4月14日至15日,第二届“强网杯”全国网络安全挑战赛在信息工程大学举办,由我校大二信息安全专业母浩文、李成禹、孙心乾和软件工程专业的姚诚组成的我校代表队,是江苏省内唯一一支进入线上决赛的战队,并在决赛中获得了三等奖。

团队介绍:

母浩文:司职Web端,负责常见网络安全与服务器安全与源码审计。

来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室

李成禹:Web端,负责常见网络安全与服务器安全与渗透。

来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室

孙心乾:二进制手,密码学电子取证、软件逆向技能娴熟。

来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室

姚诚:二进制手, 擅长PWN。

来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室

沙乐天:武汉大学信息安全专业毕业,进入南邮信息安全专业任教,担任小绿草网络安全协会指导老师。(图片右一)
来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室
其实,这次参赛的阵容已经是一只成熟的队伍了。早在2016年的南邮科技节“和巨耀通”网络攻防大赛,他们就慕名而来,作为新人,四个热血少年不打不相识,后来在大二学长王悉宇的推荐下加入了南邮的CTF战队X1cT34m。现在他们不仅已经在江苏高校的网安界小有名气,还不断在全国性的比赛中崭露头角。

初生牛犊不怕虎

这个四月,各类网络安全竞赛赛程密集,被业内人士戏称“比赛月”。此次全球网络安全挑战赛则是这个比赛月的重头戏,参赛队伍包含各大互联网企业代表队和众多高校研究生团队。相比较之下,主力阵容由大二学生组成的X1ctT34m队要稚嫩许多。但是四位队员没有怯场和退缩,在攻防战中狠劲十足,凭借两年来培养的默契和充足的备战训练,获得赛事专业三等奖的好成绩。获奖之后,与其说是欣喜,他们的脸上更多的是风雨过后的淡定。用他们指导老师沙乐天的话说,这叫做“初生牛犊不怕虎”。

来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室
【备战中】

来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室
【孙心乾 赛场留念】

在攻防模式下,每一次Check中(这是“攻防战”的打分节点),所有服务检测到存在异常的队的分数将加在未检测到异常的团队总分上。而比赛日第一轮,善于观察李成禹发现每支队伍负责的服务下的某一个账户登陆密码都能通过外部脚本修改,这个密码正是第一轮一个很重要的check点。于是,他篡改掉所有队的该类密码,得益于此,X1cT34m队在比赛开始的前七个小时里一直位居前列,几度冲到榜首。虽然之后被超越了,但是对于他们而言,依旧是可喜可贺。

来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室

【畅所欲言,讨论技术】

比赛中,他们发现题目类型分配一反常态。往常的题目都是web和二进制两大类型五五开的,而这次则只有一个Web六个二进制。一度导致负责web端的母浩文和李成禹“报国无门”,负责二进制的姚诚和孙心乾却连题目都几乎来不及看。因为此次攻防赛,从一开始就要在维护服务不被别人攻击的同时,利用别人的漏洞去攻击别人,比赛节奏很快。在如此紧张的节奏下如何不手忙脚乱,其实对于团队的默契也是一种考验。

此次比赛号称“宇宙最强”战队,自然是吸引了众多实力派团队。比如,获得本次赛事亚军的“楼上两队快点合并吧队”虽然听名字像是一个团队,但实际上“队”里只有一个人,稳中带“皮”,实力之强令人恐怖。提起这位低调又调皮的神秘大佬,四个大男孩眼光中流露出钦佩的神色。

除了这一位大神级选手,更有阿里巴巴、腾讯等知名企业代表队参赛。在说到企业战队和高校战队的不同时,母浩文分析道:“其实阿里、腾讯队里有些人在学校时就开始打CTF,毕业之后进到阿里、腾讯又继续打。最重要的差异是,企业队的成员的防御套路更加娴熟,立足防御,稳扎稳打。”对于这些强劲的对手,他们也没有过畏惧,队内的开心果、解压器孙心乾笑谈他们团队的比赛精神就是“打赢了六六六,打输了不丢人”。

个性与激情

与其他类型的竞赛不同,这类比赛更注重平时的功夫。成员们在平时会报名不同水平、不同规模的网安比赛,以赛代练,在实战中发现问题提升实力。协会的指导老师沙天乐在团队形成的前期可以说是事无巨细,大到比赛临场指挥,小到成员们衣食住行,都很关心。现在沙老师认为这个团队已经形成系统了,不需要太多的临场指导,所以他更多地把精力投入到新成员的培养上。

相较于协会中的“学长”,沙老师更加关注的是协会未来的发展,“不仅要培养母浩文他们这些已经成熟的队员,还要多多训练好新生,也让协会里形成‘学长带学弟’的体系。”沙老师还笑说:“打CTF的人,不同于ACM的人,他们是不能用认真来衡量的,他们的比赛更多的是需要个性与激情!他们对技术执着,会为比赛熬夜,对于其他事情就不怎么在意了。这就是兴趣的力量!”

除了对比赛的兴趣,团队的协作力同样也是四个大男孩一起前进的动力。谈到队里的分工,四个男孩笑着说他们都是抽红包来轮流当队长的。一般比赛是有web端和二进制两个大方向,在刚进协会时,每个人都会选择主攻一个方向。沙老师还为此建立内部培训体系。通过周会、月会、赛后复盘以及内部比赛等形式进行培训,沙老师带领大家分析每个人的优点与劣势,比赛风格的变化,对团队分工进行调整,高效提升团队战斗力。

比赛以外的他们,也喜欢通过游戏、音乐来放松自己,但同时也不会耽误学习。姚诚的绩点就一直保持在4.0,除了是个比赛大拿,也是个不折不扣的学霸。原来他每天早上,都会对当天的时间做缜密的规划。虽然比赛繁忙,但是他都会根据比赛的重要程度和时间进行合理选择。得益于对自己的合理规划,成功总是与姚诚作伴。
来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室
在放松身心方面,相比较于玩游戏,母浩文更偏好更实在的身心活动。只要有机会,他总会离开电子屏幕,走出来门来“皮”一把。连技术大佬都会时常出来接触自然,广大宅男宅女柚子们还有什么理由“苟”在宿舍的一亩三分地?

抓住现在,未来可期

来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室
谈到赛后奖金的分配,母浩文说到他们并没有直接平分奖金:“把大头都放到基金里面了!”原来,由于频繁参加网安比赛耗资不菲,协会成员们参加比赛的费用有时只能自掏腰包。沙老师为了保证成员们在外比赛的开销,建立了财务管理制度,发起了协会启动基金。基金不仅源于学生比赛奖金,还包括了沙老师的个人资金。团内大四优秀成员周捷听闻沙老师发起了启动基金,第一时间就捐出了自己的奖学金,为学弟们做出了榜样。

至于未来的规划,孙心乾、李成禹和姚诚老资历是立志考研,继续深造。母浩文同学则对本科毕业后直接就业也有一定的信心,这是因为企业对CTF逐渐承认,对求职有很好的帮助。

作为团队的指导老师,沙乐天谈起了自己与协会结缘的故事。沙老师从武汉大学信息安全专业毕业以后,就来南邮教书。考虑到他曾经打过类似比赛,学院安排他做信安竞赛的导师。“打CTF的人和打其他比赛的人都不太一样,所以,我们南邮这些年一直在坚持因材施教,为特性人才提供便利。”

团队内的母浩文同学就得益于因材施教的理念,在信息安全领域得到了发展。他曾经是物联网院的学生,但是因为他在信安方面的天赋和能力,沙老师特意为他争取了转专业考试的资格。母浩文也不负众望成功通过了转专业考试。

沙老师自己也是因材施教的受益者,学校教务处及计算机、软件与网络空间安全学院对信安竞赛给予大力支持,在沙老师平时教学的工作安排上给予较大自由度,准予沙老师按照个人专长开展相关教学,偏系统安全、漏洞攻防等方向,因此在教学方面上手较快。同时,在竞赛带队方面,因比赛较多,学院对此灵活安排,帮忙提前协调改课时间,保证他在带队参赛的同时不耽误相关教学进度。

下一步,老师希望能培养出更多有实力、有激情的成员,让协会的实力更进一步,所以计划在暑期就开始以各种方式接触全校同学,尤其是刚刚被录取的萌新。通过学生社团、组织讲座、外联赞助等开展学生社团工作、组织学生专业技术论坛、组织南邮内部的CTF比赛等等广纳贤才、招兵买马。

说到这儿,坐在姚诚身边的大一队员王众不禁笑了起来,原来他就是在去年暑假加入团队的,一度不太合群。虽然本身有点CTF基础,但是还未体验团队作战乐趣的他始终并不是非常愿意留下,经过半年多的学习以后,他被CTF的魅力折服了,对网络安全领域有了全新的认识。“王众已经开始打比赛了,说不定很快就能超过我们了。”大二的老队员看着自己带出来的小伙伴,开心地说到,“他还是协会史上首个有女朋友的现役二进制手哦!”

来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室
在团队看来,这次的全国网络安全挑战赛更是一场人生长跑中的一个补给站,他们享受的不在于结果,而是其中的过程。我们有理由相信,他们的人生长跑会愈加出彩,在未来的日子里遇见越来越好的自己。我们也由衷地祝愿沙老师和他的网安团队能在南邮蓬勃发展,让CTF文化在南邮生根发芽。

来自小绿草的网安男神,我们一起 pick一下?-小绿草信息安全实验室