

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/